Ресурсы за NAT RB 3011

[End]

День добрый. Проблема в следующем:
Есть сетевые ресурсы за WAN. Чтобы работал интернет и были доступны эти ресурсы создано правило NAT. Все хорошо, пинг стабилен до тех пор пока не начинаются активные действия на ресурсах, например, копирование или чтение данных. Если поставить на копирование, то все начинает копироваться, но где-то через 5 секунд скорость падает до 0 до ресурса проскакивает 2-3 потери или потеря и "Заданный узел недоступен" и соответственно связь обрывается с сообщением о недоступности сетевого ресурса, затем пинг возобновляется и можно повторять. Если подключиться напрямую без микротика, то все работает стабильно. В чем может быть проблема ?

[Vlad-2]

Ну а какие нибудь данные есть вообще?
1) какая нагрузка на сам CPU-микротика
2) что показывает утилита Profile
3) хотя бы написали как сделали общие настройки: (входящие порты, исходящие, какова скорость UpLink'а,WAN портов и так далее)
4) прошивка какая?
5) что с файрволом?
6) очереди есть?
7) "ресурс" или "сервер" который в будущем становиться недоступный - подключён в порт микротика или через промежуточную "активку"?

[End]

Ну а какие нибудь данные есть вообще?
1) какая нагрузка на сам CPU-микротика
2) что показывает утилита Profile
3) хотя бы написали как сделали общие настройки: (входящие порты, исходящие, какова скорость UpLink'а,WAN портов и так далее)
4) прошивка какая?
5) что с файрволом?
6) очереди есть?
7) "ресурс" или "сервер" который в будущем становиться недоступный - подключён в порт микротика или через промежуточную "активку"?

1,2) Нагрузки на CPU почти нет (больше 10 процентов не поднимается)
3) ether1 - wan port, ether2 - master port. ether3-5 slave.

Код: Выделить всё

[admin@MikroTik] > /interface print
Flags: D - dynamic, X - disabled, R - running, S - slave 
 #     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU MAC-ADDRESS      
 0  R  ether1-wan                          ether            1500  1598       8156 6C:3B:6B:5C:87:4B
 1  RS ether2-master                       ether            1500  1598       8156 6C:3B:6B:5C:87:4C
 2   S ether3                              ether            1500  1598       8156 6C:3B:6B:5C:87:4D
 3   S ether4                              ether            1500  1598       8156 6C:3B:6B:5C:87:4E
 4   S ether5                              ether            1500  1598       8156 6C:3B:6B:5C:87:4F
 5  R  ether6-master                       ether            1500  1598       8156 6C:3B:6B:5C:87:51
 6   S ether7                              ether            1500  1598       8156 6C:3B:6B:5C:87:52
 7   S ether8                              ether            1500  1598       8156 6C:3B:6B:5C:87:53
 8   S ether9                              ether            1500  1598       8156 6C:3B:6B:5C:87:54
 9   S ether10                             ether            1500  1598       8156 6C:3B:6B:5C:87:55
10   S sfp1                                ether            1500  1600       8158 6C:3B:6B:5C:87:50
11  R  ;;; defconf
       bridge                              bridge           1500  1598            6C:3B:6B:5C:87:4C

Скорость свитча который воткнут в ether2 - 100мбит.
Ether1-wan - воткнут в cisco, откуда раздает интернет и ресурсы. Скорость 10мбит.

4) Прошивка 6.37.3 (stable) RB3011UiAS
5) фаервол

Код: Выделить всё

[admin@MikroTik] > /ip firewall filter print all
Flags: X - disabled, I - invalid, D - dynamic 
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough 

 1 XI  ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

 2    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 

 3 XI  chain=forward action=accept protocol=icmp log=no log-prefix="" 


 4    ;;; defconf: accept established,related
      chain=input action=accept connection-state=established,related 

 5    ;;; defconf: accept established,related
      chain=forward action=accept connection-state=established,related log=no log-prefix="" 

6) Очередей нет
7) На данный момент через промежуточный свитч Dlink.

[Vlad-2]

1 и 2) = до 10% это даже на пустом роутере как-то много, у меня в конторе на РБ3011
4 разные подсети (WIFi-шки с DHCP в каждом сегменте) + 3 внешних канала и ~80юзеров = до 3-25%
3) - я так понимаю, Вы используете деф-конфигурацию? (не очищали роутер?)
4) В какой то прошивки была проблема "плавающих" портов у данного роутера, поэтому совет самый главный - хотя бы до 6.38.5 обновитесь.
7) а можно этот Длинк убрать, не всегда порты микротика хорошо согласуются....

Ну и по-филосовствуем:
если роутер не нагружен, WAN канал у нас 10-ка, а локалка 100мб, гигабитных линков нету,
то возможно что проблема то и не в роутере/не в NAT'е, ибо для него это пустяк.
Ошибок на циске(на порту) нету?
P.S.
патч-корды поменяйте везде и лучше на заводские.

[End]

Да, правила в фаерволе дефолтные. Пробовал все отключать, ничего не меняется. Коненкторы и прочее все целое (Если я на компьютере меняю шлюз на тот, что за циской, то все работает хорошо, т.е. траффик физически проходит через теже порты но минуя шлюз и логику микротика). Тоже самое со свитчем между ними. Про cpu это я коенчно приувеличил, на самом деле гораздо меньше. Прошивку сейчас обновлю попробую.

[Vlad-2]

а) Да, обновите прошивку!
б) на счёт правил файрволла это итак понятно, но я когда спрашивал про дефолтную конфигурацию,
имел ввиду стандартные пре-заводские настройки. Обычно с ними бывает не мало НО.
Поэтому так как у Вас микротик по факту мало настроен, то лучше после обновления прошивки,
обнулить (очистить) заводскую конфигурацию и руками с нуля задать адреса, маршрут, и другие настройки...
(кнопку QuickSetup также не использовать!) и снова попробовать проверить работу и скорость....
Думаю результат будет явно виден.

[End]

Обновление прошивки не помогло.
Сделал Reset Configuration.
Настроил самый минимум. NAT masquarade, фаервол пустой.
Проблема осталась.

UPD: Такое ощущение, что он обрубает коннект по времени. Даже рдп отрубается очень быстро.

[Vlad-2]

Может Ваш "сервис" имеет лимитность по сессиям через NAT ?

P.S.
пока идеи у меня закончились...

[Vlad-2]

UPD: Такое ощущение, что он обрубает коннект по времени. Даже рдп отрубается очень быстро.

Неа, не должно быть такова....
НАТ сделали явный(конкретный) или обобщённый, а также, с указанием исходящего интерфейса или нет?

[End]

Была мысль, что циска обрубает как-то. Звонил узнавал, сказали что нету ничего такого. На самом деле этот "Сервис" - это сеть другого учреждения. Они же нам и интернет дают. Собственно чтобы управлять интернетом поставили в разрыв между нашей сетью и их циской микротик. Интернет стал подконтролен, а вот с доступом к внутренним ресурсам их сети возникли проблемы.

Не знаю в чем разница между конкретным и обобщенным. Сделано так: chain: srcnat, out-interface: ether1-wan, action: masquarade