Режется скорость pppoe соединения.

Обсуждение оборудования и его настройки
Аватара пользователя
georgiy
Сообщения: 5
Зарегистрирован: 26 мар 2018, 11:21
Откуда: Тверь

Доброго дня форумчане!

Железка - CRS112-8G-4S

Столкнулся со странной проблемой ранее не встречаемой мной с микротиками, и не могу точно ответить "кто виноват", я, микротик или провайдер...
Суть следующая у нас единственно возможный интернет провайдер. Работает сугубо через pppoe, просто белый ip отказывается давать.
Установили сейчас скорость 60 Mbit и тут уже начинаются странности
Меряем через ноут - скорость 60 (+/- 2-3 MB), а через Mikrotik максимум что выжал 24 Mb
Пробовал прошивки:
* 6.39.3 (роутербоард обновлял)
* 6.41 (роутербоард обновлял)
* 6.41.2 (роутербоард обновлял) - здесь и было 24 МБ, лучший результат.

Разумеется сброс всех настроек в ноль проводил

Мне подсказывали, да я и сам догадывался что надо порыться в MTU, но сам опыта "копания" в нем не имею. А провайдер тока руками гад разводит.
- "На ноуте работает - виновато ваше оборудование" только от него и слышал.

Может кто то подсказать что за странность такая? Плюс начал захлебываться "проц" если я правильно понимаю... Ещё сам не видел, но по убеждением народа сужу именно так. на микротике не висит толком ничего, но когда один человек сидит в интернете, другому интернета уже не хватает. я понимаю что скорости всего 20 МБ, но что бы на столько жёстко что даже сайты не открывались...

Заранее благодарен.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

1) что показывает утилита Profile (попробовать без нагрузки(без рррое) и попробовать под нагрузкой/закачкой)
2) правил файрвола много?
3) ну и хотелось бы конфиг поглядеть...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
georgiy
Сообщения: 5
Зарегистрирован: 26 мар 2018, 11:21
Откуда: Тверь

1) Это в течении недели постараюсь собрать. Сейчас около 20% загрузка, с чего - не понимаю. То что трафик по оптике бегает, так блин смешной же ж трафик, чего такая загрузка не пойму.
2) ну по своему опыту настройки я бы сказал практически нет. штук 6 примерно. дроп 53, маскарад и один порт обьявленный. Мангл все отключил сейчас.
3) Да не вопрос в принципе. Там немного мусора (все пробами и ошибками как обычно), но в целом все понятно должно быть. https://drive.google.com/open?id=1lqS4y ... 3RELc1px7U


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

georgiy писал(а): 26 мар 2018, 12:15 1) Это в течении недели постараюсь собрать. Сейчас около 20% загрузка, с чего - не понимаю. То что трафик по оптике бегает, так блин смешной же ж трафик, чего такая загрузка не пойму.
НУ это свитч всё же, для него определённый трафик - уже нагрузка.
georgiy писал(а): 26 мар 2018, 12:15 2) ну по своему опыту настройки я бы сказал практически нет. штук 6 примерно. дроп 53, маскарад и один порт обьявленный. Мангл все отключил сейчас.
Ну и сокращать не надо, но и да, много тоже. Для экономии ресурсов, переделайте защиту порта 53 из обычной цепочки Filter Rules в цепочку Raw,
это существенно снизит также нагрузку (может даже те 20% от прохода трафика превратятся в 10-12% всего).
georgiy писал(а): 26 мар 2018, 12:15 3) Да не вопрос в принципе. Там немного мусора (все пробами и ошибками как обычно), но в целом все понятно должно быть. https://drive.google.com/open?id=1lqS4y ... 3RELc1px7U
Конфиг в текстовом формате прошу и тут сразу, бинарный бэкап увы - всё равно что архив с паролем - бесполезен.
(в консоле подать команду: export file=MyCFG
и уже в блокноте убрать из конфига пароли, и секретные данные).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
georgiy
Сообщения: 5
Зарегистрирован: 26 мар 2018, 11:21
Откуда: Тверь

Про настройку RAW пока даже не слышал. надо будет ещё покопаться.

За файл прошу прощения, сам же на это уже несколько раз напарывался дурак...
Вроде все секретное вырезал :)

Код: Выделить всё

# mar/26/2018 17:40:08 by RouterOS 6.41.3
# software id = V77L-JDWA
#
# model = CRS112-8G-4S
# serial number = 80000000000067
/caps-man channel
add band=2ghz-b/g/n frequency=2412 name=channel1 tx-power=30
/interface bridge
add admin-mac=64:D1:54:4C:94:B7 auto-mac=no comment=Local name=bridge-local \
    protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=RegSv
set [ find default-name=ether8 ] comment=MTS
/interface pppoe-client
add comment="ping ya.ru size=1500 do-not-fragment" disabled=no interface=\
    ether1 keepalive-timeout=disabled max-mru=1492 max-mtu=1492 mrru=1600 \
    name=RegionSvyaz_vpn password= user=a387
/interface l2tp-client
add allow=mschap2 connect-to=93.91.11.11 disabled=no ipsec-secret=\
    video_server keepalive-timeout=disabled mrru=1500 name=l2tp-video \
    password=D use-ipsec=yes user=ruslan_video
/caps-man datapath
add bridge=bridge-local client-to-client-forwarding=yes name=datapath1
/caps-man security
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm \
    group-encryption=aes-ccm name=security1 passphrase=D26.03.2018
/caps-man configuration
add channel=channel1 datapath=datapath1 mode=ap name=cfg1 rx-chains=0,1,2 \
    security=security1 ssid=Ruslan tx-chains=0,1,2
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp_pool1 ranges=192.168.1.101-192.168.1.150
/ip dhcp-server
add address-pool=dhcp_pool1 authoritative=after-2sec-delay disabled=no \
    interface=bridge-local lease-time=10h name=Home
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    cfg1
add action=create-dynamic-enabled master-configuration=cfg1 radio-mac=\
    64:D1:54:F7:81:79
/interface bridge port
add bridge=bridge-local interface=ether3
add bridge=bridge-local interface=ether4
add bridge=bridge-local interface=ether5
add bridge=bridge-local interface=ether6
add bridge=bridge-local interface=ether7
add bridge=bridge-local interface=sfp9
add bridge=bridge-local interface=sfp10
add bridge=bridge-local interface=sfp11
add bridge=bridge-local interface=sfp12
add bridge=bridge-local interface=ether2
/interface list member
add interface=bridge-local
add interface=l2tp-video
/ip address
add address=192.168.1.1/24 interface=bridge-local network=192.168.1.0
/ip dhcp-client
add add-default-route=no dhcp-options=hostname,clientid disabled=no \
    interface=ether8 use-peer-dns=no
/ip dhcp-server lease
add address=192.168.1.171 client-id=1:64:d1:54:f7:81:a9 mac-address=\
    64:D1:54:F7:81:A9 server=Home
add address=192.168.1.170 client-id=1:64:d1:54:f7:81:79 mac-address=\
    64:D1:54:F7:81:79 server=Home
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall address-list
add address=192.168.1.0/24 list=LocalNet
/ip firewall filter
# RegionSvyaz_vpn not ready
add action=add-src-to-address-list address-list="dns flood" \
    address-list-timeout=1h chain=input dst-port=53 in-interface=\
    RegionSvyaz_vpn protocol=udp
# RegionSvyaz_vpn not ready
add action=drop chain=input dst-port=53 in-interface=RegionSvyaz_vpn \
    protocol=udp src-address-list="dns flood"
add action=drop chain=forward dst-port=15300 protocol=tcp src-address=\
    192.168.1.76
/ip firewall mangle
add action=mark-connection chain=input disabled=yes dst-address=84.47.18.74 \
    in-interface=RegionSvyaz_vpn new-connection-mark=RegSv-Input passthrough=\
    no
add action=mark-connection chain=input disabled=yes dst-address=192.168.0.100 \
    in-interface=ether8 new-connection-mark=MTS-Input passthrough=no
add action=mark-routing chain=output connection-mark=MTS-Input disabled=yes \
    new-routing-mark=MTS_mark passthrough=no
add action=mark-connection chain=input disabled=yes dst-address=192.168.11.7 \
    new-connection-mark=fastlink_l2tp passthrough=no
add action=mark-routing chain=output connection-mark=fastlink_l2tp disabled=\
    yes new-routing-mark=l2tp_fastlink_mark passthrough=no
add action=mark-routing chain=prerouting disabled=yes dst-address-list=\
    LocalNet new-routing-mark=LocalNet passthrough=no src-address=\
    192.168.1.0/24
add action=mark-routing chain=output connection-mark=RegSv-Input disabled=yes \
    new-routing-mark=RegionSvyaz_mark passthrough=no
/ip firewall nat
# RegionSvyaz_vpn not ready
add action=masquerade chain=srcnat comment=NAT_RegionSvyaz out-interface=\
    RegionSvyaz_vpn
add action=masquerade chain=srcnat comment=NAT_MTS out-interface=ether8
add action=dst-nat chain=dstnat dst-port=49659 protocol=tcp to-addresses=\
    192.168.1.199 to-ports=8000
add action=masquerade chain=srcnat comment=vpn out-interface=l2tp-video
add action=dst-nat chain=dstnat disabled=yes dst-port=8808 protocol=tcp \
    to-addresses=192.168.1.199 to-ports=80
add action=dst-nat chain=dstnat disabled=yes dst-address=93.91.11.11 \
    dst-port=49659 protocol=tcp to-addresses=192.168.1.199 to-ports=8000
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add comment=RegSv disabled=yes distance=3 gateway=10.0.0.1 routing-mark=\
    RegionSvyaz_mark
add distance=30 gateway=192.168.11.1 routing-mark=l2tp_fastlink_mark
add comment=MTS distance=2 gateway=192.168.0.254
add distance=1 dst-address=8.8.4.4/32 gateway=RegionSvyaz_vpn
add disabled=yes distance=50 dst-address=93.91.11.11/32 gateway=\
    192.168.0.254
add distance=1 dst-address=192.168.8.0/24 gateway=192.168.0.254
add distance=1 dst-address=192.168.12.8/32 gateway=192.168.11.1
add distance=1 dst-address=192.168.30.0/24 gateway=192.168.11.1
/ip route rule
add action=lookup-only-in-table comment=192.168.1.199 disabled=yes \
    src-address=192.168.1.199/32 table=RegionSvyaz
/ip service
set telnet address=192.168.1.0/24
set ftp disabled=yes
set www address=192.168.1.0/24
set ssh disabled=yes
set api disabled=yes
set winbox port=8800
set api-ssl disabled=yes
/ip smb shares
set [ find default=yes ] directory=/pub
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=89.109.251.25
/system watchdog
set watchdog-timer=no


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Бедный свитч, ну и Вы слукавили что у Вас всё просто:

1) у Вас и маркировка трафика
2) тут у Вас и ВПН сервер поднят (юзер руслан?)
3) два канала (опять же базируются и на рррое и на л2тп), а л2тп - сам по себе уже нагрузка
4) у Вас (если я мельком увидел) - ещё на свитче запущен CAPSMAN ?
5) ну и так как я не знаю специфику - не совсем мне понятно что в манглах Вы там делаете
6) в файрволе, в закладке Services Ports буквально всё всё отключать не надо, фтп и рртр я бы оставил
7) МТС - идёт как статика подключение или через туннельные протоколы?


Может быть:
а) отключайте все правила, все манглы, останавливайте ВПН подключения,
и постарайтесь выжать на одном канале без посторонних скорость.
Надо понять в чём проблема, но 60мегабит должно быть по любому.

б) Скорее всего Вам нужна другая в будущем железка



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
georgiy
Сообщения: 5
Зарегистрирован: 26 мар 2018, 11:21
Откуда: Тверь

Благодарю за советы, и так по порядку:

1) я маркировку понимаю как мангл, но я отключил все правила. Они что и отключенные грузят систему?
2) Впн сервер внутри канала, ну 5% на него процессора я понимаю, так это хотя бы когда трафик ходит. Плюс я не включал шифровку, так что не должно чудовищно грузить
3) Про два канала не совсем понял. у меня один выход в интернет через 1 порт и соединение pppoe, который как раз никак выше 24 МБ и не поднимается. А VPN чисто для управления.
4) Капс ман мне казалось грузит не сильно, а то это вообще бессмысленно получится, не охота на точку выносить капс ман, а то если она свалится ... ну вообщем самое логичное на центральный свитч по моему мнению.
5) В манглах делал что бы внутри сети виделось все на обоих провайдеров, в конечном счете решено отказаться ибо не хочется на "даче" платить сразу за двух. ну пока и одного нормального не могу найти. Была оптика, и вот чудеса "нагрузки" на канал просаживает его. Потом LTE притащили, он в пике показывал 50-55 МБ, обрадовался думал будет теперь все ахонь, так прошло 3 недели и канал сузили до 12-15 МБ, сотовые операторы тоже жадные.
6) Ну мне как бы сервисы такие не нужны, я все и заблочил
7) МТС - это модем воткнутый в ТП-Линк, которые висят на столбе в направленной LTE антенне. и по PoE кабелю приходит в микротик (длинна метров 15, хотя это значения особого не имеет)


Как я писал в самом начале темы я пробовал все на разных прошивках со сбросом в ноль и последующей настройкой и отключением всего кроме интернет кабеля и ноутбука на котором тестировал. Так что пока так же как и было тупик.

Другая железка - это не вариант, так как тут 1,5 человека и видеорегистратор с FHD на 5 МБит максимум. Если это железка не тянет такой смешной трафик. то я в ужасе... На кой черт тогда туда 4 порта оптики, да она умрет если попросту через эти 4 порта трафик пустить (если верить текущей нагрузке и тому что Вы мне рассказали), я уже не говорю что бы что то роутить


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

а) на счёт каналов, у Вас и РегионСвязь и МТС = вот два канала, да и Вы сами в 5-м пункте
описываете что делали в манглах правила для двух провайдеров.
б) железка должна и выжимает 60мегабит, во всяком случаи по тестам точно
в) сделайте анализ МТУ на другом роутере и скорректируйся уже на Микротике (если Ваш провайдер не может
Вам так дать нужные значения или их оборудование работает на не стандартных значениях).
г) ну железке не важно, 1.5 человека или 15 = есть пропускная мощность, кол-во пакетов, скоростные
режимы, можете зайти на сайт производителя и по каждой железке есть таблица тестов
результатов и так далее. Заодно и посмотрите что по чём.

Думаю честнее всего и правдивее будет:
на чистой железке сделать (подключить) рррое и пытаться добиться скорости,
и уже потом делать тюнинг и так далее....при этом смотря по утилите Profile что
у Вас выходит в итоге.

P.S.
Идея, сделайте РРРоЕ сервер на Вашей железке, на ноутбуке сделайте РРРоЕ клиент,
и попробуйте с ноутбука подключиться по РРРоЕ и покачать(прокачать)....
Задача - убедиться на практике что прямое РРРоЕ подключение (в сессии установленной на/с роутера)
может выжимать более 24мбит....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
georgiy
Сообщения: 5
Зарегистрирован: 26 мар 2018, 11:21
Откуда: Тверь

За последнюю идею спасибо, попробую!

З.Ы. Манглы все отключил, я ничего уже не тюнингую, просто человеку хоть как то пользоваться надо, без интернета нынче жизнь встает :)


maksonik
Сообщения: 2
Зарегистрирован: 08 ноя 2022, 17:21

Брат Георгий, или тот кто сталкивался с такой же проблемой, как удалось решить? Второй день голову ломаю, никак не справиться. Напишите пожалуйста. С меня печеньки!


Ответить