RB2011UiAS 2 провайдера, низкая скорость по резервному провайдеру

[Merk055]

Всем привет. Столкнулся с необъяснимым глюком в работе микротика:
RB2011UiAS сброшен в дефолт, обновлен до последней стабильной ROS 6-й версии. После сброса настроек заводская конфигурация не была удалена и на базе ее было настроено 2 провайдера (первый по DHCP выдает статику, второй - тоже по DHCP - динамику). Созданы 2 маршрута по умолчанию, с разными Distance (для автоматического резервирования - в случае пропадания основного провайдера скриптом маршрут тушится и включается резервный маршрут - тот что с бОльшим Distance).
Есть необходимость один из ПК (192.168.0.83) выпускать в инет всегда с резервного провайдера, для чего в манглах создана запись для его ip и выполняющая нужный mark-routing
Проблема в том, что на этом ПК скорость инета ниже плинтуса - даже speedtest ее замерить не может, хотя внешние хосты исправно пингуются и 2ip.ru показывает верный внешний адрес на этом ПК (соответствующий резервному провайдеру). На всех остальных ПК со скоростью все норм (они пользуются основным провайдером).

Проблема с провайдером исключена потому что:
- если на микротике запустить torch на любом интерфейсе, то скорость на ПК нормализуется, и снова падает почти в ноль если torch остановить (!!!). Аналогично если запустить sreaming в инструменте packet sniffer на любом интерфейсе
- если провайдер воткнуть напрямую в ПК - со скоростью тоже все норм
- если обменять местами distance на маршрутах по умолчанию, то бывший резервный провайдер "начинает" также выдавать нормальную скорость на всех компах
Никаких очередей, особых правил фаервола не настроено и не используется.
Конфиг загружен сюда: https://drive.google.com/file/d/13AezTf_7H60VPRQ9M5_hIA0Gxmt_CRLs/view?usp=drive_link

Склоняюсь к какому то багу в 6.49.10, откатываться еще не пробовал. Может есть у кого мысли что предпринять?

Edited November 16, 2023 by Merk055

[jffulcrum]

Ссылка на конфиг не алё. Есть подобные роутеры с подобным функционалом, все работает с 6.49.10. 

 

1 час назад, Merk055 сказал:

После сброса настроек заводская конфигурация не была удалена

 

Никогда так не делайте. В заводской конфигурации включено куча всего, и она серьезно завязана на interface lists. Вы их, предположу, не смотрели, и используемые порты по ним не распределяли. fasttrek также наверняка включен и за счет mangle клиент выпадает из fasttrek, а вероятно и из fastpath. Если есть задачи, грузящие CPU, этот клиент окажется на дне, cpu у железки одноядерный и дохлый.

 

1 час назад, Merk055 сказал:

(первый по DHCP выдает статику, второй - тоже по DHCP - динамику)

 

Если они на разных технологиях, и де-факто имеют разный MTU, то с mangle PMTU на стороне клиента может не отрабатывать нормально, и получатся как раз подобные затупы. Уменьшить клиенту MTU принудительно.

[Merk055]

Цитата

Ссылка на конфиг не алё.

откорректировал в 1 посте

 

Цитата

она серьезно завязана на interface lists. Вы их, предположу, не смотрели, и используемые порты по ним не распределяли.

да, я видел, но вроде листы откорректировал, там ничего сложного

 

Цитата

Если есть задачи, грузящие CPU, этот клиент окажется на дне

нет таких задач, загрузка проца не превышает в пиках 10%

 

Цитата

Если они на разных технологиях, и де-факто имеют разный MTU, то с mangle PMTU на стороне клиента может не отрабатывать нормально,

основной провайдер (в конфиге он называется Союз, воткнут в порт 6) - приходит просто кабель Ethernet с улицы, предположу, что на крыше у провайдера стоит какой-нибудь свич, а перед ним - оптика.

Резервный провайдер - оптический GPON-модем, стоит у меня, на нем настроен бридж на один из портов модема, от него кабель воткнут в 7й порт микротика.

Что можно предпринять? Сбрасывать все в ноль и настравать заново руками?

[SUrov_IBM]

Merk055, здравствуйте.

 

При упоминании PON, почему-то сразу представляется PPPoE. Если используется PPPoE, сниженное MTU и соответственно MSS.

 

Форумчанин Jffulcrum очень правильно это заметил!

 

Попробуйте зарезать MSS "предельно низко" на "внешних" интерфейсах смотрящих в сторону двух операторов.

 

Например таким образом:

 

/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=no tcp-flags=syn protocol=tcp out-interface=*название_WAN интерфейса_1го_оператора* tcp-mss=1300-65535 log=no
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=no tcp-flags=syn protocol=tcp in-interface=*название_WAN интерфейса_1го_оператора* tcp-mss=1300-65535 log=no

/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=no tcp-flags=syn protocol=tcp out-interface=*название_WAN интерфейса_2го_оператора* tcp-mss=1300-65535 log=no
/ip firewall mangle add chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=no tcp-flags=syn protocol=tcp in-interface=*название_WAN интерфейса_2го_оператора* tcp-mss=1300-65535 log=no

[McSea]

On 11/16/2023 at 6:39 PM, Merk055 said:

Столкнулся с необъяснимым глюком в работе микротика

Никакого глюка тут нет, обычная (не)работа mark routing совместно с fasttrack-ом.

 

Начальные пакеты проходят через mark routing и соединение устанавливается в вашем случае через резервного провайдера.

Далее, так как соединение помечается fasttrack-ом, бОльшая часть пакетов не проходят через файрвол, в т.ч. и через mark routing,

и эти пакеты уходят через основного провайдера и не доходят до или отбрасываются получателем.

Но небольшая часть пакетов этого соединения периодически проходит файрвол и mark routing и уходит через правильного (резервного) провайдера, так и получается, что подключение как бы есть, но скорость очень низкая.

Когда же вы запускаете торч/сниффер, fasttrack отключается и все нормально работает.

 

В данном случае, так как выбор клиента для направления через резервного провайдера идет только через его IP адрес,

можно использовать routing rules, там такой проблемы с fasttrack не будет.

Иначе нужно исключать трафик таких клиентов из fasttrack через соотв. правило в firewall/filter.

 

[Merk055]

Совершенно верно! Позавчера методом тыка отключил незнакомое мне правило с fasttrack-ом и все заработало как надо. После уже начал гуглить что это за фича. McSea, спасибо за объяснение!