Загрузка процессора на Microtik RouterBord RB2011UAS-2HnD

Обсуждение оборудования и его настройки
Ответить
Skogarmaor
Сообщения: 6
Зарегистрирован: 02 ноя 2021, 11:30

Доброго времени суток! Столкнулся с проблемой скачков загрузки ЦП на RB2011. В Profile, при мониторинге нагрузки, видно как каждый тик, % скачет с 10% до 60-80%. В пике нагрузке скачки могут достигать 100% загрузки ЦП и происходит отвал интернет соединения. При этом Socks, UPnP и Web proxy отключены; 53 порт закрыт, подключение к контроллеру возможно только через winbox и ssh из пула локальных адресов.

Прошивка v.6.48.4. Подключение PPPoE
По запросу скину нужные файлы, т.к. не уверен наверняка, что есть смысл скидывать всё подряд.

https://pastenow.ru/ENTUI
https://pastenow.ru/ENTW6


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Skogarmaor писал(а): 02 ноя 2021, 13:58 Доброго времени суток! Столкнулся с проблемой скачков загрузки ЦП на RB2011. В Profile, при мониторинге нагрузки, видно как каждый тик, % скачет с 10% до 60-80%. В пике нагрузке скачки могут достигать 100% загрузки ЦП и происходит отвал интернет соединения. При этом Socks, UPnP и Web proxy отключены; 53 порт закрыт, подключение к контроллеру возможно только через winbox и ssh из пула локальных адресов.

Прошивка v.6.48.4. Подключение PPPoE
По запросу скину нужные файлы, т.к. не уверен наверняка, что есть смысл скидывать всё подряд.

https://pastenow.ru/ENTUI
https://pastenow.ru/ENTW6
Роутер на 1 ядре, 200 мбит его пик в 100% проца без фастрака. Правил фаера много? Без конфига мыслей больше нет.


Skogarmaor
Сообщения: 6
Зарегистрирован: 02 ноя 2021, 11:30

KaNelam писал(а): 02 ноя 2021, 21:33
Skogarmaor писал(а): 02 ноя 2021, 13:58 Доброго времени суток! Столкнулся с проблемой скачков загрузки ЦП на RB2011. В Profile, при мониторинге нагрузки, видно как каждый тик, % скачет с 10% до 60-80%. В пике нагрузке скачки могут достигать 100% загрузки ЦП и происходит отвал интернет соединения. При этом Socks, UPnP и Web proxy отключены; 53 порт закрыт, подключение к контроллеру возможно только через winbox и ssh из пула локальных адресов.

Прошивка v.6.48.4. Подключение PPPoE
По запросу скину нужные файлы, т.к. не уверен наверняка, что есть смысл скидывать всё подряд.

https://pastenow.ru/ENTUI
https://pastenow.ru/ENTW6
Роутер на 1 ядре, 200 мбит его пик в 100% проца без фастрака. Правил фаера много? Без конфига мыслей больше нет.
Правил Firewall - 4, правил Nat - 35. СAPsMAN.
Конфиг приложил, за его аккуратность и 100% грамотность поручиться не могу, т.к. работаю с этим оборудованием с августа. Перед переходом на Mikrotik я долгие недели шерстил форумы и видео о правильности его настройки.


Код: Выделить всё

# nov/03/2021 12:36:21 by RouterOS 6.48.4
# software id = TV1E-9WW*
#
# model = 2011UAS-2HnD
# serial number = 419E*****331
/caps-man channel
add band=2ghz-b/g/n control-channel-width=20mhz extension-channel=disabled frequency=2452 name=VironitWifi_24 tx-power=20
add band=5ghz-n/ac extension-channel=Ce frequency=5180 name=VironitWiFi_50 tx-power=20
/interface bridge
add name=LAN_MainBridge
/interface wireless
# managed by CAPsMAN
# channel: 2452/20/gn(16dBm), SSID: VironIT LLC, CAPsMAN forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n mode=ap-bridge ssid=MikroTik
/interface ethernet
set [ find default-name=ether2 ] name=LAN_vironit
set [ find default-name=ether1 ] name=WAN_vironit
/interface pppoe-client
add add-default-route=yes disabled=no interface=WAN_vironit name=BELTELECOM password=********** use-peer-dns=yes user=*****************@beltel.by
/interface vlan
add interface=LAN_MainBridge name=VLAN_WiFi vlan-id=1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm group-encryption=aes-ccm name=VironitWifi_pass passphrase=**********
/interface list
add name=WAN
add name=LAN
/caps-man datapath
add bridge=LAN_MainBridge client-to-client-forwarding=yes interface-list=LAN name=VironitWiFi_datapath vlan-id=1 vlan-mode=use-tag
/caps-man configuration
add channel=VironitWifi_24 datapath=VironitWiFi_datapath mode=ap name=cfg24 rx-chains=0,1,2,3 security=VironitWifi_pass ssid="VironIT LLC" tx-chains=0,1,2,3
add channel=VironitWiFi_50 datapath=VironitWiFi_datapath mode=ap name=cfg50 rx-chains=0,1,2,3 security=VironitWifi_pass ssid="VironIT LLC 5GHz" tx-chains=0,1,2,3
/caps-man interface
add channel=VironitWifi_24 configuration=cfg24 configuration.mode=ap datapath=VironitWiFi_datapath disabled=no mac-address=00:00:00:00:00:00 master-interface=none name=cap radio-mac=00:00:00:00:00:00 radio-name="" security=VironitWifi_pass
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=12345678 wpa2-pre-shared-key=12345678
/ip pool
add name=LAN_vironit_pool ranges=192.168.1.21-192.168.1.254
add name=VLAN_vironit_pool ranges=192.168.10.2-192.168.10.254
/ip dhcp-server
add address-pool=LAN_vironit_pool disabled=no interface=LAN_MainBridge lease-time=10h name=LAN_DHCP
add address-pool=VLAN_vironit_pool disabled=no interface=VLAN_WiFi lease-time=10h name=VLAN_DHCP
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg24
add action=create-dynamic-enabled hw-supported-modes=an,ac master-configuration=cfg50
/interface bridge port
add bridge=LAN_MainBridge interface=LAN_vironit
add bridge=LAN_MainBridge interface=wlan1
add bridge=LAN_MainBridge interface=ether3
add bridge=LAN_MainBridge interface=ether4
add bridge=LAN_MainBridge interface=ether5
add bridge=LAN_MainBridge interface=ether6
add bridge=LAN_MainBridge interface=ether7
add bridge=LAN_MainBridge interface=ether8
add bridge=LAN_MainBridge interface=ether9
add bridge=LAN_MainBridge interface=sfp1
add bridge=LAN_MainBridge interface=ether10
/interface list member
add interface=wlan1 list=WAN
add interface=WAN_vironit list=LAN
add interface=LAN_vironit list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp1 list=LAN
/interface wireless cap
# 
set bridge=LAN_MainBridge caps-man-addresses=192.168.1.1 enabled=yes interfaces=wlan1
/ip address
add address=192.168.1.1/24 interface=LAN_MainBridge network=192.168.1.0
add address=192.168.10.1/24 interface=VLAN_WiFi network=192.168.10.0
/ip arp
add address=192.168.0.22 interface=LAN_MainBridge mac-address=B0:4E:26:FB:94:B8
add address=192.168.1.2 comment="TimeSummary Server" interface=LAN_MainBridge mac-address=D0:50:99:**:DC:FE
add address=192.168.1.5 comment="RDP 1 Server" interface=LAN_MainBridge mac-address=E0:D5:5E:91:5F:**
add address=192.168.1.6 comment="RDP 2 Server" interface=LAN_MainBridge mac-address=70:85:C2:A2:**:2A
add address=192.168.1.8 comment="NAS Server" interface=LAN_MainBridge mac-address=C8:D3:A3:08:**:7E
add address=192.168.1.15 comment="Mikrotik Spot1" interface=LAN_MainBridge mac-address=CC:2D:**:AA:07:4A
add address=192.168.1.16 comment="Mikrotik Spot2" interface=LAN_MainBridge mac-address=CC:2D:**:AA:07:44
add address=192.168.1.17 comment="Mikrotik Spot3" interface=LAN_MainBridge mac-address=CC:2D:**:C3:B4:2F
add address=192.168.1.18 comment="Mokrotik Spot4" interface=LAN_MainBridge mac-address=CC:2D:**:AA:07:59
add address=192.168.1.19 comment="Mikrotik Spot5" interface=LAN_MainBridge mac-address=CC:2D:**:AA:07:95
add address=192.168.1.20 comment="Mikrotik Spot6" interface=LAN_MainBridge mac-address=E4:8D:**:72:B3:71
/ip cloud
set ddns-enabled=yes
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1 netmask=24
add address=192.168.10.0/24 gateway=192.168.10.1 netmask=24
/ip dns
set servers=8.8.8.8,8.8.4.4
/ip firewall filter
add action=accept chain=input comment=CAPsMAN dst-address-type=local src-address-type=local
add action=drop chain=input connection-state=new dst-port=53 in-interface=BELTELECOM log-prefix=" " protocol=udp
add action=drop chain=input connection-state=new dst-port=53 in-interface=BELTELECOM log-prefix=" " protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat comment=INTERNET out-interface=BELTELECOM
add action=dst-nat chain=dstnat comment="RDP 1" in-interface=BELTELECOM port=7788 protocol=tcp to-addresses=192.168.1.5 to-ports=3389
add action=netmap chain=dstnat comment="RDP 2" in-interface=BELTELECOM port=8877 protocol=tcp to-addresses=192.168.1.6 to-ports=3389
add action=dst-nat chain=dstnat comment=NAS dst-port="" in-interface=BELTELECOM port=80 protocol=tcp src-address-list="" to-addresses=192.168.1.8 to-ports=80
add action=dst-nat chain=dstnat comment="\C2\E8\E4\E5\EE\F0\E5\E3\E8\F1\F2\F0\E0\F2\EE\F0 1" dst-port="" in-interface=BELTELECOM port=37777 protocol=tcp src-port="" to-addresses=192.168.1.100 to-ports=37777
add action=dst-nat chain=dstnat comment="\C2\E8\E4\E5\EE\F0\E5\E3\E8\F1\F2\F0\E0\F2\EE\F0 2" dst-port="" in-interface=BELTELECOM port=37788 protocol=tcp to-addresses=192.168.1.101 to-ports=37788
add action=dst-nat chain=dstnat comment=GitLab dst-port="" in-interface=BELTELECOM port=443 protocol=tcp to-addresses=192.168.1.97 to-ports=443
add action=dst-nat chain=dstnat comment="TS -s" in-interface=BELTELECOM port=23061 protocol=tcp to-addresses=192.168.1.2 to-ports=23061
add action=dst-nat chain=dstnat comment="TS -s" in-interface=BELTELECOM port=23071 protocol=tcp to-addresses=192.168.1.2 to-ports=23072
add action=dst-nat chain=dstnat comment="TS -s" in-interface=BELTELECOM port=23081 protocol=tcp to-addresses=192.168.1.2 to-ports=23081
add action=dst-nat chain=dstnat comment="TS -s" in-interface=BELTELECOM port=23085 protocol=tcp to-addresses=192.168.1.2 to-ports=23085
add action=dst-nat chain=dstnat comment="TS -r" in-interface=BELTELECOM port=23062 protocol=tcp to-addresses=192.168.1.2 to-ports=23062
add action=dst-nat chain=dstnat comment="TS -r" in-interface=BELTELECOM port=23072 protocol=tcp to-addresses=192.168.1.2 to-ports=23072
add action=dst-nat chain=dstnat comment="TS -r" in-interface=BELTELECOM port=23082 protocol=tcp to-addresses=192.168.1.2 to-ports=23082
add action=dst-nat chain=dstnat comment="TS -r" in-interface=BELTELECOM port=23086 protocol=tcp to-addresses=192.168.1.2 to-ports=23086
add action=dst-nat chain=dstnat comment="TS \EF\EE\F0\F2 \E4\EB\FF \EF\F0\E8\EB\EE\E6\E5\ED\E8\FF" in-interface=BELTELECOM port=9475 protocol=tcp to-addresses=192.168.1.2 to-ports=9475
add action=dst-nat chain=dstnat comment="TS SSH connection" in-interface=BELTELECOM port=22 protocol=tcp to-addresses=192.168.1.2 to-ports=22
add action=dst-nat chain=dstnat comment="RDP 1 Postgres" dst-port="" in-interface=BELTELECOM port=5432 protocol=tcp to-addresses=192.168.1.5 to-ports=5432
add action=dst-nat chain=dstnat comment="RDP 1 ESP (front)" in-interface=BELTELECOM port=4247 protocol=tcp to-addresses=192.168.1.5 to-ports=4000
add action=dst-nat chain=dstnat comment="RDP 1 ESP (back)" in-interface=BELTELECOM port=4248 protocol=tcp to-addresses=192.168.1.5 to-ports=5000
add action=dst-nat chain=dstnat comment="RDP 1 PokerHand" in-interface=BELTELECOM port=3634 protocol=tcp to-addresses=192.168.1.5 to-ports=3000
add action=dst-nat chain=dstnat comment="RDP 1 SQL" in-interface=BELTELECOM port=7878 protocol=tcp to-addresses=192.168.1.5 to-ports=59752
add action=dst-nat chain=dstnat comment="RDP 1 FileStorage" in-interface=BELTELECOM port=3340 protocol=tcp to-addresses=192.168.1.5 to-ports=8080
add action=dst-nat chain=dstnat comment="RDP 2 Sparqly backend\r\
    \n\r\
    \n" in-interface=BELTELECOM port=3100 protocol=tcp to-addresses=192.168.1.6 to-ports=3100
add action=dst-nat chain=dstnat comment="\CF\F0\E0\E2\E8\EB\E0 \E4\EB\FF \F0\E0\E1\EE\F2\FB \F1 \E2\ED\F3\F2\F0\E5\ED\ED\E8\EC\E8 \F1\E5\F0\E2\E5\F0\E0\EC\E8 \E8\E7 \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 (GitLab)" dst-address=86.***.245.73 \
    dst-port=443 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.97 to-ports=443
add action=src-nat chain=srcnat dst-address=192.168.1.97 dst-port=443 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add action=src-nat chain=srcnat comment="\CF\F0\E0\E2\E8\EB\E0 \E4\EB\FF \F0\E0\E1\EE\F2\FB \F1 \E2\ED\F3\F2\F0\E5\ED\ED\E8\EC\E8 \F1\E5\F0\E2\E5\F0\E0\EC\E8 \E8\E7 \F1\E5\F2\E8 Wi-Fi (GitLab)" dst-address=192.168.1.97 dst-port=443 protocol=tcp \
    src-address=192.168.10.0/24 to-addresses=192.168.1.1
add action=dst-nat chain=dstnat dst-address=86.***.245.73 dst-port=443 protocol=tcp src-address=192.168.10.0/24 to-addresses=192.168.1.97 to-ports=443
add action=dst-nat chain=dstnat comment="\CF\F0\E0\E2\E8\EB\E0 \E4\EB\FF \F0\E0\E1\EE\F2\FB \F1 \E2\ED\F3\F2\F0\E5\ED\ED\E8\EC\E8 \F1\E5\F0\E2\E5\F0\E0\EC\E8 \E8\E7 \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 (TS -s -r)" dst-address=86.***.245.73 \
    dst-port=23085 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.2 to-ports=23085
add action=src-nat chain=srcnat dst-address=192.168.1.2 dst-port=23085 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add action=dst-nat chain=dstnat dst-address=86.***.245.73 dst-port=23086 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.2 to-ports=23086
add action=src-nat chain=srcnat dst-address=192.168.1.2 dst-port=23086 protocol=tcp src-address=192.168.1.0/24 to-addresses=192.168.1.1
add action=dst-nat chain=dstnat comment="\CF\F0\E0\E2\E8\EB\E0 \E4\EB\FF \F0\E0\E1\EE\F2\FB \F1 \E2\ED\F3\F2\F0\E5\ED\ED\E8\EC\E8 \F1\E5\F0\E2\E5\F0\E0\EC\E8 \E8\E7 WiFi  \F1\E5\F2\E8 (TS -s -r)" dst-address=86.***.245.73 dst-port=23085 protocol=tcp \
    src-address=192.168.10.0/24 to-addresses=192.168.1.2 to-ports=23085
add action=src-nat chain=srcnat dst-address=192.168.1.2 dst-port=23085 protocol=tcp src-address=192.168.10.0/24 to-addresses=192.168.1.1
add action=dst-nat chain=dstnat dst-address=86.***.245.73 dst-port=23086 protocol=tcp src-address=192.168.10.0/24 to-addresses=192.168.1.2 to-ports=23086
add action=src-nat chain=srcnat dst-address=192.168.1.2 dst-port=23086 protocol=tcp src-address=192.168.10.0/24 to-addresses=192.168.1.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.1.0/24 disabled=yes
set ssh address=192.168.1.0/24
set api disabled=yes
set winbox address=192.168.1.0/24
set api-ssl disabled=yes
/lcd interface pages
set 0 interfaces=sfp1,WAN_vironit,LAN_vironit,ether3,ether4,ether5,ether6,ether7,ether8,ether9,ether10
/system clock
set time-zone-name=Europe/Minsk
/system identity
set name="MikroTik RouterBoard"
/system ntp client
set enabled=yes primary-ntp=162.159.200.1 secondary-ntp=91.198.10.1


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

При белом адресе вас атакуют по всем фронтам кроме 53 порта.
Поставьте минимальный фаер без форварда. Серая сеть есть у провайдера?
Минимальный закрытый фаервол:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=input in-interface=BELTELECOM
Правило с капсманом мне не понятно, оставить выше запрещающего дропа последнего.

Проброс портов это dst-nat, netmap для другого презназначеy, хоть и работает.


Skogarmaor
Сообщения: 6
Зарегистрирован: 02 ноя 2021, 11:30

KaNelam писал(а): 03 ноя 2021, 16:12 При белом адресе вас атакуют по всем фронтам кроме 53 порта.
Поставьте минимальный фаер без форварда. Серая сеть есть у провайдера?
Минимальный закрытый фаервол:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=input in-interface=BELTELECOM
Правило с капсманом мне не понятно, оставить выше запрещающего дропа последнего.

Проброс портов это dst-nat, netmap для другого презназначеy, хоть и работает.
Спасибо за ответ!

Проброс с netmap заюзал тогда для теста, так и забыл поменять, сейчас заменил спасибо. Про дырку в firewallе спасибо, я что-то даже не знаю как от меня вообще ускользнула настройка межсетевого экрана, сейчас вроде настроил его на фильтрацию трафика, но кто-то видать умудряется пробивать и дальше. Буду разбираться со стеной дальше...
Серая сеть у провайдера есть.


Сегодня обнаружил ещё вот такую интересную вещь и происходит это в оба направления с порта на порт. Петля?
Изображение


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

По какому правилу данный лог, похоже на капсман


Skogarmaor
Сообщения: 6
Зарегистрирован: 02 ноя 2021, 11:30

KaNelam писал(а): 05 ноя 2021, 16:49 По какому правилу данный лог, похоже на капсман

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=established,related


KaNelam
Сообщения: 620
Зарегистрирован: 11 июл 2017, 13:03

Логирование выключаем, спим спокойно.


Skogarmaor
Сообщения: 6
Зарегистрирован: 02 ноя 2021, 11:30

KaNelam писал(а): 05 ноя 2021, 21:24 Логирование выключаем, спим спокойно.
Спасибо :co_ol:


Ответить