Тормоза при работе IGMP Proxy

Обсуждение ПО и его настройки
Synoptic
Сообщения: 12
Зарегистрирован: 14 май 2023, 09:36

Ребят, привет!
Есть два MikroTik hAP ac² на RouterOS 6.49.7.
Первый является шлюзом к провайдеру, плюс он рулит трафиком.
Второй микроик стоит там, куда плохо добивает первый микрот, на втором порты объеденины в бридж и соединены витой парой с первым. WiFi на втором микроте управляется по CAPsMan. Конфиги я приложил.
Всё было круто до момента, пока я не поставил IGMP Proxy для IPTV. Физически телек подключен к TV-приставке на андроиде, а приставка подключена витой парой ко второму микротику.
Сейчас, когда телек выключен (IGMP не активен), всё отлично как и раньше.
Если включить телек, то на некоторых каналах картинка может превращаться в слайды, при нормальном звуке. А ютюб на телефоне (Wi-Fi 2.4Ггц) начинает тормозить на качестве 720 и выше. Нагрузка на CPU микротов при этом единицы (2-4) процентов.

Подскажите пожалуйста, что я делаю не так? Как можно нормализовать ситуацию?

Конфиг первого микротика:

Код: Выделить всё

# may/14/2023 14:35:29 by RouterOS 6.49.7
# software id = 065B-YNE4
#
# model = RBD52G-5HacD2HnD
# serial number = **********
/caps-man channel
add band=2ghz-b/g/n frequency=2422 name="home 2G"
/interface bridge
add name=bridge1
/interface ethernet
set [ find default-name=ether2 ] name=LAN2-Master
set [ find default-name=ether1 ] name=WAN1
/interface pppoe-client
add add-default-route=yes interface=WAN1 name=pppoe-RT password=******** \
    user=fttx******
/interface wireless
# managed by CAPsMAN
# channel: 2422/20-Ce/gn(27dBm), SSID: Sky, local forwarding
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
    country=russia disabled=no frequency=2422 installation=indoor mode=\
    ap-bridge ssid=Sky station-roaming=enabled
set [ find default-name=wlan2 ] ssid=MikroTik station-roaming=enabled
/caps-man datapath
add bridge=bridge1 client-to-client-forwarding=yes l2mtu=1600 \
    local-forwarding=yes mtu=1500 name="datapath 2G"
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name="security 2G" \
    passphrase="*******"
/caps-man configuration
add channel="home 2G" datapath="datapath 2G" hide-ssid=no mode=ap \
    multicast-helper=disabled name=cfg2G rx-chains=0,1,2,3 security=\
    "security 2G" ssid=Sky tx-chains=0,1,2,3
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key="*******"
/ip pool
add name=dhcp_pool0 ranges=192.168.219.86-192.168.219.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge1 lease-time=3d name=\
    dhcp1
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=cfg2G name-format=\
    prefix-identity name-prefix=2G
/interface bridge filter
add action=drop chain=output out-interface=wlan1 packet-type=multicast
/interface bridge port
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
add bridge=bridge1 interface=LAN2-Master
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface wireless access-list
add comment="ASUS" interface=wlan1 mac-address=\
    40:B0:76:00:00:00 vlan-mode=no-tag
add comment="Lenovo" interface=wlan1 mac-address=E0:94:67:00:00:00 \
    vlan-mode=no-tag
add comment="phone" interface=wlan1 mac-address=FC:53:9E:00:00:00 \
    vlan-mode=no-tag
add comment=iPad interface=wlan1 mac-address=34:E2:FD:00:00:00 vlan-mode=\
    no-tag
add comment="HP" interface=wlan1 mac-address=18:F4:6A:00:00:00 \
    vlan-mode=no-tag
add comment="Lenovo2" interface=wlan1 mac-address=\
    9C:B7:0D:00:00:00 vlan-mode=no-tag
/interface wireless cap
# 
set bridge=bridge1 discovery-interfaces=bridge1 enabled=yes interfaces=wlan1
/ip address
add address=192.168.219.85/24 interface=bridge1 network=192.168.219.0
/ip dhcp-client
add disabled=no interface=WAN1
/ip dhcp-server lease
add address=192.168.219.86 comment=Q1 mac-address=00:24:1D:00:00:00
add address=192.168.219.90 comment=DiskStation mac-address=00:11:32:00:00:00
add address=192.168.219.91 comment="HP" mac-address=\
    18:F4:6A:00:00:00
add address=192.168.219.96 client-id=1:8:0:27:2e:54:ad comment=IE7-Virtual \
    mac-address=08:00:27:2E:54:AD server=dhcp1
add address=192.168.219.99 comment="Oracle VM" mac-address=08:00:27:EC:1D:E8 \
    server=dhcp1
add address=192.168.219.100 client-id=1:68:1d:ef:20:4:c comment="A95X" \
    mac-address=68:1D:EF:00:00:00 server=dhcp1
add address=192.168.219.92 client-id=\
    ff:e2:34:3f:3e:0:2:0:0:ab:11:ce:c3:8f:69:4d:e1:33:dd comment=\
    "Ubuntu Server" mac-address=08:00:27:00:00:00 server=dhcp1
add address=192.168.219.94 client-id=1:f8:ff:c2:2:99:3f comment="Mac" \
    mac-address=F8:FF:C2:00:00:00 server=dhcp1
add address=192.168.219.89 mac-address=78:AC:C0:00:00:00 server=dhcp1
/ip dhcp-server network
add address=192.168.219.0/24 dns-server=192.168.219.85 gateway=192.168.219.85
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=8.8.8.8 name=dns.google
add address=8.8.4.4 name=dns.google
/ip firewall filter
add action=accept chain=input in-interface=bridge1
add action=accept chain=forward in-interface=bridge1
add action=drop chain=input connection-state=invalid disabled=yes
add action=accept chain=input comment="Allow DNS-requests from LAN" disabled=\
    yes dst-port=53 in-interface=!pppoe-RT protocol=udp
add action=accept chain=input comment="Allow IGMP" in-interface=bridge1 \
    protocol=igmp
add action=accept chain=forward comment="IPTV UDP incoming" dst-port=1234 \
    in-interface=bridge1 protocol=udp
add action=accept chain=forward comment="IPTV UDP forwarding" dst-port=1234 \
    protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat disabled=yes dst-address=212.164.1.1 \
    protocol=tcp src-address=192.168.219.0/24 to-addresses=192.168.219.85
add action=masquerade chain=srcnat comment=NAT out-interface=WAN1
add action=netmap chain=dstnat comment=DiskStation disabled=yes dst-port=\
    5000-5001 in-interface=pppoe-RT log-prefix=5000 protocol=tcp \
    to-addresses=192.168.219.90
add action=netmap chain=dstnat comment="DiskStation WEB" disabled=yes \
    dst-port=82 in-interface=pppoe-RT protocol=tcp to-addresses=\
    192.168.219.90 to-ports=80
add action=netmap chain=dstnat comment="Wake On Lan" disabled=yes dst-port=9 \
    in-interface=pppoe-RT protocol=udp to-addresses=192.168.219.0
add action=netmap chain=dstnat comment=WinBox disabled=yes dst-port=8291 \
    in-interface=pppoe-RT protocol=tcp to-addresses=192.168.219.85
add action=netmap chain=dstnat comment=SMTP/POP3 disabled=yes dst-port=\
    25,465,110,995,993,143 in-interface=pppoe-RT protocol=tcp to-addresses=\
    192.168.219.90
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.219.0/24 port=81
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.219.0/24
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge1 type=internal
add interface=pppoe-RT type=external
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=WAN1 upstream=yes
add interface=bridge1
/system clock
set time-zone-name=Asia/Novosibirsk
/tool bandwidth-server
set authenticate=no enabled=no
Конфиг второго микротика:

Код: Выделить всё

# apr/05/2023 11:36:50 by RouterOS 6.49.7
# software id = 8S05-ZWR8
#
# model = RBD52G-5HacD2HnD
# serial number = *******
/interface bridge
add name=Local
/interface wireless
# managed by CAPsMAN
# channel: 2422/20-Ce/gn(27dBm), SSID: Sky, local forwarding
set [ find default-name=wlan1 ] disabled=no ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/interface bridge filter
add action=drop chain=output out-interface=wlan1 packet-type=multicast
/interface bridge port
add bridge=Local interface=ether1 multicast-router=disabled
add bridge=Local interface=ether2 multicast-router=disabled
add bridge=Local interface=ether3 multicast-router=disabled
add bridge=Local interface=ether4 multicast-router=disabled
add bridge=Local interface=ether5 multicast-router=disabled
/interface wireless cap
# 
set bridge=Local caps-man-addresses=:: discovery-interfaces=Local enabled=yes \
    interfaces=wlan1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www address=192.168.219.0/24
set ssh disabled=yes
set api disabled=yes
set winbox address=192.168.219.0/24
set api-ssl disabled=yes
/system clock
set time-zone-name=Asia/Novosibirsk


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

IGMP-snooping на бриджах включен?


Telegram: @thexvo
Synoptic
Сообщения: 12
Зарегистрирован: 14 май 2023, 09:36

xvo писал(а): 14 май 2023, 13:57 IGMP-snooping на бриджах включен?
Не, галки сняты на бриджах.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ну так поставьте :)


Telegram: @thexvo
Synoptic
Сообщения: 12
Зарегистрирован: 14 май 2023, 09:36

xvo писал(а): 14 май 2023, 16:25 Ну так поставьте :)
Поставил :-):
Теперь ТВ показывает отлично, ютюб 1080p - без тормозов, ролики открываются моментально.
НО! Переключение канала теперь выполняется примерно за 40 секунд. Так было, когда не было IGMP Proxy... Что ещё можно изменить?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Особо нет идей: query-interval уменьшить.

А вы firewall в конфиге весь показали?
А то в таком виде он бесполезен, да и при этом должен нехило нагружать систему.

Плюс ещё, вместо dstnat netmap используется.


Telegram: @thexvo
Synoptic
Сообщения: 12
Зарегистрирован: 14 май 2023, 09:36

Да, это полный конфиг, который выгружается по export, замаскировал только пароли, да маки. Но вот сейчас прям огонь, если каналы не переключать :-)


Synoptic
Сообщения: 12
Зарегистрирован: 14 май 2023, 09:36

xvo писал(а): 15 май 2023, 07:23 Особо нет идей: query-interval уменьшить.

А вы firewall в конфиге весь показали?
А то в таком виде он бесполезен, да и при этом должен нехило нагружать систему.

Плюс ещё, вместо dstnat netmap используется.
Про файрвол, там несколько задизейбленных записей, активно только вот это:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input in-interface=bridge1
add action=accept chain=forward in-interface=bridge1
add action=accept chain=input comment="Allow IGMP" in-interface=bridge1 \
    protocol=igmp
add action=accept chain=forward comment="IPTV UDP incoming" dst-port=1234 \
    in-interface=bridge1 protocol=udp
add action=accept chain=forward comment="IPTV UDP forwarding" dst-port=1234 \
    protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat comment=NAT out-interface=WAN1
Заметил, что при установке галки "igmp snooping" на бриджах, в окне IGMP Proxy перестают считаться пакеты, а параметры в этом окне больше ни на что не влияют. Соответственно и query-interva ни на что не влияет.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

По firewall’у: он у вас в любом случае ничего не делает - разрешающие записи есть, запрещающих нет.
То есть он ничего не фильтрует.

По igmp-proxy не понятно, что может вызывать такое поведение.


Telegram: @thexvo
Synoptic
Сообщения: 12
Зарегистрирован: 14 май 2023, 09:36

В общем, для истории.

По совету на другом форуме, отключил igmp snooping, и поставил multicast-helper=full
Не очень понимаю как, но проблема вроде бы решилась )


Ответить