Mikrotik 1100AHx2 и паразитный исходящий трафик

Обсуждение оборудования и его настройки
Ответить
vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

Здравствуйте!

Уже года 4 у меня совершенно нормально работал Mikrotik 1100AHx2 и вот после НГ начались чудеса....
Первый интерфейс у меня настроен как WAN и на 3 внутренних подняты сегменты LAN.
И заметил я, что у меня вдруг резко просела скорость отдачи, выглядит это примерно так:
Изображение
Данный трафик не соответствует сумме трафика по остальным интерфейсам. Если запустить Torch и натравить его по очереди на каждый внутренний интерфейс, то везде показываются значения, в среднем, не превышающие 5 Мбит, а на внешнем интерфейсе заняты все 40 Мбит на исходящий трафик.

Мало того - я физически повыдергивал провода из внутренних интерфейсов, т.е., осталась конструкция: Микротик - Кабель - Свитч провайдера. После этого я зашел через интернет по внешнему интерфейсу и увидел удивительную картину - по всем внутренним интерфейсам, естественно, нули (они физически отключены от Микротика), а на внешнем интрефейсе все те же 40 Мбит/с исходящего трафика! Такое ощущение, что Микротик сам генерирует этот трафик........
Я решил проверить свитч провайдера, прописал на ноутбуке настройки, как на порту Микротика, и воткнул ноут ВМЕСТО Микротика и проверил скорость - все нормально, и туда и сюда свободны все 40 Мбит/с.

Таким образом, получается, что проблема в самом Микротике.... Что странно. В нем уже очень давно ничего не менялось и он исправно работал до последних дней.

Помогите, пожалуйста, локализовать проблему. Я даже пока не представляю, как это сделать, если даже Torch не видит этот паразитный трафик.....
Заранее огромное спасибо!

Алексей


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

DNS (UDP 53) на WAN порту заблокирован?


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

Хм.... Наверное, нет..... А как это сделать? В настройках порта ether1 этого не вижу...
Простите, я небольшой специалист в Микротиках. Подскажите, пожалуйста


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Выполните команду /ip firewall export и покажите вывод.
Torch должен показывать весь трафик, смотрите на ether1, сортируйте по скорости.


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

Что-то не выводится сюда куча текста...

Изображение

На группу /ip firewall mangle не смотрите, сейчас маркировка не используется. Ну и не включил группу /ip firewall nat


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Добавьте в самый верх правило

Код: Выделить всё

add action=drop chain=input comment="Drop input DNS" dst-port=53 in-interface=ether1 protocol=udp


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

Да, я тоже покопался и, так как я у себя не держу DNS-зон, тупо снял вот эту галку:
Изображение


Такой метод нормальный?


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

Теперь трафик принял вот такой вид:
Изображение


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

vottghern писал(а):Да, я тоже покопался и, так как я у себя не держу DNS-зон, тупо снял вот эту галку:
Такой метод нормальный?
В этом случае и ваши клиенты не смогут указывать адрес Mikrotik в качестве DNS сервера. Но это и не всегда нужно.


vottghern
Сообщения: 71
Зарегистрирован: 12 фев 2013, 11:19

В данном случае это не нужно и вовсе - у меня домен, и DNS у всех доменные. Которые резольвят внешние адреса, в свою очередь, по DNS провайдера. Так что перетопчатся локальные клиенты ))


Ответить