Russian Users MikroTik | Форум пользователей MikroTik

Кнопочка "Torch". далее думаю понятно будет...

Проблема решена.
Микротик не причем. Нам предоставляется статический IP. Из за этого на нас начали сыпаться DNS запросы. Маршрутизатор их обрабатывал и отвечал на них. Вот исходящий канал и закончился.
Решение.
Нужно добавить правило в firewall.
/ip firewall filter add chain=input in-interface=ВНЕШНИЙ protocol=udp port=53 action=drop

Да этой "проблеме" уж столько лет)))

Если я понял правильно, то /ip firewall filter add chain=input in-interface=bridge protocol=udp port=53 action=drop не помогло
RouterBOARD 962UiGS-5HacT2HnT

RouterBOARD 962UiGS-5HacT2HnT

Код: Выделить всё

/interface bridge
add admin-mac=***** auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=*****
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=***** use-peer-dns=yes user=*****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=ukraine disabled=no distance=indoors frequency=auto frequency-mode=superchannel mode=ap-bridge ssid=***** wireless-protocol=802.11 wmm-support=enabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=**** disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=**** wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key="*****" wpa2-pre-shared-key="*****"
/ip pool
add name=dhcp ranges=192.168.1.133-192.168.1.139
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/interface wireless access-list
add mac-address=****
add mac-address=****
add mac-address=****
/ip address
add address=****/24 comment=defconf interface=bridge network=****
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=****/24 comment=defconf gateway=**** netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=*** name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
# in/out-interface matcher not possible when interface (wlan2) is slave - use master instead (bridge)
add action=drop chain=input in-interface=wlan2 port=53 protocol=udp
add action=drop chain=input in-interface=bridge port=53 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=****
/system identity
set name=router
/system leds
set 0 interface=wlan1
set 1 interface=wlan2
/system routerboard settings
set cpu-frequency=720MHz protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

dr_dre писал(а):Если я понял правильно, то /ip firewall filter add chain=input in-interface=bridge protocol=udp port=53 action=drop не помогло
RouterBOARD 962UiGS-5HacT2HnT

RouterBOARD 962UiGS-5HacT2HnT

Код: Выделить всё

/interface bridge
add admin-mac=***** auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] mac-address=*****
set [ find default-name=ether2 ] name=ether2-master
set [ find default-name=ether3 ] master-port=ether2-master
set [ find default-name=ether4 ] master-port=ether2-master
set [ find default-name=ether5 ] master-port=ether2-master
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=***** use-peer-dns=yes user=*****
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=ukraine disabled=no distance=indoors frequency=auto frequency-mode=superchannel mode=ap-bridge ssid=***** wireless-protocol=802.11 wmm-support=enabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=**** disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=**** wireless-protocol=802.11 wmm-support=enabled wps-mode=disabled
/ip neighbor discovery
set ether1 discover=no
set bridge comment=defconf
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key="*****" wpa2-pre-shared-key="*****"
/ip pool
add name=dhcp ranges=192.168.1.133-192.168.1.139
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/interface wireless access-list
add mac-address=****
add mac-address=****
add mac-address=****
/ip address
add address=****/24 comment=defconf interface=bridge network=****
/ip dhcp-client
add comment=defconf dhcp-options=hostname,clientid interface=ether1
/ip dhcp-server network
add address=****/24 comment=defconf gateway=**** netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=*** name=router
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=pppoe-out1
# in/out-interface matcher not possible when interface (wlan2) is slave - use master instead (bridge)
add action=drop chain=input in-interface=wlan2 port=53 protocol=udp
add action=drop chain=input in-interface=bridge port=53 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=pppoe-out1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=****
/system identity
set name=router
/system leds
set 0 interface=wlan1
set 1 interface=wlan2
/system routerboard settings
set cpu-frequency=720MHz protected-routerboot=disabled
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=bridge
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=bridge

Вы хотите защититься от внешних подключений по 53 порту, а запрещающее правило вещаете на внутренний интерфейс, поэтому и "не помогло".

Неправильно понял, неправильно. Цепочку input на интерфейсе, смотрящем в интернет обрабатывают в данном случае, которая парой строк выше у вас дропнута практически вся))), это первое. Второе, вы о чем вообще? Третье - первое правило поиска узкого места гласит: "Отключи правила фаервола для получения адекватного результата!" Ну и четвертое - копипаст правил вообще не вариант, тут каждое обдумать надо.

Что надо делать?
Это настройки по умолчанию, я пока там еще ничего не успел поменять:-)
Я также отменил все запрещающие правила для firewall, перепрошил, но на скорость аплоада это не повлияло

dr_dre писал(а):Что надо делать?

Думать!
Вот пару строк (под спойлером), с микротика кореша, у него привычка рррое подключениям давать явные имена,
поэтому у вас, вместе in-interface=RTCom должно быть in-interface=pppoe-out1, сам специально я не меняю,
чтобы тупого копирования не было. Подумайте, поймите, и сделайте!
Надеюсь поправить название профиля РРРоЕ сможете? :-)

Vlad-2 писал(а):
dr_dre писал(а):Что надо делать?

Думать!

Проблема с upload решена, это была аппаратная проблема. У товарища оказался такой же, провели сравнение на тех же условиях и была выявлена проблема. Настройки были default и настроены, перепрошивка и смена версии ОС ничего не дала.
Вопрос с организацией DDNS остался открытым.

1 в 1 проблема, тоже на 962UiGS-5HacT2HnT и тоже, похоже, аппаратная. Так же режет исходящую в 10 раз при малейшей обработке трафика на роутере, даже если это простая маршрутизация.

Russian Users MikroTik | Форум пользователей MikroTik

MikroTik режет скорость

Re: MikroTik режет скорость

Re: MikroTik режет скорость

Re: MikroTik режет скорость

Re: MikroTik режет скорость

Re: MikroTik режет скорость

Re: MikroTik режет скорость

Re: MikroTik режет скорость

Re: MikroTik режет скорость

Re: MikroTik режет скорость

Re: MikroTik режет скорость