MikroTik режет скорость

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Кнопочка "Torch". далее думаю понятно будет...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
dehash
Сообщения: 0
Зарегистрирован: 22 июн 2016, 22:16

Проблема решена.
Микротик не причем. Нам предоставляется статический IP. Из за этого на нас начали сыпаться DNS запросы. Маршрутизатор их обрабатывал и отвечал на них. Вот исходящий канал и закончился.
Решение.
Нужно добавить правило в firewall.
/ip firewall filter add chain=input in-interface=ВНЕШНИЙ protocol=udp port=53 action=drop


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Да этой "проблеме" уж столько лет)))


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
dr_dre
Сообщения: 0
Зарегистрирован: 16 авг 2016, 12:59
Откуда: Zurich

Если я понял правильно, то /ip firewall filter add chain=input in-interface=bridge protocol=udp port=53 action=drop не помогло
RouterBOARD 962UiGS-5HacT2HnT
 RouterBOARD 962UiGS-5HacT2HnT

Код: Выделить всё

/interface bridge
add admin-mac=***** auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=*****
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=***** use-peer-dns=yes user=*****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=ukraine disabled=no distance=indoors frequency=auto frequency-mode=superchannel mode=ap-bridge ssid=***** wireless-protocol=802.11 wmm-support=enabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=**** disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=**** wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key="*****" wpa2-pre-shared-key="*****"
/ip pool
add name=dhcp ranges=192.168.1.133-192.168.1.139
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/interface wireless access-list
add mac-address=****
add mac-address=****
add mac-address=****
/ip address
add address=****/24 comment=defconf interface=bridge network=****
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=****/24 comment=defconf gateway=**** netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=*** name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
# in/out-interface matcher not possible when interface (wlan2) is slave - use master instead (bridge)
add action=drop chain=input in-interface=wlan2 port=53 protocol=udp
add action=drop chain=input in-interface=bridge port=53 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=****
/system identity
set name=router
/system leds
set 0 interface=wlan1
set 1 interface=wlan2
/system routerboard settings
set cpu-frequency=720MHz protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

dr_dre писал(а):Если я понял правильно, то /ip firewall filter add chain=input in-interface=bridge protocol=udp port=53 action=drop не помогло
RouterBOARD 962UiGS-5HacT2HnT
 RouterBOARD 962UiGS-5HacT2HnT

Код: Выделить всё

/interface bridge
add admin-mac=***** auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=*****
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=***** use-peer-dns=yes user=*****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=ukraine disabled=no distance=indoors frequency=auto frequency-mode=superchannel mode=ap-bridge ssid=***** wireless-protocol=802.11 wmm-support=enabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=**** disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=**** wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key="*****" wpa2-pre-shared-key="*****"
/ip pool
add name=dhcp ranges=192.168.1.133-192.168.1.139
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/interface wireless access-list
add mac-address=****
add mac-address=****
add mac-address=****
/ip address
add address=****/24 comment=defconf interface=bridge network=****
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=****/24 comment=defconf gateway=**** netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=*** name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
# in/out-interface matcher not possible when interface (wlan2) is slave - use master instead (bridge)
add action=drop chain=input in-interface=wlan2 port=53 protocol=udp
add action=drop chain=input in-interface=bridge port=53 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=****
/system identity
set name=router
/system leds
set 0 interface=wlan1
set 1 interface=wlan2
/system routerboard settings
set cpu-frequency=720MHz protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

Вы хотите защититься от внешних подключений по 53 порту, а запрещающее правило вещаете на внутренний интерфейс, поэтому и "не помогло".


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Неправильно понял, неправильно. Цепочку input на интерфейсе, смотрящем в интернет обрабатывают в данном случае, которая парой строк выше у вас дропнута практически вся))), это первое. Второе, вы о чем вообще? Третье - первое правило поиска узкого места гласит: "Отключи правила фаервола для получения адекватного результата!" Ну и четвертое - копипаст правил вообще не вариант, тут каждое обдумать надо.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
dr_dre
Сообщения: 0
Зарегистрирован: 16 авг 2016, 12:59
Откуда: Zurich

Что надо делать?
Это настройки по умолчанию, я пока там еще ничего не успел поменять:-)
Я также отменил все запрещающие правила для firewall, перепрошил, но на скорость аплоада это не повлияло


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

dr_dre писал(а):Что надо делать?

Думать!
Вот пару строк (под спойлером), с микротика кореша, у него привычка рррое подключениям давать явные имена,
поэтому у вас, вместе in-interface=RTCom должно быть in-interface=pppoe-out1, сам специально я не меняю,
чтобы тупого копирования не было. Подумайте, поймите, и сделайте!
Надеюсь поправить название профиля РРРоЕ сможете? :-)

 
add action=add-src-to-address-list address-list="DNS-Flood==>" \
address-list-timeout=1h chain=input dst-port=53 in-interface=RTCom \
protocol=tcp
add action=drop chain=input dst-port=53 in-interface=RTCom protocol=tcp
add action=add-src-to-address-list address-list="DNS-Flood==>" \
address-list-timeout=1h chain=input dst-port=53 in-interface=RTCom \
protocol=udp
add action=drop chain=input dst-port=53 in-interface=RTCom protocol=udp



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
dr_dre
Сообщения: 0
Зарегистрирован: 16 авг 2016, 12:59
Откуда: Zurich

Vlad-2 писал(а):
dr_dre писал(а):Что надо делать?

Думать!

Проблема с upload решена, это была аппаратная проблема. У товарища оказался такой же, провели сравнение на тех же условиях и была выявлена проблема. Настройки были default и настроены, перепрошивка и смена версии ОС ничего не дала.
Вопрос с организацией DDNS остался открытым.


Mr_Frr
Сообщения: 1
Зарегистрирован: 05 окт 2019, 20:18

1 в 1 проблема, тоже на 962UiGS-5HacT2HnT и тоже, похоже, аппаратная. Так же режет исходящую в 10 раз при малейшей обработке трафика на роутере, даже если это простая маршрутизация.


Ответить