Подключение ZTE(GPON) через бридж к роутеру МИКРОТИК (RB952Ui-5ac2nD)

Общение на отвлеченные темы
Jahongir
Сообщения: 13
Зарегистрирован: 13 сен 2019, 09:34

Ребята, в целом так. тестили как могли :du_ma_et:


Изображение


Jahongir
Сообщения: 13
Зарегистрирован: 13 сен 2019, 09:34

Jahongir писал(а): 13 сен 2019, 17:09
Vlad-2 писал(а): 13 сен 2019, 09:47 RB952 - имеет чисто 100мбитные порты, а значит 100мбит переводим в мегабайты,
это в теории 12,5, а по факту 9-11 мегабайт в сек. Скорее всего по UDP будет прыжками
и до 15-17 доходить, плюс при факте замеров может скорость - округляться.

Но как итог, я вижу что Вы купили/взяли не тот роутер.
Вам нужен роутер с гигабитными портами.
гигабитый порт ZTE(бридж) смотрит к мегабитный порт микрот.
Когда на прямую подключаем после бриджа к ПК(прописываем айпишники) получаем свыше 100мбит/c. :co_ol: это хорошо, только наша задача стоит в том, чтобы после ЗТЕ(бридж) от клиента микрот получали 100мбит/c. :ti_pa:
Тестили как могли
Изображение


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2527
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Jahongir писал(а): 14 сен 2019, 09:57 Айпишки и маки скрытые.
Зачем скрывать айпи, если они серые? Я концовок их не вижу, нету логики.

1) давайте вернём портам честные 100мбит, там у Вас где-то гигабит стоит, не будем
требовать выше того, что невозможно
2) отключите EoIP туннель (вообще, на 5-10 минут)
3) кучу правил файрвола, понимаю, хотите обходить, чтобы не обновлялась винда и прочее,
но Вы читали о желательном кол-ве правил?
Тоже на момент теста отключите все лимитирующие правила
4) самбу = отключите так же на роутере.
5) часовой пояс не понял какой стоит? Название города не выставлено,
не критично,но не порядок.
6) комментарии к 4 и 5 порты = одинаковые, и я не могу понять где у Вас WAN, а где ещё что-то.
И вообще логику не могу проследить, одна серая сеть, другая, в DHCP два пула.

Пока дать другие советы не могу, Вы сильно "скрыли" конфиг.

И ещё, при нагрузке и при простое - проверьте как нагружен роутер,
и не только по нагрузке CPU, а ещё утилитой Profile - посмотрите что
(какой именно) блок/сегмент микротика нагружает процессор больше всего.
Честно, конфиг какой-то пёстрый.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
xvo
Сообщения: 4230
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Не удивительно. Cудя по конфигу у вас весь траффик через firewall идет.
Добавьте стандартные верхние правила разрешающие established и related.


Telegram: @thexvo
Jahongir
Сообщения: 13
Зарегистрирован: 13 сен 2019, 09:34

Vlad-2 писал(а): 14 сен 2019, 10:31
Jahongir писал(а): 14 сен 2019, 09:57 Айпишки и маки скрытые.
Зачем скрывать айпи, если они серые? Я концовок их не вижу, нету логики.

1) давайте вернём портам честные 100мбит, там у Вас где-то гигабит стоит, не будем
требовать выше того, что невозможно
2) отключите EoIP туннель (вообще, на 5-10 минут)
3) кучу правил файрвола, понимаю, хотите обходить, чтобы не обновлялась винда и прочее,
но Вы читали о желательном кол-ве правил?
Тоже на момент теста отключите все лимитирующие правила
4) самбу = отключите так же на роутере.
5) часовой пояс не понял какой стоит? Название города не выставлено,
не критично,но не порядок.
6) комментарии к 4 и 5 порты = одинаковые, и я не могу понять где у Вас WAN, а где ещё что-то.
И вообще логику не могу проследить, одна серая сеть, другая, в DHCP два пула.

Пока дать другие советы не могу, Вы сильно "скрыли" конфиг.

И ещё, при нагрузке и при простое - проверьте как нагружен роутер,
и не только по нагрузке CPU, а ещё утилитой Profile - посмотрите что
(какой именно) блок/сегмент микротика нагружает процессор больше всего.
Честно, конфиг какой-то пёстрый.
----------------------------------------------------------

____
Так,

1) давайте вернём портам честные 100мбит, там у Вас где-то гигабит стоит, не будем
требовать выше того, что невозможно - странно почему там ГБ стоит.
2) отключите EoIP туннель (вообще, на 5-10 минут) Отключен.
3) кучу правил файрвола, понимаю, хотите обходить, чтобы не обновлялась винда и прочее,
но Вы читали о желательном кол-ве правил? - да, читали, правил то совсем немного)
Тоже на момент теста отключите все лимитирующие правила - лимитирующий правил совсем нету.
4) самбу = отключите так же на роутере. - отключен
5) часовой пояс не понял какой стоит? Название города не выставлено, - исправил в конфиге
не критично,но не порядок.
6) комментарии к 4 и 5 порты = одинаковые, и я не могу понять где у Вас WAN, а где ещё что-то.
И вообще логику не могу проследить, одна серая сеть, другая, в DHCP два пула.

Пока дать другие советы не могу, Вы сильно "скрыли" конфиг. - показал)

И ещё, при нагрузке и при простое - проверьте как нагружен роутер,
и не только по нагрузке CPU, а ещё утилитой Profile - посмотрите что
(какой именно) блок/сегмент микротика нагружает процессор больше всего.
Честно, конфиг какой-то пёстрый.
роутер совсем не нагружен. скрин

Изображение

 cfg2
# sep/14/2019 11:43:55 by RouterOS 6.45.6
# software id =
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number =
/interface bridge
add comment=LAN name=bridge1_lan1
add name=bridge2_work
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
ISP_GPON_WAN
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=MGMT \
speed=1Gbps
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
WORKSTATION
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=RES
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=RES
/ip pool
add name=pool1_lan1 ranges=192.168.69.100-192.168.69.200
add name=dhcp_pool2 ranges=192.168.69.100-192.168.69.200
/ip dhcp-server
add address-pool=pool1_lan1 disabled=no interface=bridge1_lan1 name=dhcp1
/interface bridge port
add bridge=bridge1_lan1 interface=ether2
add bridge=bridge1_lan1 interface=ether3
add bridge=bridge1_lan1 interface=wlan1
add bridge=bridge2_work interface=wlan3_work
add bridge=bridge1_lan1 interface=ether4
/ip address
add address=192.168.69.1/24 interface=bridge1_lan1 network=192.168.69.0
add address=10.101.136.24/21 interface=ether1 network=10.101.136.0
/ip dhcp-server lease
add address=192.168.69.200 client-id=mac mac-address=\
8C:16:45:4C:42:B0 server=dhcp1
/ip dhcp-server network
add address=192.168.69.0/24 gateway=192.168.69.1
/ip dns
set allow-remote-requests=yes servers=95.xxx.xxx.xxx,95.xxx.xxx.xxx
/ip dns static
add address=127.0.0.1 disabled=yes name=corel.com
add address=127.0.0.1 disabled=yes name=mc.corel.com
/ip firewall filter
add action=add-src-to-address-list address-list=DNS_FLOOD \
address-list-timeout=none-dynamic chain=input dst-port=53 in-interface=\
ether5 protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether5 protocol=udp
add action=drop chain=forward comment="deny valve steam" disabled=yes \
dst-port=4380,3478,4379,4380,27000-28999 protocol=udp
add action=drop chain=forward comment="deny valve" disabled=yes dst-port=\
3478,4379,4380,27000-27031,27036,28020-28045,28120-28145 protocol=tcp
add action=drop chain=forward comment="deny valve" disabled=yes dst-port=\
4380,3478,4379,4380,27000-27031,27036,28020-28045,28120-28145 protocol=\
udp
add action=drop chain=forward comment="deny wf" content=mail.ru disabled=yes \
src-address=192.168.69.0/24
add action=drop chain=input dst-port=20-25,53,135-139,445 protocol=udp
add action=accept chain=input comment="allow for pptp" dst-port=1723 \
protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=input dst-port=20-25,53,135-139,445 protocol=tcp
add action=drop chain=input comment="deny icmp " in-interface=ether5 \
protocol=icmp src-address=!192.168.69.0/24
add action=reject chain=forward comment=deny_win_updates content=\
windowsupdate.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_ad.adriver.ru content=\
ad.adriver.ru reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_googleads.g.doubleclick.net \
content=googleads.g.doubleclick.net reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_pagead2.googlesyndication.com \
content=pagead2.googlesyndication.com reject-with=\
icmp-network-unreachable
add action=reject chain=forward comment=deny_download.windowsupdate.com \
content=download.windowsupdate.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_windowsupdate.com content=\
windowsupdate.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_ntservicepack.microsoft.com \
content=ntservicepack.microsoft.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_stats.microsoft.com content=\
stats.microsoft.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_wustat.windows.com content=\
wustat.windows.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_update.microsoft.com content=\
update.microsoft.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_corel.com content=corel.com \
reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_mc.corel.com content=\
mc.corel.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_ipm.corel.com content=\
ipm.corel.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_dam.corel.com content=\
dam.corel.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_diws.corel.com content=\
iws.corel.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_ads.viber.com content=\
ads.viber.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_an.yandex.ru content=\
an.yandex.ru reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_license.piriform.com content=\
license.piriform.com reject-with=icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment="all to out" out-interface=ether1 \
src-address=192.168.69.0/24
/ip firewall raw
add action=drop chain=prerouting comment=BlackList src-address-list=blacklist
/ip route
add comment=gtw distance=1 gateway=10.101.136.1
/system clock
set time-zone-name=Asia/Dushanbe
/system clock manual
set time-zone=+05:00
/system identity
set name=MikroTik_GTW_HOME
/system ntp client
set enabled=yes primary-ntp=194.40.240.11 secondary-ntp=194.40.240.12
/system scheduler
add disabled=yes interval=1d name=schedule1_wireless_wlan1_off on-event=\
"/inteface wireless disable 0" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=sep/11/2019 start-time=01:00:00
add disabled=yes interval=1d name=schedule1_wireless_wlan1_on on-event=\
"/interface wireless enable 0" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=sep/11/2019 start-time=07:00:00
add interval=1d name="Every day reboot GTW" on-event="/system reboot" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=sep/11/2019 start-time=06:00:00
/tool traffic-monitor
add interface=ether5 name=WAN on-event=":log info \"WAN DOWNLOADING UP 2M\"" \
threshold=2000000
 interface ether print detail
0 R ;;; GPON_WAN
name="ether1" default-name="ether1" mtu=1500 l2mtu=15
orig-mac-address=CC:2D:E0:D9:E6:5D arp=enabled arp-ti
loop-protect-status=off loop-protect-send-interval=5s
auto-negotiation=yes advertise=10M-half,10M-full,100M
tx-flow-control=off rx-flow-control=off speed=100Mbps
switch=switch1

1 XS ;;; MGMT
name="ether2" default-name="ether2" mtu=1500 l2mtu=15
orig-mac-address=CC:2D:E0:D9:E6:5E arp=enabled arp-ti
loop-protect-status=off loop-protect-send-interval=5s
auto-negotiation=yes advertise=10M-half,10M-full,100M
tx-flow-control=off rx-flow-control=off speed=1Gbps b
switch=switch1

2 XS ;;; WORKSTATION
name="ether3" default-name="ether3" mtu=1500 l2mtu=15
orig-mac-address=CC:2D:E0:D9:E6:5F arp=enabled arp-ti
loop-protect-status=off loop-protect-send-interval=5s
auto-negotiation=yes advertise=10M-half,10M-full,100M
tx-flow-control=off rx-flow-control=off speed=100Mbps
switch=switch1

3 S ;;; RES
name="ether4" default-name="ether4" mtu=1500 l2mtu=15
orig-mac-address=CC:2D:E0:D9:E6:60 arp=enabled arp-ti


Jahongir
Сообщения: 13
Зарегистрирован: 13 сен 2019, 09:34

xvo писал(а): 14 сен 2019, 10:33 Не удивительно. Cудя по конфигу у вас весь траффик через firewall идет.
Добавьте стандартные верхние правила разрешающие established и related.
то есть? Можно поподробнее? :du_ma_et:


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2527
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Я решил проверить на практике (хотя и не сомневался):

1) Взял роутер 952, очистил его и с нуля сделал самое минимум:
а) создал бридж, в него поместил порт3, бриджу дал адрес, и поднял DHCP сервер
б) на порту5 это у меня WAN (как у Вас) и также как у Вас я получил IP автоматом
в) сделал правило Маскарайдинга.
г) канала на 100мбит у меня нет, но так как я подключил через RB952 роутер свой ноутбук,
то я с ноутбука начал качать фильм со своего NAS сервера (сеть моя для ноутбука подключённого
через роутер является внешней), а так как ноутбук имеет внутренний адрес роутера (сетка 192.168.30.0/24)
то соответственно все запросы туда=сюда будут всегда идти через НАТ.

И вот, качая фильм, я сделал скриншот, где и трафик в 98-99 мегабит на портах (порт3 и порт5),
и нагрузка и всё работает.

Изображение

2) конфиг простой прилагаю:

Код: Выделить всё

# sep/14/2019 23:33:22 by RouterOS 6.45.5
# software id = ХХХХХХХХХХ
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number = YYYYYYYYYYYYY
/interface bridge
add name=bridge1-LAN
/interface wireless
set [ find default-name=wlan1 ] ssid=MikroTik
set [ find default-name=wlan2 ] ssid=MikroTik
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=pool1-LAN ranges=192.168.30.100-192.168.30.200
/ip dhcp-server
add add-arp=yes address-pool=pool1-LAN disabled=no interface=bridge1-LAN lease-time=15m name=dhcp1
/interface bridge port
add bridge=bridge1-LAN interface=ether3
/ip address
add address=192.168.30.1/24 interface=bridge1-LAN network=192.168.30.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=ether5
/ip dhcp-server network
add address=192.168.30.0/24 dns-server=192.168.30.1 gateway=192.168.30.1 netmask=24 ntp-server=192.168.30.1
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Kamchatka
/system routerboard settings
set auto-upgrade=yes init-delay=3s
Так что предполагаю что с Вашим конфигом что-то не то, да и тот же пул адресов,
зачем Вы его дважды описываете?
Советую всё же начать с чистого роутера, без импорта.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2527
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ну вот и ответ (за Вас) нашёл.

Добавил все Ваши правила (Filtre Rules) в мой роутер тестовый - скорость упала.

Изображение

1) обратите внимание - на портах 13мегабит, прыгает и до 19-22
2) на компе копирование идёт как и у Вас, со скоростью 1.49 мегабайта в сек
3) утилита Profile - показывает нагрузку и модуль "firewall"

А Вы говорите правил мало, когда я их импортировал - так показалось их 29 штук. ЭТО мало?
Опять же, посмотрите на правила, каждый хост = это отдельное правило, зачем так делать?
Может есть возможность уменьшить/сжать/скомпоновать их как-то.

Ну ё маё...(с) "СтарТрек"



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
xvo
Сообщения: 4230
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Jahongir писал(а): 14 сен 2019, 13:13
xvo писал(а): 14 сен 2019, 10:33 Не удивительно. Cудя по конфигу у вас весь траффик через firewall идет.
Добавьте стандартные верхние правила разрешающие established и related.
то есть? Можно поподробнее? :du_ma_et:
В firewall'е отсутствует правило разрешающее уже установленные соединения.
То есть КАЖДЫЙ пакет обрабатывается firewall'ом.
А у вас там 18 правил в цепочке forward и все на content, то есть чуть ли не самые медленные.
Предполагаю, что поэтому и скорость такая.

В общем и целом нет никакого смысла пропускать через firewall все пакеты, достаточно только первый для каждого соединения.

Отключите временно firewall вообще и если проблема действительно только в этом - перепишите его заново, взяв за основу дефолтный, он в принципе неплохо оптимизирован.


Плюс к этому возможно имеет смысл включить fasttrack для уже установленных соединений. Но это смотреть, не будет ли у вас там в конфиге с ним что-нибудь конфликтовать.
https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack

Вот это вроде то, что сейчас по дефолту используется, от него и плясать.
Если списки WAN и LAN не настроены, поправить, на то, как оно у вас.
Ну и свои правила добавьте уже куда нужно:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN


Telegram: @thexvo
Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

Jahongir,
всякой херни начитались и вот итог.
Достаточно было взять за основу дефолтный конфиг и настроить.


Ответить