Настройка 2-ух Микротик

[Versace]

Всем доброго времени суток!

Сможете подсказать по настройкам?

Есть Микротик 1 и Микротик 2. Интернет и локальная сеть работает. Может что-то лишнее или, наоборот, нужно добавить в правилах или настройках? В частности по настройкам DHCP, т.к. долго не мог заставить нормально работать. И нужно ли прописывать правила на Микротик 2?

 Микротик 1

# aug/01/2023 00:11:32 by RouterOS 6.49.8
# software id = CZH1-G7LU
#
# model = 2011UiAS-2HnD
# serial number = XXX
/interface bridge
add admin-mac=CC:XXX:CE auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether7 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether8 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether9 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether10 ] advertise=\
10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/interface wireless
set [ find default-name=wlan1 ] antenna-gain=0 band=2ghz-b/g/n channel-width=\
20/40mhz-XX country=no_country_set disabled=no distance=indoors frequency=\
auto frequency-mode=manual-txpower mode=ap-bridge ssid=*** station-roaming=\
enabled wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
dynamic-keys supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc \
pfs-group=modp2048
/ip pool
add name=dhcp ranges=192.168.88.3-192.168.88.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,passw\
ord,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=ether6
add bridge=bridge comment=defconf interface=ether7
add bridge=bridge comment=defconf interface=ether8
add bridge=bridge comment=defconf interface=ether9
add bridge=bridge comment=defconf interface=sfp1
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=ether10
add bridge=bridge disabled=yes interface=ether1
add bridge=bridge disabled=yes interface=ether1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=ether6 list=LAN
add interface=ether7 list=LAN
add interface=ether8 list=LAN
add interface=ether9 list=LAN
add interface=ether10 list=LAN
add interface=sfp1 list=LAN
add interface=wlan1 list=LAN
add interface=bridge list=LAN
/interface wireless cap
set bridge=bridge interfaces=wlan1
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether2 network=\
192.168.88.0
add address=192.168.88.1/24 interface=bridge network=192.168.88.0
add address=100.22.0.111/22 interface=ether1 network=100.22.0.0
/ip dhcp-client
add interface=ether1
add interface=ether1
/ip dhcp-server lease
add address=192.168.88.253 client-id=1:xxx:3b mac-address=\
00:xxx:3B server=defconf
add address=192.168.88.13 client-id=1:xxx:3b mac-address=\
48:xxx:3B server=defconf
add address=192.168.88.10 client-id=1:xxx:d1 mac-address=\
40:xxx:D1 server=defconf
add address=192.168.88.19 client-id=1:xxx:e mac-address=\
00:xxx:0E server=defconf
add address=192.168.88.20 client-id=1:xxx:41 mac-address=\
00:xxx:41 server=defconf
add address=192.168.88.18 client-id=1:xxx:5c mac-address=\
52:xxx:5C server=defconf
add address=192.168.88.6 client-id=1:xxx:2a mac-address=\
7C:xxx:2A server=defconf
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=9.9.9.9
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
/ip firewall filter
add action=fasttrack-connection chain=forward comment=FastTrack \
connection-state=established,related
add action=accept chain=forward comment="Established, Related" \
connection-state=established,related
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
log=yes log-prefix=invalid
add action=drop chain=forward comment=\
"Drop tries to reach not public addresses from LAN" dst-address-list=\
not_in_internet in-interface=bridge log=yes log-prefix=!public_from_LAN \
out-interface=!bridge
add action=drop chain=forward comment=\
"Drop incoming packets that are not NAT`ted" connection-nat-state=!dstnat \
connection-state=new in-interface=ether1 log=yes log-prefix=!NAT
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp \
protocol=icmp
add action=drop chain=forward comment=\
"Drop incoming from internet which is not public IP" in-interface=ether1 \
log=yes log-prefix=!public src-address-list=not_in_internet
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
protocol=icmp
add action=accept chain=icmp comment="host unreachable fragmentation required" \
icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
protocol=icmp
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
out,none out-interface-list=WAN
/ip ipsec policy
set 0 disabled=yes dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip route
add distance=1 gateway=100.22.3.254
add distance=1 gateway=100.22.3.254
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Moscow
/tool bandwidth-server
set authenticate=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

 Микротик 2

# aug/01/2023 00:19:36 by RouterOS 6.49.8
# software id = 2G4W-JQ9V
#
# model = RBD52G-5HacD2HnD
# serial number = xxx
/caps-man configuration
add channel.band=2ghz-b/g/n channel.control-channel-width=20mhz \
channel.extension-channel=XX country=no_country_set \
datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
name=cfg-2ghz ssid=***
add channel.band=5ghz-a/n/ac channel.control-channel-width=20mhz \
channel.extension-channel=XXXX country=no_country_set \
datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
name=cfg-5ghz-ac ssid=***
add channel.band=5ghz-a/n channel.control-channel-width=20mhz \
channel.extension-channel=XX country=no_country_set \
datapath.client-to-client-forwarding=yes datapath.local-forwarding=yes \
name=cfg-5ghz-an ssid=***
/interface bridge
add admin-mac=xxx auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=no_country_set \
disabled=no frequency=2462 mode=ap-bridge ssid=*** wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX \
country=no_country_set disabled=no mode=ap-bridge ssid=*** \
wireless-protocol=802.11
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.88.3-192.168.88.254
/ip dhcp-server
add address-pool=dhcp interface=bridge name=dhcp1
/tool traffic-generator port
add interface=ether1 name=1
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
cfg-2ghz name-format=prefix-identity name-prefix=2ghz
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
cfg-5ghz-ac name-format=prefix-identity name-prefix=5ghz-ac
add action=create-dynamic-enabled hw-supported-modes=an master-configuration=\
cfg-5ghz-an name-format=prefix-identity name-prefix=5ghz-an
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge interface=wlan2
add bridge=bridge interface=wlan1
add bridge=bridge comment=defconf interface=WAN
/interface list member
add interface=ether1 list=WAN
add interface=ether2 list=LAN
add interface=ether3 list=LAN
add interface=ether4 list=LAN
add interface=ether5 list=LAN
add interface=wlan2 list=LAN
add interface=wlan1 list=LAN
add interface=bridge list=LAN
/interface wireless cap
set bridge=bridge interfaces=wlan2,wlan1
/ip address
add address=192.168.88.13/22 interface=ether1 network=192.168.88.0
add address=192.168.88.13/23 interface=bridge network=192.168.88.0
/ip dhcp-client
add disabled=no interface=bridge
/ip dhcp-server network
add address=192.168.88.0/22 gateway=192.168.88.13 netmask=22
/ip dns
set allow-remote-requests=yes
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/ip route
add distance=1 gateway=192.168.88.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/ip upnp interfaces
add interface=bridge type=internal
add interface=ether1 type=external
/system clock
set time-zone-name=Europe/Moscow
/tool bandwidth-server
set authenticate=no

[xvo]

Предлагается угадать задачу по конфигам?

Пишите, что вы хотите сделать и на каком этапе оно не работает.

[Versace]

Дал не точное описание. Дополняю.
Микротик 1:
Ether 1 - интернет от провайдера по кабелю (статический IP).
Ether 2 - соединен с Ether 1 Микротика 2.
остальные порты задействованы под NAS, управление светом и IP камеры.
Микротик 2: раздает WiFi 2.4 и 5 Ghz.

Работает всё. Но торренты по WiFi и напрямую на NAS идут со скоростью до 10.5, а при закачке торрента на ноутбук, подключенный по WiFi к Микротик 2 разрывает связь. В остальном хотелось бы оптимизировать настройки и понять необходимость задать правил для Микротик 2.

[gmx]

Ну сами-то подумайте, 10,5 мегабайт (у вас 10,5 - это же мегабайт в секунду) - это почти 100 мегабит, если нужно больше, то физическое соединение должно быть 1 гигабит (или 1000 мегабит). Соответственно, смотрите в состоянии порта на какой скорости ваш нас или другие устройства подключены к роутеру. Вот и делайте выводы.

Начните с того, что ваши микротики должны быть гигабитными (модели вы же не написали) и патчкорды для соединения должны быть из восьми проводков.


Никакие правила на втором микротике не нужны. И даже если они есть, то лучше их удалить, хотя скорее всего, они и так не работают.

А может вы просто путаете мегабиты и мегабайты? Тариф какой?

Что касается обрывов Wi-Fi при закачке торрентов, то тут много вариантов, начиная с того, что качать торренты по Wi-Fi - это неправильно и кончая тем, что микротик-точка доступа слабоват и не справляется с задачами.

[mafijs]

Микротик 1
# model = 2011UiAS-2HnD

Микротик 2
# model = RBD52G-5HacD2HnD (hAP AC2)

Это из конфига.

[xvo]

Микротик 1
# model = 2011UiAS-2HnD

Микротик 2
# model = RBD52G-5HacD2HnD (hAP AC2)

Логичнее тогда вообще hAP ac2 сделать основным, чтобы "интернет", firewall, NAT и wifi на нем, а 2011 вообще только как коммутатор работал.
Если топология сети позволяет так перекоммутировать.

[Versace]

Естественно, кабели везде правильные с 8 проводами, между Микротик 1 и Микротик 2 - Cat 6 и розетка тоже 6. Скорость между ними замерял встроенной утилитой - в районе 600 было. NAS напрямую в гигабитный порт Микротик 1, сам NAS показывает "1000 Мбит/с, Полный дуплекс, MTU 1500".

Тариф 100 мбит/с. Но раньше speedtest четко замирал на этой цифре + -, сейчас почти до 200 доходит. /Проверил при написании сообщения - download постепенно доходит до 190, upload моментально 270/. Поэтому и возник вопрос. Может в настройках что-то поменять или правило какое-то добавить. В торрент качалке поставил шифрование трафика и еще что-то - не помогло.

Касаемо переназначить роутеры - не хотелось бы, очень сложно всё это даётся. Поменять их местами физически - еще сложнее.

P.S. Проверил еще на нескольких сайтах - скорость ровно 100 мбит/с. Видимо speedtest неправильно показывает.

[Versace]

Подскажите касаемо Netmask. Это нормально?
На Микротик1 в настройках интернета (от провайдера) он 255.255.252.0/22. В настройках локальной сети 255.255.255.0/24.
На Микротик2 в настройках интернета (от Микротик1) он 255.255.252.0/22. В настройках локальной сети 255.255.254.0/23.

Пытаюсь разобраться со скоростью. Подключил тариф 800Мб/с. При подключении к Микротик1 по проводу - честные 800. При подключении к Микротик2 по WiFi 5Mhz - на ноутбуке 250, на айпаде 350. MTU везде (в ethernet и wlan) выставил 1500 и MTU 2 1598 соответственно.

[xvo]

Если у вас второй микрот получает интернет от первого - т.е. в его локалке, то маска у него на WAN должна быть такая же, на LAN у первого.

Для hAP ac2 250-350мбит по wifi вполне нормальные скорости.
Сильно больше там взяться неоткуда.

[Versace]

Поправил netmask, спасибо.

По WiFi понял, т.е. даже 400-500 если выжать все равно меньше тарифа.

Вот еще момент: запустил тест скорости между Микротиками по UDP:
Микротик 1 -> Микротик 2 Tx 100 Rx 500.
Микротик 2 -> микротик 1 Tx 400 Rx 100.
По TCP вообще по 50 в одновременном режиме.