Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте.
Ростелеком, 100 мбит интернет через PPPoE, IPTV на приставке в выделенном порту ether2. Клиенты получают интернет через ether3-5 и по воздуху.
Все работает замечательно, кроме одного. Когда пользователи активно качают из инета, приставке не хватает ширины канала (для HD фильмов ей надо 11-15 мбит) - изображение рассыпается, замирает . Как попроще дать самый высокий приоритет траффика на приставку? А уже всю остальную ширину канала на интернет?

Конфигурация

Думаю что нужно включать файрволл на бридже и размечать трафик
Схема как это все будет проходить ниже
https://wiki.mikrotik.com/wiki/Manual%3APacket_Flow

Ну и это все пипец будет как жрать ресурсы cpu

Да не должно быть такова, таких схем (создания отдельного бриджа для IPTV)
делалась уже порядком много, никогда не слышал проблем от такова подхода.

1) надо проанализировать что куда у Вас там бегает, и как.

2) включить HW - но надо выбрать для кого будем включать (для локального бриджа,
или для бриджа IPTV), если локальными портами клиент не пользуется, или
мало очень, то HW я включаю на портах бриджа IPTV, а иначе, если у клиента
есть комп, ноутбук, то конечно включаю HW для локального бриджа,
так как локальная сеть всегда будет работать на полную скорость, а 10-15
мегабит для каналов = роутер программно спокойно прожуёт.

3) ну и надо проверить...а может ли 952 модель прожевать полные честные 100мбит
Интернета (NAT) + 11-15 мбит ещё и трафика IPTV?
Может проще взять 50-70 мбит тариф...и оставить запас по "физике" для трафика IPTV?

P.S.
Да и конфиг Вы не весь показали, может у Вас там ещё что-то настроено, что
съедает ресурсы, тот же IGMP пакет, ставят все, а зачем многие не знают.
Я бы ещё скинул бы роутер в чистое состояние, когда делаются настройки
на пре-заводских настройках, глюки = как норма.

Vlad-2 писал(а): ↑26 июл 2019, 15:39 2) включить HW - но надо выбрать для кого будем включать (для локального бриджа,
или для бриджа IPTV)

Спасибо за наводку, никогда не задумывался, что HW, оказывается, будет работать только на одном бридже, в моем случае. Естественно, у меня HW оказался включенным на локальном, хотя локальный порт используется только один почти всегда. Попробую HW на бридже IPTV, отпишусь.
А по поводу конфигов, у меня почти все стандартно. IGMP не стоит, шейперов нет, fasttrack включен, стандартная защита от скана портов и перебора паролей в firewall.
На картинке - максимальная загрузка канала - HD контент на приставке + торрент качалка на компе. HW включен на локальном бридже, есть небольшие рассыпания картинки. Загрузка проца роутера около 35%

макс. нагрузка

navisal писал(а): ↑30 июл 2019, 12:40 Спасибо за наводку, никогда не задумывался, что HW, оказывается, будет работать только на одном бридже, в моем случае. Естественно, у меня HW оказался включенным на локальном, хотя локальный порт используется только один почти всегда. Попробую HW на бридже IPTV, отпишусь.

А HW и должен работать на одном ЛОГИЧЕСКОМ лишь бридже, раньше у микротиков
был мастер-порт, это функция явно давала понять какой порт и другие связанные порты
будут между собой обмениваться через чип коммутации и не грузить проц микротика.
И мастер-порт был один и к нему можно было лишь подключить одну логическую
связку. ИСКЛЮЧЕНИЕ - это роутеры РБ2011/3011 которые физически имели
2 группы и соответственно там внутри одной группы портов можно тоже лишь
один мастер-порт сделать или одиножды использовать HW

navisal писал(а): ↑30 июл 2019, 12:40 А по поводу конфигов, у меня почти все стандартно. IGMP не стоит, шейперов нет, fasttrack включен, стандартная защита от скана портов и перебора паролей в firewall.

А тут Вы скромничаете, что за защита от скана? что защита от перебора? Покажите?
Фасттрак я не использую, люблю нативное явное использование всех возможностей
роутера.
Опять же, Вы описали что качалка стоит (торрент) = торрент может любой канал убить,
пакетов куча, они маленькие, так что я пока опять повторю свои слова = обычно нет
такой проблемы, где то Вы перехимичали.
Или под Ваши задачи уже требуется МОЩНАЯ железка.

navisal писал(а): ↑30 июл 2019, 12:40 На картинке - максимальная загрузка канала - HD контент на приставке + торрент качалка на компе. HW включен на локальном бридже, есть небольшие рассыпания картинки. Загрузка проца роутера около 35%

Отключите фасттрак, перегрузите роутер, и нагрузите канал, торренты и попробуйте
ещё раз проверить картинку.
Также ещё раз выскажу, что проще понизить тариф, но оставить физический запас
в "кабеле" для IPTV

P.S.
Жду конфигов защиты....
И кстати, опять же = по рекомендациям, файрвол не должен быть большим.
(25 правил советуют).

Vlad-2 писал(а): ↑30 июл 2019, 18:53 А HW и должен работать на одном ЛОГИЧЕСКОМ лишь бридже

Потестил HW на ИПТВ-бридже - проблема рассыпания картинки исчезла полностью, спасибо еще раз за наводку. При характере трафика, как на картинке в предыдущем посте, загрузка процессора роутера даже упала до 25% - это при включенном фасттрак. При отключенном - рассыпаний тоже нет, но загрузка в районе 65%.

Vlad-2 писал(а): ↑30 июл 2019, 18:53 Жду конфигов защиты....

Покритикуйте

И тему можно закрывать

ip firewall filter

Код: Выделить всё

/ip firewall filter
add action=add-src-to-address-list address-list=perebor_portov_drop \
    address-list-timeout=30m chain=input comment=Perebor_portov_add_list \
    dst-port=22,3389,5060,8291 in-interface=pppoe-out1 log-prefix=Attack \
    protocol=tcp
add action=drop chain=input comment=Perebor_portov_list_drop in-interface=\
    pppoe-out1 src-address-list=perebor_portov_drop
add chain=input comment=Allow_limited_pings in-interface=pppoe-out1 limit=\
    50/5s,2:packet protocol=icmp
add action=drop chain=input comment=Pings_Drop in-interface=pppoe-out1 \
    protocol=icmp
add action=add-dst-to-address-list address-list=connection-limit \
    address-list-timeout=1d chain=input comment=Connection_limit \
    connection-limit=200,32 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input comment=Adr_list_connection-limit_drop \
    in-interface=pppoe-out1 src-address-list=connection-limit
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
    protocol=icmp
add action=drop chain=input comment=Port_scanner_drop src-address-list=\
    "port scanners"
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=jump chain=forward comment="Jump Drop-Bruteforcers RDP" \
    connection-state=new dst-port=3389 jump-target=check-bruteforce protocol=\
    tcp
add action=jump chain=forward connection-state=new dst-port=3389 jump-target=\
    check-bruteforce protocol=udp
add action=drop chain=forward comment="Drop-Bruteforcers RDP" \
    connection-state=new src-address-list=bruteforcer
add action=add-src-to-address-list address-list=bruteforcer \
    address-list-timeout=10m chain=check-bruteforce src-address-list=\
    bruteforce-stage-5
add action=add-src-to-address-list address-list=bruteforce-stage-5 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    bruteforce-stage-4
add action=add-src-to-address-list address-list=bruteforce-stage-4 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    bruteforce-stage-3
add action=add-src-to-address-list address-list=bruteforce-stage-3 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    bruteforce-stage-2
add action=add-src-to-address-list address-list=bruteforce-stage-2 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    bruteforce-stage-1
add action=add-src-to-address-list address-list=bruteforce-stage-1 \
    address-list-timeout=1m chain=check-bruteforce
add action=drop chain=input comment=Drop_winbox_black_list dst-port=5322,5391 \
    in-interface=pppoe-out1 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \
    address-list-timeout=5m chain=input connection-state=new dst-port=\
    5322,5391 in-interface=pppoe-out1 protocol=tcp src-address-list=\
    Winbox_Ssh_stage3
add action=add-src-to-address-list address-list=Winbox_Ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    5322,5391 in-interface=pppoe-out1 protocol=tcp src-address-list=\
    Winbox_Ssh_stage2
add action=add-src-to-address-list address-list=Winbox_Ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    5322,5391 in-interface=pppoe-out1 protocol=tcp src-address-list=\
    Winbox_Ssh_stage1
add action=add-src-to-address-list address-list=Winbox_Ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    5322,5391 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=input comment=Accept_Winbox_Ssh dst-port=5322,5391 \
    in-interface=pppoe-out1 protocol=tcp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN

Russian Users MikroTik | Форум пользователей MikroTik

[Решено] Приоритет для приставки IPTV

[Решено] Приоритет для приставки IPTV

Re: Приоритет для приставки IPTV

Re: Приоритет для приставки IPTV

Re: Приоритет для приставки IPTV

Re: Приоритет для приставки IPTV

Re: Приоритет для приставки IPTV