Vlad-2 писал(а): ↑14 сен 2019, 10:31
Jahongir писал(а): ↑14 сен 2019, 09:57
Айпишки и маки скрытые.
Зачем скрывать айпи, если они серые? Я концовок их не вижу, нету логики.
1) давайте вернём портам честные 100мбит, там у Вас где-то гигабит стоит, не будем
требовать выше того, что невозможно
2) отключите EoIP туннель (вообще, на 5-10 минут)
3) кучу правил файрвола, понимаю, хотите обходить, чтобы не обновлялась винда и прочее,
но Вы читали о желательном кол-ве правил?
Тоже на момент теста отключите все лимитирующие правила
4) самбу = отключите так же на роутере.
5) часовой пояс не понял какой стоит? Название города не выставлено,
не критично,но не порядок.
6) комментарии к 4 и 5 порты = одинаковые, и я не могу понять где у Вас WAN, а где ещё что-то.
И вообще логику не могу проследить, одна серая сеть, другая, в DHCP два пула.
Пока дать другие советы не могу, Вы сильно "скрыли" конфиг.
И ещё, при нагрузке и при простое - проверьте как нагружен роутер,
и не только по нагрузке CPU, а ещё утилитой Profile - посмотрите что
(какой именно) блок/сегмент микротика нагружает процессор больше всего.
Честно, конфиг какой-то пёстрый.
----------------------------------------------------------
____
Так,
1) давайте вернём портам честные 100мбит, там у Вас где-то гигабит стоит, не будем
требовать выше того, что невозможно - странно почему там ГБ стоит.
2) отключите EoIP туннель (вообще, на 5-10 минут) Отключен.
3) кучу правил файрвола, понимаю, хотите обходить, чтобы не обновлялась винда и прочее,
но Вы читали о желательном кол-ве правил? - да, читали, правил то совсем немного)
Тоже на момент теста отключите все лимитирующие правила - лимитирующий правил совсем нету.
4) самбу = отключите так же на роутере. - отключен
5) часовой пояс не понял какой стоит? Название города не выставлено, - исправил в конфиге
не критично,но не порядок.
6) комментарии к 4 и 5 порты = одинаковые, и я не могу понять где у Вас WAN, а где ещё что-то.
И вообще логику не могу проследить, одна серая сеть, другая, в DHCP два пула.
Пока дать другие советы не могу, Вы сильно "скрыли" конфиг. - показал)
И ещё, при нагрузке и при простое - проверьте как нагружен роутер,
и не только по нагрузке CPU, а ещё утилитой Profile - посмотрите что
(какой именно) блок/сегмент микротика нагружает процессор больше всего.
Честно, конфиг какой-то пёстрый.
роутер совсем не нагружен. скрин
# sep/14/2019 11:43:55 by RouterOS 6.45.6
# software id =
#
# model = RouterBOARD 952Ui-5ac2nD
# serial number =
/interface bridge
add comment=LAN name=bridge1_lan1
add name=bridge2_work
/interface ethernet
set [ find default-name=ether1 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
ISP_GPON_WAN
set [ find default-name=ether2 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=MGMT \
speed=1Gbps
set [ find default-name=ether3 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=\
WORKSTATION
set [ find default-name=ether4 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=RES
set [ find default-name=ether5 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=RES
/ip pool
add name=pool1_lan1 ranges=192.168.69.100-192.168.69.200
add name=dhcp_pool2 ranges=192.168.69.100-192.168.69.200
/ip dhcp-server
add address-pool=pool1_lan1 disabled=no interface=bridge1_lan1 name=dhcp1
/interface bridge port
add bridge=bridge1_lan1 interface=ether2
add bridge=bridge1_lan1 interface=ether3
add bridge=bridge1_lan1 interface=wlan1
add bridge=bridge2_work interface=wlan3_work
add bridge=bridge1_lan1 interface=ether4
/ip address
add address=192.168.69.1/24 interface=bridge1_lan1 network=192.168.69.0
add address=10.101.136.24/21 interface=ether1 network=10.101.136.0
/ip dhcp-server lease
add address=192.168.69.200 client-id=mac mac-address=\
8C:16:45:4C:42:B0 server=dhcp1
/ip dhcp-server network
add address=192.168.69.0/24 gateway=192.168.69.1
/ip dns
set allow-remote-requests=yes servers=95.xxx.xxx.xxx,95.xxx.xxx.xxx
/ip dns static
add address=127.0.0.1 disabled=yes name=corel.com
add address=127.0.0.1 disabled=yes name=mc.corel.com
/ip firewall filter
add action=add-src-to-address-list address-list=DNS_FLOOD \
address-list-timeout=none-dynamic chain=input dst-port=53 in-interface=\
ether5 protocol=udp
add action=drop chain=input dst-port=53 in-interface=ether5 protocol=udp
add action=drop chain=forward comment="deny valve steam" disabled=yes \
dst-port=4380,3478,4379,4380,27000-28999 protocol=udp
add action=drop chain=forward comment="deny valve" disabled=yes dst-port=\
3478,4379,4380,27000-27031,27036,28020-28045,28120-28145 protocol=tcp
add action=drop chain=forward comment="deny valve" disabled=yes dst-port=\
4380,3478,4379,4380,27000-27031,27036,28020-28045,28120-28145 protocol=\
udp
add action=drop chain=forward comment="deny wf" content=mail.ru disabled=yes \
src-address=192.168.69.0/24
add action=drop chain=input dst-port=20-25,53,135-139,445 protocol=udp
add action=accept chain=input comment="allow for pptp" dst-port=1723 \
protocol=tcp
add action=accept chain=input protocol=gre
add action=drop chain=input dst-port=20-25,53,135-139,445 protocol=tcp
add action=drop chain=input comment="deny icmp " in-interface=ether5 \
protocol=icmp src-address=!192.168.69.0/24
add action=reject chain=forward comment=deny_win_updates content=\
windowsupdate.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_ad.adriver.ru content=\
ad.adriver.ru reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_googleads.g.doubleclick.net \
content=googleads.g.doubleclick.net reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_pagead2.googlesyndication.com \
content=pagead2.googlesyndication.com reject-with=\
icmp-network-unreachable
add action=reject chain=forward comment=deny_download.windowsupdate.com \
content=download.windowsupdate.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_windowsupdate.com content=\
windowsupdate.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_ntservicepack.microsoft.com \
content=ntservicepack.microsoft.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_stats.microsoft.com content=\
stats.microsoft.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_wustat.windows.com content=\
wustat.windows.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_update.microsoft.com content=\
update.microsoft.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_corel.com content=corel.com \
reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_mc.corel.com content=\
mc.corel.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_ipm.corel.com content=\
ipm.corel.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_dam.corel.com content=\
dam.corel.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_diws.corel.com content=\
iws.corel.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_ads.viber.com content=\
ads.viber.com reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_an.yandex.ru content=\
an.yandex.ru reject-with=icmp-network-unreachable
add action=reject chain=forward comment=deny_license.piriform.com content=\
license.piriform.com reject-with=icmp-network-unreachable
/ip firewall nat
add action=masquerade chain=srcnat comment="all to out" out-interface=ether1 \
src-address=192.168.69.0/24
/ip firewall raw
add action=drop chain=prerouting comment=BlackList src-address-list=blacklist
/ip route
add comment=gtw distance=1 gateway=10.101.136.1
/system clock
set time-zone-name=Asia/Dushanbe
/system clock manual
set time-zone=+05:00
/system identity
set name=MikroTik_GTW_HOME
/system ntp client
set enabled=yes primary-ntp=194.40.240.11 secondary-ntp=194.40.240.12
/system scheduler
add disabled=yes interval=1d name=schedule1_wireless_wlan1_off on-event=\
"/inteface wireless disable 0" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=sep/11/2019 start-time=01:00:00
add disabled=yes interval=1d name=schedule1_wireless_wlan1_on on-event=\
"/interface wireless enable 0" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=sep/11/2019 start-time=07:00:00
add interval=1d name="Every day reboot GTW" on-event="/system reboot" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon \
start-date=sep/11/2019 start-time=06:00:00
/tool traffic-monitor
add interface=ether5 name=WAN on-event=":log info \"WAN DOWNLOADING UP 2M\"" \
threshold=2000000
interface ether print detail 0 R ;;; GPON_WAN
name="ether1" default-name="ether1" mtu=1500 l2mtu=15
orig-mac-address=CC:2D:E0:D9:E6:5D arp=enabled arp-ti
loop-protect-status=off loop-protect-send-interval=5s
auto-negotiation=yes advertise=10M-half,10M-full,100M
tx-flow-control=off rx-flow-control=off speed=100Mbps
switch=switch1
1 XS ;;; MGMT
name="ether2" default-name="ether2" mtu=1500 l2mtu=15
orig-mac-address=CC:2D:E0:D9:E6:5E arp=enabled arp-ti
loop-protect-status=off loop-protect-send-interval=5s
auto-negotiation=yes advertise=10M-half,10M-full,100M
tx-flow-control=off rx-flow-control=off speed=1Gbps b
switch=switch1
2 XS ;;; WORKSTATION
name="ether3" default-name="ether3" mtu=1500 l2mtu=15
orig-mac-address=CC:2D:E0:D9:E6:5F arp=enabled arp-ti
loop-protect-status=off loop-protect-send-interval=5s
auto-negotiation=yes advertise=10M-half,10M-full,100M
tx-flow-control=off rx-flow-control=off speed=100Mbps
switch=switch1
3 S ;;; RES
name="ether4" default-name="ether4" mtu=1500 l2mtu=15
orig-mac-address=CC:2D:E0:D9:E6:60 arp=enabled arp-ti