reinhard Posted December 16, 2015 (edited) · Report post Доброго времени суток имеется Mikrotik RB751U-2HnD Возникла ситуация что процессор стал грузится на все 100, банально но даже при проверке скорости через speedtest.net про использование торрентов можно особо и не рассказывать, вешает Mikrotik намертво. настроек особых нет, настроен mikrotik следующим образом: имеется 2 провайдера 1 основной (с большей скоростью) 2-й резервный(с меньшей скоростью) скрипт при потере связи проверяет доступность канала и переключает на другой канал. для данной схемы используется несколько правил в мангале, также несколько роутов, скрипт и задача в шедулере. По мимо этого в файерволе используется несколько правил, особых правил не используется. Несколько квересов для особых любителей загружать канал. По профилю видно, что процессор в основном грузит файервол. Версия прошивки 5.24, пришлось понизить с 5.26 т.к. были глюки связанные с зависанием микротика(каждое утро рабочего дня начиналось с перезагрузки в ручную микротика, нельзя было к нему достучатся через winbox. Либо он сам перезагружался). Возможно ли разгрузить процессор и каким образом? Edited December 16, 2015 by reinhard Share this post Link to post Share on other sites More sharing options...
pppoetest Posted December 16, 2015 · Report post Убрать или оптимизировать правила фаервола. Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 17, 2015 · Report post Быть может в сети шторм из-за петли? ARP флуд какой нибудь из-за этого. Такое может положить любую железяку на лопатки. Share this post Link to post Share on other sites More sharing options...
reinhard Posted December 17, 2015 · Report post Убрать или оптимизировать правила фаервола. Поковырявшись с правилами фаервола удалось выяснить, что ощутимую нагрузку из всего списка дают следующие правила /ip firewall filter add action=drop chain=forward comment="drop my.mail.ru" content=my.mail.ru disabled=no src-address-list=userlist add action=drop chain=forward comment="drop love.mail.ru" content=love.mail.ru disabled=no src-address-list=userlist add action=accept chain=forward comment="allow adm mail.ru" content=cloud.mail.ru disabled=no src-address-list=adm add action=drop chain=forward comment="drop cloud.mail.ru" content=cloud.mail.ru disabled=no src-address-list=userlist Т.е. правила связанные с блокировкой отдельных сервисов mail.ru, правил построенных по такому принципу еще 6-8. Также после отключения указанной цепочки повышается скорость загрузки и отдачи на несколько мегабит(существует также проблемка со скоростью не не выдается до конца скорость заявленная провайдером). Возможен ли вариант, что проблема кроется глубже(падение скорости и загрузка ЦП), чем правила построенные по такому принципу, а фаервол уже как конечный результат Переход на адрес листы это уже конечно крайний случай для разгрузки т.к. подсети и ip управляющих серверов отдельных сервисов того же mail.ru не всегда постоянны или меняются или расширяются Share this post Link to post Share on other sites More sharing options...
vurd Posted December 17, 2015 · Report post Написать такие же правила, но указать всё-таки dst-port = 80 не пробовали? У вас весь трафик проходит по этим правилам, а нужен только на веб и возможно dns, уверен на 99%. Share this post Link to post Share on other sites More sharing options...
reinhard Posted December 17, 2015 · Report post Быть может в сети шторм из-за петли? ARP флуд какой нибудь из-за этого. Такое может положить любую железяку на лопатки. периодически замечаю в сети гуляющие пакеты во внутренней локалки с адреса который во внутреней сети уже не используется(ранее этот ip был закреплен за рабочей станцией, после вывода ее из эксплуатации данный ip убрал из arp и из dhcp сервера(по dhcp каждой рабочей станции присваиваю постоянные ip)) на скрине показан. т.е. с несуществующего ip идет обращение на микротик по порту 9996 данный ip не отображается больше нигде и пинги на него не идут это основной не понятный момент, от куда он взялся. бывает что проскакивают в торче мультикастовые опросы на подсети 224.0.0.252 и 239.255.255.250 со стороны провайдера данные подсети закрыты фаерволом P.S. микротик используеется как и dhcp сервер Share this post Link to post Share on other sites More sharing options...
reinhard Posted December 17, 2015 · Report post Написать такие же правила, но указать всё-таки dst-port = 80 не пробовали? У вас весь трафик проходит по этим правилам, а нужен только на веб и возможно dns, уверен на 99%. на счет правил, да, пробовал в конечном итоге, когда создавал правила оставил без указанного порта эту группу правил. на данном этапе указал и порт для сервисов. /ip firewall filter add action=drop chain=forward comment="drop love.mail.ru" content=my.mail.ru disabled=no dst-port=80 protocol=tcp src-address-list=userlist add action=drop chain=forward comment="drop love.mail.ru" content=love.mail.ru disabled=no dst-port=80 protocol=tcp src-address-list=userlist Проблемка осталась. при отключении всех правил построенных по данной схеме, проблемка со скоростью ушла выдается в полном объеме, заявленной провайдером 20мб/20мб если тестить через speedtest.net. если при помощи торрентов проверять, то скорость закачки может прыгнуть и до 30-40 мегибит. загрузка ЦП также до 100 подпрыгивает. На счет dns у меня стоят dns -Яндекса в поле Dynamic Server подтягивается Dns провайдера в зависимости от активного провайдера. P.S. провайдера 2. 1-й основной 2-й резервный. Если связь с первым отсуствует микротик переключает на второго провайдера Share this post Link to post Share on other sites More sharing options...
reinhard Posted December 17, 2015 (edited) · Report post Убрать или оптимизировать правила фаервола. отключивши сегодня все правила нагрузка на ЦП осталась, но скорость интернета значительно возрастала. При использовании торрент загрузка ЦП колеблется от 90% до 100%, поднимается до 100 потом падает до 90 и через короткий промежуток времени снова до 100 при замерах скорости, без вариантов прыгает до 100 и держится на таком уровне в течении всего промежутка замера. Edited December 17, 2015 by reinhard Share this post Link to post Share on other sites More sharing options...
vlad11 Posted December 17, 2015 · Report post Поставьте нормальный маршрутизатор и не мучайтесь. Share this post Link to post Share on other sites More sharing options...
reinhard Posted December 17, 2015 · Report post Поставьте нормальный маршрутизатор и не мучайтесь. нормальный в плане микротика или в плане другой марки? смутно понятно в данном случае формулировку нормальный Share this post Link to post Share on other sites More sharing options...
Artur-t Posted December 17, 2015 · Report post Обновите версию до 6.33.3 в 6.x ветке было много оптимизаций. У вас соедение с провайдером через туннельный интерфейс? Share this post Link to post Share on other sites More sharing options...
reinhard Posted December 17, 2015 (edited) · Report post Обновите версию до 6.33.3 в 6.x ветке было много оптимизаций. Максимальную версию которую лучше ставить 5.26 Т.к. недели 3 назад обновлял до последней актуальной версии в связи, которая была на тот момент, микротик тормозил даже при работе через winbox, пришлось понижать версию прошивки. У вас соедение с провайдером через туннельный интерфейс? Нет. От провайдера все выдается по DHCP. На порту подключил dhcp client. Никаких дополнительных настроек подключения к провайдеру нет Edited December 17, 2015 by reinhard Share this post Link to post Share on other sites More sharing options...
little Posted December 17, 2015 · Report post Снифером снимите трафик идущий на микротик и посмотрите что его повесило. А сам микротик этот слабенький. Share this post Link to post Share on other sites More sharing options...
vlad11 Posted December 17, 2015 · Report post Поставьте нормальный маршрутизатор и не мучайтесь. нормальный в плане микротика или в плане другой марки? смутно понятно в данном случае формулировку нормальный А вы для начала озвучьте свои пожелания к машрутизатору. Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted December 17, 2015 · Report post Ща saab подойдет, он все расскажет) А на самом деле vlad11 прав, поставьте нормальный роутер и будет вам счастье, посмотрите например в сторону Juniper SRX, даже SRX100 нагибает этот микротик и в цене и по возможностям. Share this post Link to post Share on other sites More sharing options...
reinhard Posted December 17, 2015 · Report post посмотрите например в сторону Juniper SRX, даже SRX100 нагибает этот микротик и в цене и по возможностям. полностью с Вами согласен в данном моменте Juniper и Cisco намного эффективней, но видя ценовую политику данного класса оборудования не думаю, что мне выделят необходимое финансирование на приобретение чего либо из Juniper или Cisco Share this post Link to post Share on other sites More sharing options...
reinhard Posted December 17, 2015 · Report post А вы для начала озвучьте свои пожелания к машрутизатору. В данном топике мы конечно не обсуждаем покупку нового маршрутизатора, пока что, а возникшею проблему и возможности её устранения. Проблемы могут возникнуть в любом нормальном маршрутизаторе :) Если конкретно по вашему предложению, посоветуйте более лучшее/продуктивное железо данного производителя. Если конечно все таки проблема в том, что данная модель не выдерживает нагрузки. Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted December 17, 2015 · Report post Любой тазик подбери не нужный, поставь туда фрю/линух и будет лучше. Пень3 сотку прожуёт, по выше гиг, но чем хуже проц тем лучше сетевухи нужны. Share this post Link to post Share on other sites More sharing options...
vlad11 Posted December 17, 2015 · Report post А вы для начала озвучьте свои пожелания к машрутизатору. В данном топике мы конечно не обсуждаем покупку нового маршрутизатора, пока что, а возникшею проблему и возможности её устранения. Проблемы могут возникнуть в любом нормальном маршрутизаторе :) У вас бурные фантазии. Любой гигабитный маршрутизатор от Асус или Тплинк будет постабильнее. А лучше еще залить альтернативную прошивку. Я все-таки не увидел требования к требования к маршрутизатору. А строго по теме топика - Обнулить конфиг, продать на Авито и купить нормальный маршрутизатор из вышеперечисленного. Share this post Link to post Share on other sites More sharing options...
shodan_x Posted December 17, 2015 (edited) · Report post reinhard - Не слушай их, они ща тебя квартиру продать заставят ради покупки киски... Как вариант, CCR1009 такие правила жует на раз-два. Специально добавил твои правила из первого поста, проверить. Как видишь на фоне скачки на скорости 160 мегабит, вообщем-то мелочи. Но лично я стараюсь таких правил избегать. Как вариант накатай скрипт определяющей адреса злостных сервисов и блочь их по списку. типа такого (изменить по вкусу) и запускай его раз в сутки к примеру. Он будте тебе в актуальном состоянии адрес-листы держать. А по ним будешь блочить :local SitesList {"www.lostfilm.tv";"eevblog.com";"hashcat.net";"nnm-club.me";"lurkmore.to";"rutracker.org"} :foreach addr in $SitesList do={ :local Blackip {:put ([:resolve $addr] )} :foreach i in=[/ip firewall address-list find ] do={ :if ( [/ip firewall address-list get $i address ] = $Blackip ) do={/ip firewall address-list remove $i} } /ip firewall address-list add address=$Blackip list=Traffic_to_Milan comment=$addr } Edited December 17, 2015 by shodan_x Share this post Link to post Share on other sites More sharing options...
pppoetest Posted December 17, 2015 · Report post Как вариант, CCR1009 такие правила жует на раз-два. Специально добавил твои правила из первого поста, проверить. Как видишь на фоне скачки на скорости 160 мегабит, вообщем-то мелочи. Lolwat? Да за такую цену можно б/у PC поставить, который гиг прожуёт не поперхнувшись. А судя по вашим графикам, еще чуть-чуть и ядрышки 1,6 начнут уходить в полочку, со всеми вытекающими последствиями. Share this post Link to post Share on other sites More sharing options...
shodan_x Posted December 17, 2015 (edited) · Report post pppoetest - Так нефиг правила с анализом контента добавлять, ЦЦР-ка эта отлично 10Г жует с кучей правил, не напрягаясь особо даже на MTU 1500. Лично проверял. Просто ко всему с умом подходить надо и не ставить правила анализа содержимого пакета. А вытекает, это из цысок вытикает... доп. траты на лицухи за каждый чих. Человеку надо бюджетно(желательно вообще без затрат), он же обяснил. А вы товарищи его в киску тыкаете и джунипером погоняете.... жесть. Да за такую цену можно б/у PC поставить, который гиг прожуёт не поперхнувшись. Не-а неполучится, дороговато будет 5 полноценных гигабитов и SFP SFP+ в комп ставить. Да и в 1 юнит подобный комп не влезет. Или будет весьма не бюджетным. Кстати дропов не предвидится, просто другие ядра задействуются. Да и вообще подобные правила аки "content=" надо с умом писать. Покурив десяток манов перед этим. Потому как даже в предложенном тобою варианте с компом, это будет не просто переживать. Особенно с такой постановкой вопроса, когда весь форвард на них проверяется. Кстати, с удовольствием посмотрел бы как SRX100 нагибается при анализе контента пакетов по вхождению слова :) Который вообщем-то стоит дороже моего CCR1009. Приведете статистику? С примерами конфига конечно-же! А потом сравним еще его прочий функционал и как он высокоскоростные линки переваривает.... ой простите, какие линки... это-же FAST-эзернет.... так свича кусок с каплей мозгов за 30 000-45 000 рублей. Куда его такой поставишь :) Edited December 17, 2015 by shodan_x Share this post Link to post Share on other sites More sharing options...
myst Posted December 18, 2015 · Report post Не-а неполучится, дороговато будет 5 полноценных гигабитов и SFP SFP+ в комп ставить. Да и в 1 юнит подобный комп не влезет. Или будет весьма не бюджетным. За каких хером на CCR 5 "полноценных гигабитов" а уж темболее sfp+ когда он уже на гигабите превращается в тыкву? Share this post Link to post Share on other sites More sharing options...
shodan_x Posted December 18, 2015 (edited) · Report post В какую еще тыкву на гигабите? Вот эту вот тыкву чтоли да? Маршрутизации между вланами, с прохождением правил фаервола. (60 правил + 19 в табличке NAT + 44 в Mangle) Правда Без этого жесткача с поиском текстовой строки в каждом пакете, который хочет топикстартер. Обращаем особое внимание на показатель общей загрузки проца... 2% Микротик для лоу-кост вещь отличная, конкурентов нет. Надо просто уметь его "готовить", и строить правила с умом! К примеру прогнали NEW пакет по нужным правилам, занатили при необходимости, и запихнули ESTABLISHED коннект в FastTrack, и вуаля, нагрузка нулевая. Нельзя коннект в фаст-трек заворачивать, не проблема, тоже все пережует, только при это загрузка будет не 2 процента а 15-17 на гигабите. А еще можно сие блюдо 9к пакетами нафаршировать, тогда вообще сказка! Так что наличие SPF+ очень даже оправдано! Даже жалко что он там всего один. :) Как по мне, молотилка для своей цены 32к весьма достойная. Уверен что киски и джуниперы близко к ней за эту цену не подбирутся. А самопальный комп будет стоить дороже, занимать больше места и жрать больше энергии. Сможете меня переубедить? Edited December 18, 2015 by shodan_x Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 18, 2015 (edited) · Report post В полку микромонгеров прибыло. Edited December 18, 2015 by ShyLion Share this post Link to post Share on other sites More sharing options...