Artur-t

упростите конфиг для проверки /ip firewall mangle add action=mark-connection chain=forward comment=ALLTRAFFIC new-connection-mark=AllTraffic passthrough=yes add action=mark-connection chain=forward comment=HTTP dst-port=80 new-connection-mark=VeryHighPriorityTraffic protocol=tcp passthrough=yes add action=mark-packet chain=forward connection-mark=VeryHighPriorityTraffic new-packet-mark=VeryHighPriority passthrough=no add action=mark-packet chain=forward connection-mark=AllTraffic new-packet-mark=LowPriority passthrough=no и посмотрите на счетчик пакетов И маркируя пакеты таким образом вы нормально не сможете сделать правильный шейпер в queue tree

Huawei me60 умеет через virtual-ethernet

А вы по tcp тестили? Если да, попробуйте еще раз протестить с mss 1400 ради интереса.

The RB850Gx2 devices are now shipped with a CPU that features Hardware Encryption Acceleration (serial numbers that start with “5”). Combined with up to date RouterOS version (6.28 or above), you will now be able to reach 500Mbps with AES128 encryption on this device. Что бы стало еще легче :)

fasttrack-connection кажется появился начиная с версии прошивки 6,29 ? если не ошибаюсь Да, а в версии 6.33 убрали некоторые ограничение связанные с его использованием.

reinhard Когда будите делать понмните, что все что вы промаркеруете как fast-connection у вас работать только через main table.

reinhard Если у вас все по DHCP он провайдеров, то расказываю что можно сделать :) делаете проверку на доступнасть интерета внутри двух VRF дефолт для клиентов должен быть в main table (переключение скриптом в вашем случае, но можно из без него сделать это) и делаете в фаерволе 2 правила /ip fi fi add action=fasttrack-connection chain=forward connection-mark=no-mark connection-state=established,related disabled=yes routing-table=main src-address=192.168.0.0/16 (адреса абоненов которым нужен достув в интерент) /ip fi fi add add chain=forward connection-state=established,related нагрузка упадет значительно

Обновите версию до 6.33.3 в 6.x ветке было много оптимизаций. У вас соедение с провайдером через туннельный интерфейс?

Странное у вас представление о маршрутизаторе. Если вам на нем шейпить не надо то FastTrack отличная штука.

http://download2.mikrotik.com/news/news_65.pdf c FastTrack должен 200 прожевать легко

наименьший из всех костылей /ip route rule add src-address=y.y.y.y dst-address=x.x.x.x action=lookup-only-in-table table=vrf1 src-address=y.y.y.y dst-address=x.x.x.x адреса откуда и куда строится туннель

ну в вашем случае не понятно с какого src адреса трафик попадет в table isp1.inet.0 если я не ошибаюсь это будет lo0.0 если он будет c lo0.0 добавте lo.0 в группу trust предварительно повесив на него ip (127.0.0.1 не пойдет) проверить src можно так запустите ping 8.8.8.8 и в другом cli show security flow session protocol icmp destination-prefix 8.8.8.8 можно как вариант повесить instance-j на импорт статик роут src адрес у исходящего трафика будет как у интерфейса в сторону провайдера

самый простой вариант создайте lt интерфейс между inet.0 и любым из routing-instance и укажите в него дефолт http://www.juniper.net/documentation/en_US/junos14.2/topics/usage-guidelines/services-configuring-logical-tunnel-interfaces.html ну либо перелейте через rib group маршруты между routing-instances http://kb.juniper.net/InfoCenter/index?page=content&id=kb16133&actp=search

awax Ой не факт что на эту карзину Ростелеком покупал лицензию на ONT стороннего вендора. Если у них лицензии нету то максимум можно подключить 1 ONT не Хуавей и я сомневаюсь что вам это позволят. Если на эту карзину Ростелеком включает Делинки то все должно быть хорошо, но если в рекомендованом оборудовнии всего 2 позиции на них может быть эклюзивный софт и вам не позволят подключатся на другом типе оборудовании даже того же вендора.

Аксиома Эскобара в действии. Но у вас за Микротик большеплюсов. Цена дешевле, опыт есть, роутер не нужен.