feeman Опубликовано 16 мая, 2020 · Жалоба Посоветуйте, что нужно подкрутить, чтоб снизить нагрузку на маршрутизатор. Пока только нашел address-list-timeout=1h, но полагаю это не единственное что можно подкрутить!? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 16 мая, 2020 · Жалоба Подкрутите гайки. :-). З.Ы. Модель, конфиг - в студию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 16 мая, 2020 · Жалоба Модель - CCR1036. Скрытый текст /ip firewall address-list add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON /ip firewall filter add action=accept chain=input comment="Accept all incoming input established connections" connection-state=established,related add action=accept chain=forward comment="Accept all incoming forward (transit traffic) established connections" connection-state=established,related add action=drop chain=input comment="Drop all incoming input invalid connections" connection-state=invalid add action=drop chain=forward comment="Drop all incoming forward (transit traffic) invalid connections" connection-state=invalid add action=drop chain=forward comment="Drop all incoming connections to WAN which are not DSTNAT'ed" connection-nat-state=!dstnat in-interface-list=WAN add action=drop chain=input comment="Drop ICMP echo request to interface WAN" in-interface-list=!LAN protocol=icmp add action=drop chain=input comment="Drop all incoming packages to interface WAN" in-interface-list=WAN add action=drop chain=forward comment="Limit 200, to each address" connection-limit=200,32 in-interface-list=LAN protocol=tcp add action=drop chain=forward comment="Limit 200, to each address" connection-limit=200,32 in-interface-list=LAN protocol=udp add action=accept chain=forward comment="IPsec connections" ipsec-policy=in,ipsec add action=accept chain=forward comment="IPsec connections" ipsec-policy=out,ipsec add action=drop chain=input comment="Block Bogon IP Address" disabled=yes in-interface-list=!LAN src-address-list=BOGON add action=drop chain=forward comment="Block Bogon IP Address" disabled=yes in-interface-list=!LAN src-address-list=BOGON / ip firewall mangle; add action=mark-connection chain=prerouting in-interface=ISP1 connection-mark=no-mark new-connection-mark=connection_to_ISP1 passthrough=no disabled=no; add action=mark-connection chain=prerouting in-interface=ISP2 connection-mark=no-mark new-connection-mark=connection_to_ISP2 passthrough=no disabled=no; / ip firewall mangle; add action=mark-connection chain=prerouting in-interface-list=LAN dst-address-type=!local connection-mark=no-mark new-connection-mark=connection_to_ISP1 per-connection-classifier=both-addresses:2/0 passthrough=yes disabled=no; add action=mark-connection chain=prerouting in-interface-list=LAN dst-address-type=!local connection-mark=no-mark new-connection-mark=connection_to_ISP2 per-connection-classifier=both-addresses:2/1 passthrough=yes disabled=no; /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set www-ssl disabled=yes set api disabled=yes set api-ssl disabled=yes /tool bandwidth-server set enabled=no /tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=none /tool mac-server ping set enabled=no Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 16 мая, 2020 · Жалоба @sdy_moscow , джу от тебя подробностей! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 16 мая, 2020 · Жалоба @feeman Сори, я в микротах не спец. Это был дружеский совет по содержанию вопроса. В теме стоит описывать проблему подробнее. Уверен, если опишите что у Вас за проблема, то ответ будет точно быстрее и актуальнее. Например, у меня остался вопрос: Что значит "снизить нагрузку"? Чем так перегружен роутер? Какой тип трафика? Что рутит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 16 мая, 2020 · Жалоба Цитата Что нужно подкрутить, чтоб снизить нагрузку на маршрутизатор Варианты: 1) Купить нормальный маршрутизатор. 2) Нанять разбирающегося человека Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 16 мая, 2020 · Жалоба 6 минут назад, TriKS сказал: Варианты: 1) Купить нормальный маршрутизатор. 2) Нанять разбирающегося человека Либо, отправить в бан @TriKS , чтоб офтопов не было. 43 минуты назад, sdy_moscow сказал: Сори, я в микротах не спец Специально был создан "загончик" для счастливых обладателей одного вендора. Но вот, что вас туда тянет если вы не в теме!? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 16 мая, 2020 · Жалоба @feeman Ок. Ждите Сааба ,он ответит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 16 мая, 2020 · Жалоба Зачем его ждать? Нужно ещё два микротика купить, других советов не бывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 16 мая, 2020 · Жалоба Только что, alibek сказал: Зачем его ждать? Нужно ещё два микротика купить, других советов не бывает. Ну вообще-то это очевидно из конфига ТС. У него два ISP. На каждого нужен свой микротик, а потом их через ospf объединить с 3-им. А там уже думать надо что хочется. Можно их вообще по bgp объединить и сделать ecmp с as-path-relax, а можно и просто актив\бекап сделать благодаря netwatch. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 16 мая, 2020 · Жалоба 45 минут назад, alibek сказал: Нужно ещё два микротика купить, других советов не бывает. Всё уже сделано по некрофеншую. Одна финча - один микротик ))) Актуальный вопрос пожалуй в плане NAT'а. 46 минут назад, vurd сказал: Можно их вообще по bgp объединить и сделать ecmp с as-path-relax as-path multipath-relax ? @vurd , а вы разве на сети используете некротики? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sheft Опубликовано 16 мая, 2020 · Жалоба сколько прогоняет в PPS и мегабитах? в чём собственно тормоза? в конфиге ната не увидел, что говорит /tool/profile ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 16 мая, 2020 · Жалоба 1 минуту назад, sheft сказал: в чём собственно тормоза? За тормоза пока не говорил! Но, хотелось бы перебЗЪдеть... Есть же best practice джентльменский набор - для уменьшения нагрузки 15 минут назад, sheft сказал: в конфиге ната не увидел Полагал, что это неактуально /interface list member; add interface=ISP1 list=WAN; add interface=ISP2 list=WAN;/ /ip firewall nat; add action=masquerade chain=srcnat out-interface-list=WAN;/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sdy_moscow Опубликовано 16 мая, 2020 · Жалоба Я бы запасся резервным БП и резервным некротом. Лично у меня, после тех чудес что наблюдались, к микротику жуткое недоверие, т.к. когда его начинает "плющить" понять, что с ним не так - не представляется возможным от слова "совсем". А вышеуказанная модель именно так себя ведет. Если не дай бог питание начнет шалить, то на флэш памяти легко может случится что-то странное. Помогает только сброс и повторная перепрошивка. Поэтому на время возни второй подготовленный не помешает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 16 мая, 2020 · Жалоба 1 час назад, feeman сказал: @vurd , а вы разве на сети используете некротики? На сети нет. Дома использую, держу небольшой vpls домен от дома до столба с камерой и до квартиры. Мне прикольно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RN3DCX Опубликовано 18 мая, 2020 · Жалоба В 16.05.2020 в 15:13, feeman сказал: Пока только нашел address-list-timeout=1h Еще где-то видел, что рекомендуют увеличить значения в Queues. Подробности надеюсь @Saab95 уточнит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 18 мая, 2020 · Жалоба Подскажите, почему не работает правило address-list-timeout=1h ? /ip firewall filter add action=add-src-to-address-list address-list=users_sessions address-list-timeout=1h dst-address-type=!local chain=forward;/ /ip firewall address-list; add address=10.0.0.0/8 disabled=no list=users_sessions;/ Для проверки, чтоб наверняка, поставил правило в firewall filter первым в списке. Но оно почему-то не работает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 мая, 2020 · Жалоба Этот параметр задает не таймаут сессии, а таймаут добавляемой в ACL записи (например если она добавляется динамически). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 18 мая, 2020 · Жалоба @alibek , спасибо за пояснение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 19 мая, 2020 · Жалоба @feeman если Нат используете. При большом количестве трафика таблица конекшен трекинг может раздуваться стоит снизить время на запись в таблице некоторых соединений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 19 мая, 2020 · Жалоба спасибо, нашел схожую тему: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 19 мая, 2020 · Жалоба @feeman ещё можно отключить не нужные модули которые не использукте. Отключить внутренних базу dns. Не стоит формировать графики на самом микротикe. Так же пагубно влияет опрос по snmp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
feeman Опубликовано 19 мая, 2020 · Жалоба 6 минут назад, pingz сказал: ещё можно отключить не нужные модули которые не использукте Сделано: Скрытый текст /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set www-ssl disabled=yes set api disabled=yes set api-ssl disabled=yes /tool bandwidth-server set enabled=no /tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=none /tool mac-server ping set enabled=no 12 минут назад, pingz сказал: Отключить внутренних базу dns. На данный момент использую как кеширующий. 8 минут назад, pingz сказал: Не стоит формировать графики на самом микротикe. Так же пагубно влияет опрос по snmp а графики и snmp на микротике вещи не взаимосвязанные? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 19 мая, 2020 · Жалоба @feeman в самом микротика в tools можно создать график. Кэширование dns то же отжирает производительность Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...