Режет скорость инета

[vladimir.alekseev]

Стоял RB951 со старой прошивкой (не обновлял), все было ОК. Скорость была заявленная от провайдера. Сменил прошивку, скорость режется на 50%. Установил RB2011, все тоже самое.
Если убрать все правила, оставить 3 правила по умолчанию, то скорость нормальная.
Т.е. казалось железка волшебная, а на самом деле?
Если взять RouterOS на компе, будет тоже самое или нет?
Или возврат к вопросу PF vs IPTABLES?

К вопросу о правилах:
MANGLE
штук 30. из них штук 8 используют layer7
FILTER
штук 15

[podarok66]

Что с нагрузкой на процессор в момент, когда скорость режеться?
P.S.: layer7 - очень нагружает железо, особенно старое. Да, у вас старое несовершенное железо.

[vladimir.alekseev]

Что с нагрузкой на процессор в момент, когда скорость режеться?
P.S.: layer7 - очень нагружает железо, особенно старое. Да, у вас старое несовершенное железо.

Под 100%
Ну про layer7 знаю, но очень нужен, и правил с ним поэтому самый минимум.
Ну я вообщем про может какие-то тонкости в настройках, если их нет откачусь к pfSense. Ну да компьютер, ну да все равно он больше шумит, но свои плюсы. И скорость не режется
И это не ругань про Микротик, это просто мысли вслух. Просто про слабость железа и говорю. И интересно как другие в офисы ставят такие слабенькие железки?

Короче спасибо за ответ и понимание.

[Vlad-2]

1) показали бы правила, 30 правил в МАНГЛе, ужас, зачем так много

2) как Вам и сказали, правила layer-7 = ужасно тяжёлые правила, не совсем понимаю,
куда Вам так и зачем? Интересно
На моделях с 8/16 ядрами говорят и то притормаживает....

3) опять же, знаете что нагрузка существенная, крутите это на компе, и пытаетесь
мощность компа как бы зеркалировать на роутер. Ну надо понимать, что даже
в цене, дохлый компьютер минимум в 4-6 раз всё равно дороже Вашего роутера,
а уж по технической части...
(аллегория) У Вас легкая машина, Вы её нагрузили 13 тоннами и удивляетесь, почему не едим больше
2-3 км в час....Ну всё надо делать и выбирать со-размерно.
А то хотят многие, купить роутер за 2-3 тысячи и решить проблему офиса с нагрузками сэкономив
на дорогом оборудовании. Увы.

4) Есть роутеры 8/16/32 ядра, вот уже солидно. И не все, но есть модели с пассивным охлаждением,
так что будет тихо. Опять же, правил надо делать со-размерно. Советуют не больше 25, хотя про мангл
лимитов не слышал, но надо понимать...много, тоже плохо.
У меня маркируются 11 каналов - 55 правил в мангле. И где-то 60 правил в Filter Rules.
(это всё на роутере 16 ядер, без layer7)

P.S.
А конфиг интересен всё же...

[vladimir.alekseev]

1) показали бы правила, 30 правил в МАНГЛе, ужас, зачем так много

2) как Вам и сказали, правила layer-7 = ужасно тяжёлые правила, не совсем понимаю,
куда Вам так и зачем? Интересно
На моделях с 8/16 ядрами говорят и то притормаживает....

3 провайдера, 4 IPSec tunnel, 2 IP Tunnel, 2 SSTP, перенаправления DNS для разрешения доменов (локальных), которые у клиентов

3) опять же, знаете что нагрузка существенная, крутите это на компе, и пытаетесь
мощность компа как бы зеркалировать на роутер. Ну надо понимать, что даже
в цене, дохлый компьютер минимум в 4-6 раз всё равно дороже Вашего роутера,
а уж по технической части...

Не знаю как у Вас, а у нас роутер 8800. А копм c 4 Gb PentiumG какйо-нибудь с рук сожно найти и за 5000

(аллегория) У Вас легкая машина, Вы её нагрузили 13 тоннами и удивляетесь, почему не едим больше
2-3 км в час....Ну всё надо делать и выбирать со-размерно.
А то хотят многие, купить роутер за 2-3 тысячи и решить проблему офиса с нагрузками сэкономив
на дорогом оборудовании. Увы.

Т.е. данное оборудование за 8000 аналогично какому-нить Keenetic pf 3000-4000.

4) Есть роутеры 8/16/32 ядра, вот уже солидно. И не все, но есть модели с пассивным охлаждением,
так что будет тихо. Опять же, правил надо делать со-размерно. Советуют не больше 25, хотя про мангл
лимитов не слышал, но надо понимать...много, тоже плохо.
У меня маркируются 11 каналов - 55 правил в мангле. И где-то 60 правил в Filter Rules.
(это всё на роутере 16 ядер, без layer7)

P.S.
А конфиг интересен всё же...

Да уже поздно. Купил мини-комп с пассивным охлаждением, взял коммутатор с поддержкой 802.1Q, настроил pfSense с теми же подключениями. Миктротик очистил и выставил на продажу, а вдруг кому-нить понадобится.

Кстати покупать Микротик за 60000 зачем, уж лучше тогда циску. Был опыт настройки Eltex, в принципе не очень понравилось, но работает уже лет 6, и даже забыл где установлен

[Vlad-2]

Да уже поздно. Купил мини-комп с пассивным охлаждением, взял коммутатор с поддержкой 802.1Q, настроил pfSense с теми же подключениями. Миктротик очистил и выставил на продажу, а вдруг кому-нить понадобится.

Мини-комп, коммутатор, настройка системы.. это уже другой уровень поставленной задачи. И цена.
Но конфиг Вы не показали, жаль...интересно просто посмотреть, что же надо было метить...

Кстати покупать Микротик за 60000 зачем, уж лучше тогда циску. Был опыт настройки Eltex, в принципе не очень понравилось, но работает уже лет 6, и даже забыл где установлен

Где Вы цены такие посмотрели, есть же и пониже, за 61к я увидел 16 ядерный 12 порт-оптический роутер.
Такой даром не нужен даже в средних конторах, 8 ядерный, с пассивным охлаждением, 33 тысячи.
На циску сейчас цена может даже быть выше, да и с ними не так гладко, импортозамещение,
свитчи цисковские мне нравяться, а найти их - проблема. Элтех да, вроде набирают оборот,
но....как роутеры пока не знаю.
Мы заложники своих привычек, то что я раньше делал на линуксе лет 8-10 назад, сейчас на микротике
делается за 3-10 минут и проще. Понятно что Вы хотели и сэкономить и сделать проще/быстрее, ну
а в тоже время Вы привыкли к pfSense , а с привычками расстоваться ой как сложно.

Удачи, и не бросайте систему ROS - она узка,но и в тоже время очень эффективна.

[podarok66]

Кстати покупать Микротик за 60000 зачем

Нормально вас развели, если вы за 60 взяли

Стоял RB951

и

Установил RB2011

Сочувствую.

[vladimir.alekseev]

Кстати покупать Микротик за 60000 зачем

Нормально вас развели, если вы за 60 взяли

Это вообще -то гипотетически про железку. Надо читать, а не просматривать, выхватывая отдельные детали.

Стоял RB951

и

Установил RB2011

Сочувствую.

В чем? Что железки отстой? Нормально работать могут с 4-мя - 10-ю правилами?
Зачам впихивать то, с чем нормально работать не могут?

[podarok66]

Это вообще -то гипотетически про железку. Надо читать, а не просматривать, выхватывая отдельные детали.

Гипотетически RB951 может почти всё. Практически - вы сами столкнулись.
Гипотетически вам нужно 2-4 миллиона на свои хотелки, практически с описанной ситуацией справится и RB4011 и RB760GS.
Гипотетически layer7 неплохая фича, а на практике нагрузка от неё несоизмеримо велика по отношению к пользе.
И так во всём, ищем компромисы. Я бы и сам кое-где поменял RouterBoard на pfSense, назревает необходимость. Но вот каждый раз что-то переделываю в конфигурациях, облегчаю их и пока работает.
Если не сложно, покажите, что за комп взяли. Можно ссылкой. И краткий вердикт - насколько серьёзнее он в обработке трафика с текущей системой.
И кстати, не пробовали оценить стоимость циски, сравнимой по функционалу с Микротиком за 60 тыр?

[vladimir.alekseev]

Гипотетически RB951 может почти всё. Практически - вы сами столкнулись.
Гипотетически вам нужно 2-4 миллиона на свои хотелки, практически с описанной ситуацией справится и RB4011 и RB760GS.

Быстрый наскок на просторы инета дал повод спросить:"RB4011 реально производительней RB2011?"

Гипотетически layer7 неплохая фича, а на практике нагрузка от неё несоизмеримо велика по отношению к пользе.

Да был бы DNSmasq, не нужен был бы layer7

И так во всём, ищем компромисы. Я бы и сам кое-где поменял RouterBoard на pfSense, назревает необходимость. Но вот каждый раз что-то переделываю в конфигурациях, облегчаю их и пока работает.

Да и замена на pfSense не панацея. Электричество то больше тратиться, у компа сетевой адаптер должен быть с поддержкой 802.1q, какой-нить switch c 802.1q. Ну и шум, а это дома очень чувствительно.

Если не сложно, покажите, что за комп взяли. Можно ссылкой. И краткий вердикт - насколько серьёзнее он в обработке трафика с текущей системой.

nettop Asus PN40-BC100MC 90MS0181-M01520. Switch DES-2108. Ну скажем скорость инета не режет близка к заявленной провайдером, но при интенсивном юзанье IPSec до одной из работ начинает греться.