[alibek]

Есть один клиент, который хочет качественный интернет и готов за это платить.

У него есть уже два канала от разных провайдеров (300М и 800М), но качество не устраивает.

Ему нужна не столько скорость, сколько ровные пинги и отсутствие потерь.

Канал дали (200М}, выделенная линия с публичной подсетью /30, качество вроде устраивает, но скорость выше 130 почему-то не поднимается. Снял с канала ограничения (полисер) — все равно не более 130, хотя порт доступа гигабитный. Сегодня включили в линию ноутбук — тот на спидтесте выдает 300-400М (ноутбук старый, больше не тянет). А включаем в роутер — 130М. Причем так стабильно, как будто это со стороны клиента ограничение.

Роутер - Микротик RB4011. На других провайдерах выдает 300М и 800М.

Сеть и роутер клиенту настраивали специалисты (игровой клуб по white label), должны быть толковые.

В понедельник сам поеду посмотреть, что там такое. Есть предположения, в чем может быть причина и куда смотреть?

[Saab95]

1 час назад, alibek сказал:

Есть предположения, в чем может быть причина и куда смотреть?

Конечно - не верные настройки.

 

Сбрасываете конфиг, ставите пароль на админа, отключаете сервисы (меняете IP управления что бы извне не подключались), делаете минимальные настройки (IP адреса, НАТ, если нужен) и все - будет полная скорость.

 

Некоторые специалисты накидают кучу ограничений - защиту от перебора портов, защиту от флуд пинга и т.п. Порой по 20-30 правил создают. Вот и не проходит скорость.

[alibek]

Как же она "проходит" через других операторов?

[sirmax]

6 часов назад, alibek сказал:

Как же она "проходит" через других операторов?

Я бы начал с замеров скуорости хорошим ноутом БЕЗ роутера совсем, просто в лоб, с порта, как у себя так и у второго аплинка.
И записывать все тесты и результ аты

Пока я не увижу что "вот тут работает а вот тут нет" - это все фантазии клиента, который не хочет разбиратья, а хочет свалить на провайдера - и да, все замеры делать при клиенте.

Дальше доступ к роутеру, экспорт конфига, забирать к себе и тестировать на стенде, влив в такой же, если есть.
Ну и если возможно - завести отдельный влан на микрот клиента и добавитьна мониторинг - может CPU в полку по какой-то причине (на конкретно 4011 у меня что-то такое было связанное с багом вроде бы, но  я не уверен, не помню точно)

 PS

Да, я понимаю что советы очевидные

[rz3dwy]

1 час назад, sirmax сказал:

завести отдельный влан на микрот клиента

Топик про некротик, а в их идеологии 802.1q это устаревшая технология

[mafijs]

Quote

Сеть и роутер клиенту настраивали специалисты (игровой клуб по white label), должны быть толковые.

Посмотреть бы на тот конфиг, ради спортивного интереса.

Может IP адрес локалки на не на bridge, a на каком-то ether2

А так - сброс на `default` потом и смотреть, что получается.

Edited April 20 by mafijs

[alibek]

Цитата

Я бы начал с замеров скуорости хорошим ноутом БЕЗ роутера совсем

Даже не очень хороший ноутбук показывает, что проблема явно как-то связана с микротиком.

При подключении через роутер выдает 130, при подключении напрямую выдает 300+.

Но и вряд ли причина в слишком сложных правилах файрвола, иначе бы на других операторах тоже было бы 130М.

У меня еще появилась мысль, что может быть причина в оптическом порту. Другие провайдеры включены через медиаконвертеры, а мы подключали в оптический порт.

А в 4011 оптический порт не подключен к свитч-чипу и висит на CPU. Но там вроде бы шина 2 Гбит/с или более.

[mafijs]

Oптический порт RB4011 SFP+ 10Gbps шина. Несралось чо-то там? Пробовать другой модуль.

[Ivan_83]

Скорее попробовать медиаконвертер отдельный.

Поди ж и ноут тогда через отдельный медиаконвертер включали.

И модуль SFP отдельно как то потестить.

[Saab95]

12 часов назад, alibek сказал:

Как же она "проходит" через других операторов?

Получается что все операторы подключены к микротику разом и клиент некими правилами выбирает через какой канал работать?

 

Тогда ясно где может быть проблема.

 

При подключении юридических лиц часто такое появляется, когда они пытаются 2 и более провайдера сводить на одно устройство для резервирования. Даже на циске один клиент месяц жаловался что у него то канал не работает, то скорость низкая. А со стороны его порта торч микротика видит пакеты его внутренней локальной сети, и в ответ на это клиент говорил что у него же циска она не может не правильно работать.

[VolanD666]

В 19.04.2025 в 22:35, Saab95 сказал:

Сбрасываете конфиг

Зачем это? Или диагностика/поиск конкретной проблемы/решение это устаревшие технологии? А его потом обратно настраивать на несколько операторов кто будет?

 

2 ТС: Подключаете ноут при клиенте, показываете что канал соответствует. Дальше либо он пляшет, т.к. оборудование в его ЗО, либо вы чтобы не потерять лояльность. Если вы, подключаетесь к роутеру в момент замера и смотрите что с ним происходит. Можно посмотреть как настроено, возможно там не хотели париться и повесили 1 IP на общий мост в сторону провайдеров (как вариант).

[alibek]

Цитата

Получается что все операторы подключены к микротику разом

Нет. Резервирования или горячего переключения нет, переключение вручную.

 

Цитата

Подключаете ноут при клиенте, показываете что канал соответствует.

Это уже было сделано. Сегодня к клиенту проедусь я, попробую понять, в чем причина.

 

Цитата

А его потом обратно настраивать на несколько операторов кто будет?

Не только. Со слов клиента там достаточно сложная инсталляция (клиент деталей не знает, ему настраивали другие специалисты).

Это игровой клуб, там есть серверная компонента с виртуализацией, провижинингом, централизацией обновлений и т.п.

То есть просто сбросить роутер на заводские настройки и настроить интернет-канал — это будет довольно глупое действие.

[VolanD666]

17 минут назад, alibek сказал:

ему настраивали другие специалисты

Ну пусть тогда они и решают проблему? Или такого варианта нет?

 

18 минут назад, alibek сказал:

Со слов клиента там достаточно сложная инсталляция

Вот поэтому лучше туда не лезть. Потому что, если что-то случится виноватыми сделают вас.

[alibek]

Цитата

Ну пусть тогда они и решают проблему?

Для начала нужно действительно убедиться, что проблема не в нашей ЗО.

Результаты проверки на это вроде бы указывают, но мне непонятна причина. У Микротика, конечно, есть много особенностей, но уж 200 Мбит/с 4011 должен пропустить легко, а не упираться в 130.

[sirmax]

21 минуту назад, alibek сказал:

Для начала нужно действительно убедиться, что проблема не в нашей ЗО.

Результаты проверки на это вроде бы указывают, но мне непонятна причина. У Микротика, конечно, есть много особенностей, но уж 200 Мбит/с 4011 должен пропустить легко, а не упираться в 130.

У нас для таких случаев есть в офисе три порта, в клиентских вланах. 100, гиг и пон. 

мы берём свой роутер, и переносим клиентский сервис вместе со всеми настройками, адресами и шейпером, в офис. Потом проверяем. 

Если не воспроизводится на нашем роутере (2011) в офисе, то идти к клиенту и показывать на своем роутере.

 

после чего или разбираться с настройками у клиента с его согласия или пусть кто настраивал, тот и обслуживает. 

 

Обычно клиент не жаждет оплачивать работу по поиску проблем в настройках, так что тут как договоритесь, но если с вашим роутером все отлично, то это явно не ваш косяк. И тут обычно даже самые упоротые клиенты это признают. 
 

[alibek]

Выезжать не потребовалось.

Клиент сообщил, что обнаружил на своей стороне (на роутере) ограничение скорости.

Исправил, сейчас жалоб нет.

[Saab95]

12 часов назад, VolanD666 сказал:

Зачем это? Или диагностика/поиск конкретной проблемы/решение это устаревшие технологии? А его потом обратно настраивать на несколько операторов кто будет?

Старые настройки можно сохранить.

 

С 2010 года плотно занимаемся с микротком, каких только настроек не повидали за это время.

 

Почему-то очень многие действуют по схеме - защитить роутер (это значит создать десяток - два правил блокировки всего на input, создать правила маркировки и блокировки соединений по перебору паролей или подключениям к сервисам и т.п.). Далее заблокировать доступ всем изнутри сети, создать списки доступа кому можно и прочее.

 

Буквально роутер на обслуживание маленького офиса на 10 компьютеров там правил больше, чем на нашем операторском микротике, который НАТ или БГП делает.

 

10 часов назад, alibek сказал:

Клиент сообщил, что обнаружил на своей стороне (на роутере) ограничение скорости.

А где было это ограничение, если на другие каналы оно не срабатывало? Значит какая-то маркировка не верно обсчитывала трафик вашего подключения, а другие подключения как-то обходило. Как раз и похоже на какие-то правила, в которые не добавили исключения с другими адресами или портом.

[naves]

On 4/20/2025 at 7:45 PM, alibek said:

У меня еще появилась мысль, что может быть причина в оптическом порту. Другие провайдеры включены через медиаконвертеры, а мы подключали в оптический порт.

Была похожая ситуация, на роутере порт аплинка и порт в локалку были в бридже. Трафик с аплинка тегировался и отдавался вланом в порт локалки. Локальная сеть в другом vlan.

Но там, кажется, упиралось где-то в 600мбит, и другая модель была.

 

Сделано было так потому что провайдер выдавал несколько IP-адресов, и часть этих реальных адресов висела на отдельных серверах. А скоммутировать хвост провайдера сначала в свич, а потом раздать на сервера и микротик отдельными портами по какой-то причине нельзя было. Вроде SFP-модулей на 1G не нашли.

Edited April 22 by naves

[VolanD666]

11 часов назад, Saab95 сказал:

Старые настройки можно сохранить.

Чтобы потом что?

 

11 часов назад, Saab95 сказал:

Почему-то очень многие действуют по схеме - защитить роутер (это значит создать десяток - два правил блокировки всего на input, создать правила маркировки и блокировки соединений по перебору паролей или подключениям к сервисам и т.п.). Далее заблокировать доступ всем изнутри сети, создать списки доступа кому можно и прочее.

Ну потому что VRFы сделали только в 7ой версии (правда я не проверял, хз как они там работают). Поэтому приходилось блокировать чтобы не сломали извне.

 

Но я так понимаю все эти защиты роутера (всякий ACL, CoPP и т.п.) эт овсе устаревшие технологии?

[Saab95]

В 22.04.2025 в 09:12, VolanD666 сказал:

Но я так понимаю все эти защиты роутера (всякий ACL, CoPP и т.п.) эт овсе устаревшие технологии?

Конечно.

 

Если есть некий роутер с внешним IP адресом - зачем к нему подключаться на внешний адрес? Что бы иметь возможность подключаться из любого места для настройки?

 

Почему тогда нельзя на этом роутере поднять ВПН сервер, сначала подключаться к нему, а уже после, в туннеле, по внутренней адресации заходить в настройки?

 

В таком случае, достаточно, во всех сервисах указать ограничения по IP на внутренние адреса, дополнительно можно так же закрыть эти порты на input в файрволе. И все - на управление роутера никто не попадет.

 

 

В 22.04.2025 в 09:12, VolanD666 сказал:

Но я так понимаю все эти защиты роутера (всякий ACL, CoPP и т.п.) эт овсе устаревшие технологии?

ACL и прочая ерунда предназначалась для коммутаторов. Хотя и там не понятно зачем - ведь IP адресов абонентов там нет, и так доступ получат только с "влана управления".

 

Кроме того все эти списки доступа можно узнать, достаточно внедриться в линию между устройствами и послушать трафик - сразу понятно какие адреса использовать для потенциального взлома.

[VolanD666]

11 часов назад, Saab95 сказал:

Конечно.

Это кто сказал? Он сейчас с вами в комнате?

 

11 часов назад, Saab95 сказал:

Если есть некий роутер с внешним IP адресом - зачем к нему подключаться на внешний адрес?

А атаковать можно только по белым адресам?

 

11 часов назад, Saab95 сказал:

Почему тогда нельзя на этом роутере поднять ВПН сервер, сначала подключаться к нему, а уже после, в туннеле, по внутренней адресации заходить в настройки?

А к этому ВПН серверу как подключаться? На его внешний адрес? А как сделать чтобы на этот адрес подключался только я и боты его не долбили?

 

11 часов назад, Saab95 сказал:

так же закрыть эти порты на input в файрволе.

Я чет запутался, ACL этож устаревшая технология?

 

11 часов назад, Saab95 сказал:

ACL и прочая ерунда предназначалась для коммутаторов.

"Сильное заявление. Проверять я конечно не буду." (с)

 

11 часов назад, Saab95 сказал:

Кроме того все эти списки доступа можно узнать, достаточно внедриться в линию между устройствами и послушать трафик - сразу понятно какие адреса использовать для потенциального взлома.

А даже комментировать не буду такое.

[Saab95]

12 часов назад, VolanD666 сказал:

А к этому ВПН серверу как подключаться? На его внешний адрес? А как сделать чтобы на этот адрес подключался только я и боты его не долбили?

Изменить порт, использовать SSTP.

 

И да, самое правильное - для удаленного доступа установить отдельный микротик и подключаться к нему. Тогда основные, которые пропускают трафик абонентов, вообще не будут иметь никакого доступа извне.

 

12 часов назад, VolanD666 сказал:

А атаковать можно только по белым адресам?

По белым. По серым внутренним, пусть даже абонентским, атаковать роутеры нельзя, т.к. они, разве что, отвечают для абонентов на пинг.

 

Ну это в правильной сети, где транспорт L3, терминация абонентов сразу с порта.

[straus]

5 часов назад, Saab95 сказал:

И да, самое правильное - для удаленного доступа установить отдельный микротик

Вместо одного нормальногу устройства с "устаревшими технологиями" наставить кучу говна.

 

5 часов назад, Saab95 сказал:

Тогда основные, которые пропускают трафик абонентов, вообще не будут иметь никакого доступа извне.

Шо?

 

 

[straus]

17 часов назад, VolanD666 сказал:

Я чет запутался, ACL этож устаревшая технология?

Кстати... Я сейчас на клиентских роутерах настраиваю DMZ на несуществующий внутренний адрес. Ну то есть, все попытки входящих соединений транслируются в никуда.

[VolanD666]

5 часов назад, straus сказал:

Кстати... Я сейчас на клиентских роутерах настраиваю DMZ на несуществующий внутренний адрес. Ну то есть, все попытки входящих соединений транслируются в никуда.

А там в NULL нельзя?

 

11 часов назад, Saab95 сказал:

Изменить порт, использовать SSTP.

Это так не работает. Если изменится порт, то все равно можно просканировать.

 

11 часов назад, Saab95 сказал:

для удаленного доступа установить отдельный микротик и подключаться к нему

А его защищать не надо, да? Или еще один микротик поставить?

 

11 часов назад, Saab95 сказал:

По серым внутренним, пусть даже абонентским, атаковать роутеры нельзя, т.к. они, разве что, отвечают для абонентов на пинг.

И как этого добиться без ACL и прочих "устаревших" технологий?

 

11 часов назад, Saab95 сказал:

Ну это в правильной сети, где транспорт L3, терминация абонентов сразу с порта.

А если абонент попросит белый адрес, что тогда? Он терминируется на свиче доступа и опа- он доступен извне.