micis Posted February 28, 2017 Posted February 28, 2017 (edited) Всем привет. Есть 2 офиса (микротики 951, прошивка 6.38.1), подключены к одному провайдеру. Провайдер скорость между офисами не режет, поэтому захотелось офис2 выпустить в интернет через офис1 (на офис1 можно подключить интернет гораздо дешевле). Настроил между офисами туннель IP-IP. Между офисами все пакеты ходят отлично, проблем нет. Но если на офисе2 сделать маршрут по-умолчанию через ip-ip, то интернет начинает жутко тормозить на офисе2. К примеру, если офис1 имеет подключение 300Мб, а офис2 - 5Мб к интернету (по speedtest.net это подтвержается), то при активации нового маршрута через ip-ip скорость падает до 0.5-0.1Мб (по speedtest.net). Между офисами дела замер через iperf - всегда скорость не ниже 75-80Мб. Подскажите куда посмотреть, что бы исправить это? вот конфиг офиса2: [admin@router] > /export # feb/26/2017 10:22:10 by RouterOS 6.38.1 # software id = A76H-9G7B # /interface bridge add admin-mac=E4:8D:8C:E2:8C:E3 arp=proxy-arp auto-mac=no name=bridge-local /interface ethernet set [ find default-name=ether1 ] name=ether1-gateway set [ find default-name=ether2 ] name=ether2-master-local set [ find default-name=ether3 ] master-port=ether2-master-local name=\ ether3-slave-local set [ find default-name=ether4 ] master-port=ether2-master-local name=\ ether4-slave-local set [ find default-name=ether5 ] master-port=ether2-master-local name=\ ether5-slave-local /interface ipip add !keepalive local-address=1.1.1.78 name=ipip-tunnel remote-address=\ 1.1.1.104 /ip neighbor discovery set ether1-gateway discover=no /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa2-psk eap-methods="" management-protection=\ allowed mode=dynamic-keys name=zzz supplicant-identity="" \ wpa2-pre-shared-key=xxxxxxxx /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ disabled=no distance=indoors frequency=auto mode=ap-bridge \ security-profile=zzz ssid=xxxxxx wireless-protocol=802.11 /ip pool add name=dhcp ranges=192.168.20.11-192.168.20.199 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge-local lease-time=12h name=\ dhcp1 /interface bridge port add bridge=bridge-local interface=ether2-master-local add bridge=bridge-local interface=wlan1 /interface pptp-server server set default-profile=default enabled=yes /ip address add address=192.168.20.1/24 interface=ether2-master-local network=\ 192.168.20.0 add address=192.168.9.2/24 interface=ipip-tunnel network=192.168.9.0 /ip dhcp-client add comment="default configuration" dhcp-options=hostname,clientid disabled=\ no interface=ether1-gateway /ip dhcp-server network add address=192.168.20.0/24 dns-server=192.168.20.10 gateway=192.168.20.1 \ netmask=24 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.20.1 name=router /ip firewall address-list add address=192.168.20.1-192.168.20.199 list=lan2inet /ip firewall filter add action=accept chain=output disabled=yes src-address=192.168.9.0/24 add action=accept chain=input disabled=yes src-address=192.168.9.0/24 add action=accept chain=input comment="default configuration" protocol=icmp add action=accept chain=input comment="web access from internet" dst-port=443 \ in-interface=ether1-gateway protocol=tcp add action=accept chain=input comment="for PPPTP server" dst-port=1723 \ in-interface=ether1-gateway protocol=tcp add action=accept chain=input comment="for PPPTP server" in-interface=\ ether1-gateway protocol=gre add action=accept chain=input comment="default configuration" \ connection-state=established,related add action=drop chain=input comment="default configuration" in-interface=\ ether1-gateway add action=fasttrack-connection chain=forward comment="default configuration" \ connection-state=established,related add action=accept chain=forward comment="default configuration" \ connection-state=established,related add action=drop chain=forward comment="default configuration" \ connection-state=invalid add action=drop chain=forward comment="default configuration" \ connection-nat-state=!dstnat connection-state=new in-interface=\ ether1-gateway /ip firewall mangle add action=mark-routing chain=prerouting dst-address=!192.168.0.0/16 \ new-routing-mark=through_vpn passthrough=yes src-address=192.168.20.0/24 /ip firewall nat add action=accept chain=srcnat comment="disable NAT for IPSEC tunnel" \ disabled=yes dst-address=192.168.10.0/24 src-address=192.168.20.0/24 add action=netmap chain=dstnat disabled=yes dst-port=80,82,83,3050 \ in-interface=ether1-gateway protocol=udp to-addresses=192.168.20.10 add action=netmap chain=dstnat dst-port=3050 in-interface=ether1-gateway \ protocol=tcp src-address=1.1.1.104 to-addresses=192.168.20.10 add action=netmap chain=dstnat dst-port=80 in-interface=ether1-gateway \ protocol=tcp src-address=1.1.1.104 to-addresses=192.168.20.10 add action=netmap chain=dstnat dst-port=82 in-interface=ether1-gateway \ protocol=tcp src-address=1.1.1.104 to-addresses=192.168.20.10 add action=netmap chain=dstnat dst-port=80,82,83,3050 in-interface=\ ether1-gateway protocol=tcp src-address=1.1.1.104 to-addresses=\ 192.168.20.10 add action=dst-nat chain=dstnat disabled=yes dst-port=8888 in-interface=\ ether1-gateway protocol=tcp to-addresses=192.168.20.200 to-ports=80 add action=netmap chain=srcnat disabled=yes dst-address=192.168.10.0/24 \ to-addresses=192.168.20.1 add action=masquerade chain=srcnat comment="default configuration" \ out-interface=ether1-gateway src-address-list=lan2inet /ip route add check-gateway=ping disabled=yes distance=2 gateway=192.168.9.1 \ routing-mark=through_vpn add distance=3 gateway=1.1.1.254 add distance=1 dst-address=192.168.10.0/24 gateway=192.168.9.1 /ip service set telnet disabled=yes set ftp disabled=yes set www-ssl certificate=cert1 disabled=no /ppp secret add local-address=192.168.20.1 name=ppp_user password="xxxxxxx" profile=\ default-encryption remote-address=192.168.20.2 service=pptp /system clock set time-zone-name=Asia/Yakutsk /system identity set name=router /system leds set 0 interface=wlan1 /system ntp client set enabled=yes server-dns-names=ru.pool.ntp.org /tool mac-server set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local add interface=wlan1 add interface=bridge-local /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local add interface=wlan1 add interface=bridge-local Сейчас маршрут выбирается через маркировку (action=mark-routing), но делал и безусловный маршрут. Уже думаю вернуться на старую прошивку ветки "bugfix only", но придётся делать это через веб интерфейс: у меня конфигурация не слетит при этом (роутеры админю удалённо)? Кстати, сейчас только увидел: Current Firmware=3.24, а Upgrade Firmware=3.33. Из-за этого могут быть такие проблемы? И хотел попробовать другой вариант решения: можно ведь заворачивать весь трафик офиса2 после маскарадинга, т.е. когда пакеты выходят "наружу", то они идут не на шлюз провайдера, а на роутер офиса1 (оба микротика в одной подсети провайдера, с одним и тем же шлюзом провайдера, одинаковой подсетью). А офис1 должен их маскарадить как-то и отправлять в инет. Вот так я не смог сделать. Может кто подскажет алгоритм? Edited February 28, 2017 by micis Вставить ник Quote
iSasha Posted March 8, 2017 Posted March 8, 2017 Сделайте проще, OpenVPN тунель поднимите (Mode: Ethernet) между офисами (получите канал второго уровня поверх третьего), далее объединяете в мост внутренние сети. На втором офисе отключите всю лишнюю маршрутизацию и будет работать без проблем. Вставить ник Quote
myth Posted March 9, 2017 Posted March 9, 2017 Он работает в юзерспейсе. Скорость будет никакая. Вставить ник Quote
iSasha Posted March 9, 2017 Posted March 9, 2017 Он работает в юзерспейсе. Скорость будет никакая. Вы о чем? Я использую подобные схемы на разных каналах, скорость зависит от возможности ресурсов определенной модели, даже на обычном hEX получаем легко около 95 мбит (разумеется с отключенным шифрованием). Более того через такой канал без проблем ходят VLAN. Вставить ник Quote
megahertz Posted March 10, 2017 Posted March 10, 2017 что за фигня...если в офисе_2 оператор дает вам общий канал в 5мбит, то через ваши туннели между офисами больше 5мбит вы ну никак не получите... Вставить ник Quote
iSasha Posted March 10, 2017 Posted March 10, 2017 что за фигня...если в офисе_2 оператор дает вам общий канал в 5мбит, то через ваши туннели между офисами больше 5мбит вы ну никак не получите... Вероятнее всего речь идет о внутренней локальной сети провайдера... Вставить ник Quote
myth Posted March 11, 2017 Posted March 11, 2017 Вы о чем? Я использую подобные схемы на разных каналах, скорость зависит от возможности ресурсов определенной модели, даже на обычном hEX получаем легко около 95 мбит (разумеется с отключенным шифрованием). повторите тоже самое на l2tp, pptp. Удивитесь. Сделайте выводы. Вставить ник Quote
iSasha Posted March 12, 2017 Posted March 12, 2017 повторите тоже самое на l2tp, pptp. Удивитесь. Сделайте выводы. Повторял, использовал и использую на нескольких узлах все Вами указанные протоколы - скорость одинаковая, работает превосходно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.