День добрый. Проблема в следующем:
Есть сетевые ресурсы за WAN. Чтобы работал интернет и были доступны эти ресурсы создано правило NAT. Все хорошо, пинг стабилен до тех пор пока не начинаются активные действия на ресурсах, например, копирование или чтение данных. Если поставить на копирование, то все начинает копироваться, но где-то через 5 секунд скорость падает до 0 до ресурса проскакивает 2-3 потери или потеря и "Заданный узел недоступен" и соответственно связь обрывается с сообщением о недоступности сетевого ресурса, затем пинг возобновляется и можно повторять. Если подключиться напрямую без микротика, то все работает стабильно. В чем может быть проблема ?
Ресурсы за NAT RB 3011
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Ну а какие нибудь данные есть вообще?
1) какая нагрузка на сам CPU-микротика
2) что показывает утилита Profile
3) хотя бы написали как сделали общие настройки: (входящие порты, исходящие, какова скорость UpLink'а,WAN портов и так далее)
4) прошивка какая?
5) что с файрволом?
6) очереди есть?
7) "ресурс" или "сервер" который в будущем становиться недоступный - подключён в порт микротика или через промежуточную "активку"?
1) какая нагрузка на сам CPU-микротика
2) что показывает утилита Profile
3) хотя бы написали как сделали общие настройки: (входящие порты, исходящие, какова скорость UpLink'а,WAN портов и так далее)
4) прошивка какая?
5) что с файрволом?
6) очереди есть?
7) "ресурс" или "сервер" который в будущем становиться недоступный - подключён в порт микротика или через промежуточную "активку"?
-
- Сообщения: 8
- Зарегистрирован: 08 дек 2016, 08:19
Vlad-2 писал(а):Ну а какие нибудь данные есть вообще?
1) какая нагрузка на сам CPU-микротика
2) что показывает утилита Profile
3) хотя бы написали как сделали общие настройки: (входящие порты, исходящие, какова скорость UpLink'а,WAN портов и так далее)
4) прошивка какая?
5) что с файрволом?
6) очереди есть?
7) "ресурс" или "сервер" который в будущем становиться недоступный - подключён в порт микротика или через промежуточную "активку"?
1,2) Нагрузки на CPU почти нет (больше 10 процентов не поднимается)
3) ether1 - wan port, ether2 - master port. ether3-5 slave.
Код: Выделить всё
[admin@MikroTik] > /interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE ACTUAL-MTU L2MTU MAX-L2MTU MAC-ADDRESS
0 R ether1-wan ether 1500 1598 8156 6C:3B:6B:5C:87:4B
1 RS ether2-master ether 1500 1598 8156 6C:3B:6B:5C:87:4C
2 S ether3 ether 1500 1598 8156 6C:3B:6B:5C:87:4D
3 S ether4 ether 1500 1598 8156 6C:3B:6B:5C:87:4E
4 S ether5 ether 1500 1598 8156 6C:3B:6B:5C:87:4F
5 R ether6-master ether 1500 1598 8156 6C:3B:6B:5C:87:51
6 S ether7 ether 1500 1598 8156 6C:3B:6B:5C:87:52
7 S ether8 ether 1500 1598 8156 6C:3B:6B:5C:87:53
8 S ether9 ether 1500 1598 8156 6C:3B:6B:5C:87:54
9 S ether10 ether 1500 1598 8156 6C:3B:6B:5C:87:55
10 S sfp1 ether 1500 1600 8158 6C:3B:6B:5C:87:50
11 R ;;; defconf
bridge bridge 1500 1598 6C:3B:6B:5C:87:4C
Скорость свитча который воткнут в ether2 - 100мбит.
Ether1-wan - воткнут в cisco, откуда раздает интернет и ресурсы. Скорость 10мбит.
4) Прошивка 6.37.3 (stable) RB3011UiAS
5) фаервол
Код: Выделить всё
[admin@MikroTik] > /ip firewall filter print all
Flags: X - disabled, I - invalid, D - dynamic
0 D ;;; special dummy rule to show fasttrack counters
chain=forward action=passthrough
1 XI ;;; defconf: fasttrack
chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix=""
2 ;;; defconf: accept ICMP
chain=input action=accept protocol=icmp
3 XI chain=forward action=accept protocol=icmp log=no log-prefix=""
4 ;;; defconf: accept established,related
chain=input action=accept connection-state=established,related
5 ;;; defconf: accept established,related
chain=forward action=accept connection-state=established,related log=no log-prefix=""
6) Очередей нет
7) На данный момент через промежуточный свитч Dlink.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
1 и 2) = до 10% это даже на пустом роутере как-то много, у меня в конторе на РБ3011
4 разные подсети (WIFi-шки с DHCP в каждом сегменте) + 3 внешних канала и ~80юзеров = до 3-25%
3) - я так понимаю, Вы используете деф-конфигурацию? (не очищали роутер?)
4) В какой то прошивки была проблема "плавающих" портов у данного роутера, поэтому совет самый главный - хотя бы до 6.38.5 обновитесь.
7) а можно этот Длинк убрать, не всегда порты микротика хорошо согласуются....
Ну и по-филосовствуем:
если роутер не нагружен, WAN канал у нас 10-ка, а локалка 100мб, гигабитных линков нету,
то возможно что проблема то и не в роутере/не в NAT'е, ибо для него это пустяк.
Ошибок на циске(на порту) нету?
P.S.
патч-корды поменяйте везде и лучше на заводские.
4 разные подсети (WIFi-шки с DHCP в каждом сегменте) + 3 внешних канала и ~80юзеров = до 3-25%
3) - я так понимаю, Вы используете деф-конфигурацию? (не очищали роутер?)
4) В какой то прошивки была проблема "плавающих" портов у данного роутера, поэтому совет самый главный - хотя бы до 6.38.5 обновитесь.
7) а можно этот Длинк убрать, не всегда порты микротика хорошо согласуются....
Ну и по-филосовствуем:
если роутер не нагружен, WAN канал у нас 10-ка, а локалка 100мб, гигабитных линков нету,
то возможно что проблема то и не в роутере/не в NAT'е, ибо для него это пустяк.
Ошибок на циске(на порту) нету?
P.S.
патч-корды поменяйте везде и лучше на заводские.
-
- Сообщения: 8
- Зарегистрирован: 08 дек 2016, 08:19
Да, правила в фаерволе дефолтные. Пробовал все отключать, ничего не меняется. Коненкторы и прочее все целое (Если я на компьютере меняю шлюз на тот, что за циской, то все работает хорошо, т.е. траффик физически проходит через теже порты но минуя шлюз и логику микротика). Тоже самое со свитчем между ними. Про cpu это я коенчно приувеличил, на самом деле гораздо меньше. Прошивку сейчас обновлю попробую.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
а) Да, обновите прошивку!
б) на счёт правил файрволла это итак понятно, но я когда спрашивал про дефолтную конфигурацию,
имел ввиду стандартные пре-заводские настройки. Обычно с ними бывает не мало НО.
Поэтому так как у Вас микротик по факту мало настроен, то лучше после обновления прошивки,
обнулить (очистить) заводскую конфигурацию и руками с нуля задать адреса, маршрут, и другие настройки...
(кнопку QuickSetup также не использовать!) и снова попробовать проверить работу и скорость....
Думаю результат будет явно виден.
б) на счёт правил файрволла это итак понятно, но я когда спрашивал про дефолтную конфигурацию,
имел ввиду стандартные пре-заводские настройки. Обычно с ними бывает не мало НО.
Поэтому так как у Вас микротик по факту мало настроен, то лучше после обновления прошивки,
обнулить (очистить) заводскую конфигурацию и руками с нуля задать адреса, маршрут, и другие настройки...
(кнопку QuickSetup также не использовать!) и снова попробовать проверить работу и скорость....
Думаю результат будет явно виден.
-
- Сообщения: 8
- Зарегистрирован: 08 дек 2016, 08:19
Обновление прошивки не помогло.
Сделал Reset Configuration.
Настроил самый минимум. NAT masquarade, фаервол пустой.
Проблема осталась.
UPD: Такое ощущение, что он обрубает коннект по времени. Даже рдп отрубается очень быстро.
Сделал Reset Configuration.
Настроил самый минимум. NAT masquarade, фаервол пустой.
Проблема осталась.
UPD: Такое ощущение, что он обрубает коннект по времени. Даже рдп отрубается очень быстро.
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
- Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
End писал(а):UPD: Такое ощущение, что он обрубает коннект по времени. Даже рдп отрубается очень быстро.
Неа, не должно быть такова....
НАТ сделали явный(конкретный) или обобщённый, а также, с указанием исходящего интерфейса или нет?
-
- Сообщения: 8
- Зарегистрирован: 08 дек 2016, 08:19
Была мысль, что циска обрубает как-то. Звонил узнавал, сказали что нету ничего такого. На самом деле этот "Сервис" - это сеть другого учреждения. Они же нам и интернет дают. Собственно чтобы управлять интернетом поставили в разрыв между нашей сетью и их циской микротик. Интернет стал подконтролен, а вот с доступом к внутренним ресурсам их сети возникли проблемы.
Не знаю в чем разница между конкретным и обобщенным. Сделано так: chain: srcnat, out-interface: ether1-wan, action: masquarade
Не знаю в чем разница между конкретным и обобщенным. Сделано так: chain: srcnat, out-interface: ether1-wan, action: masquarade