micis Опубликовано 28 февраля, 2017 (изменено) · Жалоба Всем привет. Есть 2 офиса (микротики 951, прошивка 6.38.1), подключены к одному провайдеру. Провайдер скорость между офисами не режет, поэтому захотелось офис2 выпустить в интернет через офис1 (на офис1 можно подключить интернет гораздо дешевле). Настроил между офисами туннель IP-IP. Между офисами все пакеты ходят отлично, проблем нет. Но если на офисе2 сделать маршрут по-умолчанию через ip-ip, то интернет начинает жутко тормозить на офисе2. К примеру, если офис1 имеет подключение 300Мб, а офис2 - 5Мб к интернету (по speedtest.net это подтвержается), то при активации нового маршрута через ip-ip скорость падает до 0.5-0.1Мб (по speedtest.net). Между офисами дела замер через iperf - всегда скорость не ниже 75-80Мб. Подскажите куда посмотреть, что бы исправить это? вот конфиг офиса2: [admin@router] > /export # feb/26/2017 10:22:10 by RouterOS 6.38.1 # software id = A76H-9G7B # /interface bridge add admin-mac=E4:8D:8C:E2:8C:E3 arp=proxy-arp auto-mac=no name=bridge-local /interface ethernet set [ find default-name=ether1 ] name=ether1-gateway set [ find default-name=ether2 ] name=ether2-master-local set [ find default-name=ether3 ] master-port=ether2-master-local name=\ ether3-slave-local set [ find default-name=ether4 ] master-port=ether2-master-local name=\ ether4-slave-local set [ find default-name=ether5 ] master-port=ether2-master-local name=\ ether5-slave-local /interface ipip add !keepalive local-address=1.1.1.78 name=ipip-tunnel remote-address=\ 1.1.1.104 /ip neighbor discovery set ether1-gateway discover=no /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik add authentication-types=wpa2-psk eap-methods="" management-protection=\ allowed mode=dynamic-keys name=zzz supplicant-identity="" \ wpa2-pre-shared-key=xxxxxxxx /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ disabled=no distance=indoors frequency=auto mode=ap-bridge \ security-profile=zzz ssid=xxxxxx wireless-protocol=802.11 /ip pool add name=dhcp ranges=192.168.20.11-192.168.20.199 /ip dhcp-server add address-pool=dhcp disabled=no interface=bridge-local lease-time=12h name=\ dhcp1 /interface bridge port add bridge=bridge-local interface=ether2-master-local add bridge=bridge-local interface=wlan1 /interface pptp-server server set default-profile=default enabled=yes /ip address add address=192.168.20.1/24 interface=ether2-master-local network=\ 192.168.20.0 add address=192.168.9.2/24 interface=ipip-tunnel network=192.168.9.0 /ip dhcp-client add comment="default configuration" dhcp-options=hostname,clientid disabled=\ no interface=ether1-gateway /ip dhcp-server network add address=192.168.20.0/24 dns-server=192.168.20.10 gateway=192.168.20.1 \ netmask=24 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.20.1 name=router /ip firewall address-list add address=192.168.20.1-192.168.20.199 list=lan2inet /ip firewall filter add action=accept chain=output disabled=yes src-address=192.168.9.0/24 add action=accept chain=input disabled=yes src-address=192.168.9.0/24 add action=accept chain=input comment="default configuration" protocol=icmp add action=accept chain=input comment="web access from internet" dst-port=443 \ in-interface=ether1-gateway protocol=tcp add action=accept chain=input comment="for PPPTP server" dst-port=1723 \ in-interface=ether1-gateway protocol=tcp add action=accept chain=input comment="for PPPTP server" in-interface=\ ether1-gateway protocol=gre add action=accept chain=input comment="default configuration" \ connection-state=established,related add action=drop chain=input comment="default configuration" in-interface=\ ether1-gateway add action=fasttrack-connection chain=forward comment="default configuration" \ connection-state=established,related add action=accept chain=forward comment="default configuration" \ connection-state=established,related add action=drop chain=forward comment="default configuration" \ connection-state=invalid add action=drop chain=forward comment="default configuration" \ connection-nat-state=!dstnat connection-state=new in-interface=\ ether1-gateway /ip firewall mangle add action=mark-routing chain=prerouting dst-address=!192.168.0.0/16 \ new-routing-mark=through_vpn passthrough=yes src-address=192.168.20.0/24 /ip firewall nat add action=accept chain=srcnat comment="disable NAT for IPSEC tunnel" \ disabled=yes dst-address=192.168.10.0/24 src-address=192.168.20.0/24 add action=netmap chain=dstnat disabled=yes dst-port=80,82,83,3050 \ in-interface=ether1-gateway protocol=udp to-addresses=192.168.20.10 add action=netmap chain=dstnat dst-port=3050 in-interface=ether1-gateway \ protocol=tcp src-address=1.1.1.104 to-addresses=192.168.20.10 add action=netmap chain=dstnat dst-port=80 in-interface=ether1-gateway \ protocol=tcp src-address=1.1.1.104 to-addresses=192.168.20.10 add action=netmap chain=dstnat dst-port=82 in-interface=ether1-gateway \ protocol=tcp src-address=1.1.1.104 to-addresses=192.168.20.10 add action=netmap chain=dstnat dst-port=80,82,83,3050 in-interface=\ ether1-gateway protocol=tcp src-address=1.1.1.104 to-addresses=\ 192.168.20.10 add action=dst-nat chain=dstnat disabled=yes dst-port=8888 in-interface=\ ether1-gateway protocol=tcp to-addresses=192.168.20.200 to-ports=80 add action=netmap chain=srcnat disabled=yes dst-address=192.168.10.0/24 \ to-addresses=192.168.20.1 add action=masquerade chain=srcnat comment="default configuration" \ out-interface=ether1-gateway src-address-list=lan2inet /ip route add check-gateway=ping disabled=yes distance=2 gateway=192.168.9.1 \ routing-mark=through_vpn add distance=3 gateway=1.1.1.254 add distance=1 dst-address=192.168.10.0/24 gateway=192.168.9.1 /ip service set telnet disabled=yes set ftp disabled=yes set www-ssl certificate=cert1 disabled=no /ppp secret add local-address=192.168.20.1 name=ppp_user password="xxxxxxx" profile=\ default-encryption remote-address=192.168.20.2 service=pptp /system clock set time-zone-name=Asia/Yakutsk /system identity set name=router /system leds set 0 interface=wlan1 /system ntp client set enabled=yes server-dns-names=ru.pool.ntp.org /tool mac-server set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local add interface=wlan1 add interface=bridge-local /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local add interface=wlan1 add interface=bridge-local Сейчас маршрут выбирается через маркировку (action=mark-routing), но делал и безусловный маршрут. Уже думаю вернуться на старую прошивку ветки "bugfix only", но придётся делать это через веб интерфейс: у меня конфигурация не слетит при этом (роутеры админю удалённо)? Кстати, сейчас только увидел: Current Firmware=3.24, а Upgrade Firmware=3.33. Из-за этого могут быть такие проблемы? И хотел попробовать другой вариант решения: можно ведь заворачивать весь трафик офиса2 после маскарадинга, т.е. когда пакеты выходят "наружу", то они идут не на шлюз провайдера, а на роутер офиса1 (оба микротика в одной подсети провайдера, с одним и тем же шлюзом провайдера, одинаковой подсетью). А офис1 должен их маскарадить как-то и отправлять в инет. Вот так я не смог сделать. Может кто подскажет алгоритм? Изменено 28 февраля, 2017 пользователем micis Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iSasha Опубликовано 8 марта, 2017 · Жалоба Сделайте проще, OpenVPN тунель поднимите (Mode: Ethernet) между офисами (получите канал второго уровня поверх третьего), далее объединяете в мост внутренние сети. На втором офисе отключите всю лишнюю маршрутизацию и будет работать без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 9 марта, 2017 · Жалоба Он работает в юзерспейсе. Скорость будет никакая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iSasha Опубликовано 9 марта, 2017 · Жалоба Он работает в юзерспейсе. Скорость будет никакая. Вы о чем? Я использую подобные схемы на разных каналах, скорость зависит от возможности ресурсов определенной модели, даже на обычном hEX получаем легко около 95 мбит (разумеется с отключенным шифрованием). Более того через такой канал без проблем ходят VLAN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
megahertz Опубликовано 10 марта, 2017 · Жалоба что за фигня...если в офисе_2 оператор дает вам общий канал в 5мбит, то через ваши туннели между офисами больше 5мбит вы ну никак не получите... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iSasha Опубликовано 10 марта, 2017 · Жалоба что за фигня...если в офисе_2 оператор дает вам общий канал в 5мбит, то через ваши туннели между офисами больше 5мбит вы ну никак не получите... Вероятнее всего речь идет о внутренней локальной сети провайдера... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 11 марта, 2017 · Жалоба Вы о чем? Я использую подобные схемы на разных каналах, скорость зависит от возможности ресурсов определенной модели, даже на обычном hEX получаем легко около 95 мбит (разумеется с отключенным шифрованием). повторите тоже самое на l2tp, pptp. Удивитесь. Сделайте выводы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
iSasha Опубликовано 12 марта, 2017 · Жалоба повторите тоже самое на l2tp, pptp. Удивитесь. Сделайте выводы. Повторял, использовал и использую на нескольких узлах все Вами указанные протоколы - скорость одинаковая, работает превосходно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 12 марта, 2017 · Жалоба Свежо придание... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
