[Saab95]

Схему сети примерную набросайте, с IP адресами. Куда клиенты подключены, куда внешние каналы идут и т.д.

Тогда можно будет уже более конкретно посмотреть.

[47~GrAnd~74]

Значит так: есть локалка 172.20.20.0/22 для её пользователей шлюзом является сервер с Трафик Инспектором (на нем они посредством агента авторизуются и ведется учет трафика). На сервере ТИ уставновлена служба RRAS без НАТ'а. Далее стоит Микротик, между ним и Трафик Инспектором подсеть 172.30.0.0/30. На Микротике соответственно один LAN интерфейс и два симметричных WAN 45Мбит и 10Мбит. Необходимо сделать маршрутизацию, приоритезацию трафика и шейпер. Первые две задачи вроде выполняются (хотя в данный момент приоритезацию на Микротике из конфига убрал), а вот шейпер работает не понятно как. Если качаешь торрентами и канал свободен, то дает положенную pcq-rate'ом скорость, но вот когда начинаешь смотреть ролики в том же Яндекс Видео, то трафик у пользователя становится сильно резанным, никак не дотягивая до положенного рэйта и ролики постоянно притормаживают. Микротик лицензионный версия 4.16, железо пробовал менять. Правила вроде все сделал по рекомендациям sherwood'а. Может в фаерволе накосячил (icmp там подрезал или еще чего)?

Все только радуются от тик"а, а уменя никаких положительных эмоций, вообще задница какая-то...

[47~GrAnd~74]

Еще заметил, как только происходит притормоз онлайн видео, в дереве очередей микротика по данной группе образуется очередь в несколько тысяч байт, хотя я там сижу один. Затем видео идет дальше - очередь по нулям.

[sherwood]

Вы просто очень много всего лишнего добавили в конфиги.

Используйте PPPoE, там в настройках группы указывайте тарифные скорости - этим вы зарежете скорость клиентам.

Далее шейперами будете ограничивать общую скорость и резать трафик по типам.

И все будет работать.

 

У меня в шейпере всего пара строчек - и все в шоколаде.

:) если канал не забивается в смысле имеем например 100Мбит, а пользователям надо 90, то шейпер и QoS как таковой

вообще не нужно, можно хоть симплами нарезал согласно тарифам и все будет работать...

вот вашем случае так и происходит, а если канал 100 а нужно 200, вот тогда вы будете писать конфиг не из двух строчек :)

а если писать не будете получите кашу в канале, торент клиенты займут всю свою полосу, другие будут курить в этот момент,

будете резать закачки, будет повод свалить от вас...

по другому тик работать не может, ограничения симплами, в настройках VPN это все для тех случаев когда канал не забит...

в забитом канале только полноценный шейпер и QoS....

 

P.S.

47~GrAnd~74 вы скин Queue Tree покажите (с парентами, limit-at, max-limit и типами очередей), так попроще в конфиге разобраться...

Изменено 14 февраля, 2011 пользователем sherwood

[47~GrAnd~74]

Ну вообще-то говоря, по первому каналу у нас только по тыщевому тарифу 260 пользователей, т.е. уже 260Мбит/с. нужно вместо 45-ти, по второму порядка 60-ти метров (против 10-ти). Думаю без примочек микротика - уже никак)).

 

Вот скрин

Изменено 14 февраля, 2011 пользователем 47~GrAnd~74

[47~GrAnd~74]

Всё, ппц... Клиенты начинают бомбить. Что же делать? Никто не знает, если куплена лицензия, то делают ли какие-то фирмы удаленную настройку под нужды покупателя?

[47~GrAnd~74]

Вот еще картинки...

 

Дело было так: я сидел в группе Personal, кроме меня был еще один активный пользователь качал что-то торрентами на скорости ~950кбит, я пробовал смотреть ролик на Яндексе. Как видим общая загрузка канала была из 10Мбит порядка 4Мбит. В принципе таже картина была бы если бы и не было второго пользователя активного, а я один сидел бы в группе.

А вот вечером пользователь жалился - у него тариф 2Мбит, и как я ему объясню что он на таком тарифе не может из Вконтакта ролик посмотреть? Выручайте друзья. Пропадаю...

[sherwood]

у вас канал который 44750, забит на всю? то есть на скине 43.7 или бывает под потолок?

далее думаю не стоит пока играться с длиной очереди и в Queue Types параметры limit и total-limit

оставил по умолчанию, а именно 50 и 2000 соответственно...

если канал постоянно забит под потолок. тогда уже необходим QOS, но то что у вас на скине должно

работать и так, то есть если попробовать сделать тест скорости в любой из групп должно показать заявленную

скорость....

про второй канал вроде писать не стоит потому что там по скину вроде все хорошо...или нет?

и проверьте правила Firewall, а лучше на время теста отключить все, не режьте там пока ни чего, кроме

защиты....

так же в ТИ нет ни каких ограничений на скорость на количество сессий еще на что нибудь?

работа через прокси надеюсь отключена?

не знаю на сколько это будет лучше, но у меня и RRAS на сервере не запущен, а включение маршрутизации

осуществляется изменением всего одного параметра в реестре.

еще вы уверены что в адресс-листе IP не попадают под несколько групп? то есть IP из группы TTK_1

не встречаются в группе TTK_2... и т.д.

создайте логирующее правило в форварде и посмотрите не пролитают ли не помеченные пакеты...

 

P.S.

ролики это не показатель, они иногда и на 30Мбит не идут, потому что это не проблема вашего канала,

а проблема того сервера который их не может отдать большому числу компьютеров...

и социальные сети вечерами больше загружены, так что лучше проверять на скорость...

Изменено 15 февраля, 2011 пользователем sherwood

[47~GrAnd~74]

ролики это не показатель, они иногда и на 30Мбит не идут, потому что это не проблема вашего канала,

а проблема того сервера который их не может отдать большому числу компьютеров

Понимаете, такая отмазка для клиента не катит, уже месяц ее всем рассказываю. Я и по своим ощущениям вижу что после установки Микротика стало хуже, тем более, что вы видели второй канал свободен, а я никак свою скорость получить не могу. Правда вот в ТИ стоят ограничения по ТСР сессиям в количестве 275 штук, скорость в нем не шейперю, прокси не используем.

 

еще вы уверены что в адресс-листе IP не попадают под несколько групп? то есть IP из группы TTK_1

не встречаются в группе TTK_2... и т.д.

А чем это грозит? вроде проверял не должны попасть в оба канала.

 

у вас канал который 44750, забит на всю? то есть на скине 43.7 или бывает под потолок?

Да бывает совсем под потолок, из-за этого микротик и поставили, но я то щас тестю во втором канале, где есть еще запас...

 

Может все-таки все ограничения в ТИ по скорости и сессиям убрать... Опасаюсь, тем более что есть тарифы с разгоном ночью

[sherwood]

Понимаете, такая отмазка для клиента не катит, уже месяц ее всем рассказываю. Я и по своим ощущениям вижу что после установки Микротика стало хуже, тем более, что вы видели второй канал свободен, а я никак свою скорость получить не могу. Правда вот в ТИ стоят ограничения по ТСР сессиям в количестве 275 штук, скорость в нем не шейперю, прокси не используем.

про ролики это не отмазка, если сервер с роликами не забит, то и на 512Кбит они должны работать без задержки.

уберите все ограничения в ТИ, их можно сделать на тике.

вы не отвечаете на вопросы, трудно вам помогать...

1. для чего вам RRAS?

2.на тике маршрут в локальную сеть прописан?

3.после всех правил в форварде есть еще какие правила?

4.вы создали логирующие правило после всех правил в форварде, под него что нибудь попадает?

5.вы сделали настройки в queue types длины очереди?

6.скорость всего канала совпадает если ее смотреть в интерфейсы и queue tree?

 

А чем это грозит? вроде проверял не должны попасть в оба канала.

в принципе ни чем кроме не работающего конфига тика :)

 

Да бывает совсем под потолок, из-за этого микротик и поставили, но я то щас тестю во втором канале, где есть еще запас...

Может все-таки все ограничения в ТИ по скорости и сессиям убрать... Опасаюсь, тем более что есть тарифы с разгоном ночью

то есть на канале есть запас а у вас не проходит тест скорости? и ролики идут с тормозами?

тогда нужно разбираться, где то вы накосячили...

[47~GrAnd~74]

Отвечаю попунктно:

 

1.RRAS - это наследие того времени, когда Микротика не было, просто НАТ убрал с него и все. Как и где в реестре прописать маршрутизацию?

2. Маршрут должен быть типа - сеть назначения 172.20.20.0/22, шлюз 172.30.0.2 - так?

3.после всех правил форварда (я их привел выше) ничего больше нет.

4. еще не успел... Вчера неисправность устраняли...

5. если ставлю по умолчанию 50 и 2000 - сразу дропнутые пакеты появляются. (Кстати тоже напрягает это, а вдруг и пакеты от видео дропаются и из-за этого тормоза?)

6. Уже несколько раз писал. По договору с провом скорости каналов 45М и 10М в дереве очередей чуть меньше

если ее смотреть в интерфейсы

там же вроде скорости линков только показывает - у меня 100Мбит линки. Или в пункте Интерфейсы нужно указать скорости каналов от провайдера? Если да, то я не сделал этого, незнаю где и как...

 

в принципе ни чем кроме не работающего конфига тика :)

Что вот одна, допустим опечатка, может нарушить логику работы всей железки? по мне так только ошибочный ип работать не должен и усё. Может я не прав?

 

то есть на канале есть запас а у вас не проходит тест скорости? и ролики идут с тормозами?тогда нужно разбираться, где то вы накосячили...

Тест скорости клиента провожу на Speedtest.net. Результат около того, но все равно чуток занижает (допустим в pcq-rate стоит 1Мбит, а меряем от 0,86 до 0,94) Ролики тормозят. А насчет где-то накосячили - так я весь конфиг свой выложил (кроме адресных листов и маршрутов), может опытный взор что-нибудь нароет, а?

[47~GrAnd~74]

вы создали логирующие правило после всех правил в форварде, под него что нибудь попадает?

Вот что валится после всех правил в форварде, и очень много этого "добра"

 

Не пойму что это? мак один и тот же в базе нашей его нет...

[sherwood]

1. настройка маршрутизации:

останавливаем RRAS, удаляем все настройки. Далее в реестре правим ветку:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

параметр - IPEnableRouter ставим значение -1

перегружаем сервер. Если у вас 2003 и на тике прописан маршрут в локальную сеть через внешний интерфейс

сервера то все заработает.

2.Дропнутые пакеты должны быть даже на не забитом канале, это как раз от тех пользователей которые

пытаются занят весь канал, это нормально если канал пустой на видео никак не должно отражаться...

3.про скорость в Интерфейсах имелось ввиду если смотреть на загрузку канала в Queue Tree то она например

показывает 30Мбит, а в Интерфейсах 40Мбит такого нет? то есть если есть то это говорит что по каналу у вас

идет еще трафик который не попал под шейпер...

4. покажите свое логирующее правило...

 

P.S.

ограничение TCP сессий уберите на ТИ, настройте на тике:

add action=drop chain=forward comment="tcp session limit" connection-limit=80,32 \

disabled=no protocol=tcp src-address-list="(Limit)"

80 достаточно, можно даже и по меньше...

Изменено 16 февраля, 2011 пользователем sherwood

[47~GrAnd~74]

покажите свое логирующее правило...

4.chain=forward action=log log-prefix="Null_mangle"

 

вот оно.

 

3. В интерфейсах циферки обновляются поживее чем Avg.Rate в очередях, но плюс минус 1-2Мбита бьются. Точнее мне кажется не поймать. Хотя по 10-ти мегабитному каналу точно бьется.

 

80 достаточно, можно даже и по меньше...

а как быть с торрентщиками? вот судя по данным Трафик Инспектора у нас и по 275 выгребают и если снять ограничение и за 300 уйдут легко? Ведь если им сильно количество сессий урезать, то они не смогут выгребать свой кусок полосы. Мы эту циферку экспериментально подбирали.

 

На счет RRAS - щас сделать не смогу, сидит народ и из-за вчерашнего случая больно уж злится :(, поэтому не смогу обыграть, но буду иметь ввиду - спасибо за совет.

Изменено 16 февраля, 2011 пользователем 47~GrAnd~74

[sherwood]

1.вот и ваша проблема, то что у вас идут пакеты мимо меток, это видно из лога,

и потом in и out один и тот же интерфейс - локальный.... как то это не правильно...

может что то с NAT намудрили?

2.торенщики качают не только по TCP но и по UDP, так что ограничение сессий до 80

и ниже хуже ни кому не сделает, а вот заядлым качальщикам пылу немого поубавит,

и потом в ТИ вы не можете ограничить UDP сессии...

так же можно ограничить количество пакетов, но повторюсь у вас каналы не забиты и должно

все работать и без этого....

[47~GrAnd~74]

так как же их тогда пустить по меткам? где я накосячил? Весь конфиг выложил. Вот хотя не пометил трафик самого ТИ сервера. Щас попробую.

 

а вот заядлым качальщикам пылу немого поубавит,

Оно им пылу не убавит, а вот на Авангард они свалят - это точно, там торрентщикам вообще раздолье. Куда смотрят правообладатели. ;)

 

Кстати мак адрес 00-50-04-f8-6d-90 в логах - это внешний интерфейс сервера с ТИ.

 

Как теперь понять тут - это трафик клиентов или самого сервака? Если клиентов - то почему в вышестоящих правилах не промаркировались?

 

Сделал щас вот такие правила:

 

38 chain=forward action=mark-packet new-packet-mark=mp_TI_up passthrough=no src-address=172.30.0.2 in-interface=OTN

 

39 chain=forward action=mark-packet new-packet-mark=mp_TI_down passthrough=nо dst-address=172.30.0.2

 

40 chain=forward action=log log-prefix="Null_mangle"

 

Один фиг в логи лезеут пакеты, и как так может быть с OTN на OTN? Ниче не пойму...

Изменено 16 февраля, 2011 пользователем 47~GrAnd~74

[sherwood]

если все правильно сделано, в лог правило не должно ни чего попадать.

я думаю у вас проблема в NAT, а именно с выделение белых IP, у меня этого нет,

то есть возможно NAT у вас настроен правильно только мой конфиг под него не подходит,

из-за того что у нас серые IP и нет ни каких белых.

скорее всего в этом проблема, надо подумать...

у вас настроен DNS, на ТИ или на тике, и что прописано у клиентов?

 

P.S.

для ТИ не нужно отдельных правил делать, у меня он добавлен в одну из групп адресс-листа,

с него почти не идет трафик, поэтому и не так важно...

Изменено 17 февраля, 2011 пользователем sherwood

[47~GrAnd~74]

У нас стоит отдельный внутренний ДНС сервер, допустим адрес 172.*.*.2, на нем же DHCP.

Есть клиенты которым адреса в ДХЦП зарезервированы (основная масса) и им автоматом выдается шлюз с адресом сервера ТИ - 172.*.*.1, маска и ДНС сервак.

Есть которые и статически вбивают. но проблем с резольвом имен нет, nslookup сразу дает ип внешних серверов.

 

Вот тут http://wiki.mikrotik.com/wiki/Руководства:Очередь_(Queue) вот что написано:

 

"Warning: Пытаясь освоить QoS в MikroTik RouterOS, используя в качестве руководства презентацию по QoS от Мегиса (Janis Megis) PDF – будьте осторожны – в данной презентации содержится грубая ошибка: при наличии SRC-NAT/Masquerading нельзя размещать PCQ-очереди на внешнем (Public) HTB-интерфейсе для исходящего с данного интерфейса трафика. HTB-интерфейс расположен уже после SRC-NAT, поэтому у всех пакетов в качестве исходящего адреса в заголовке будет прописан один и тот же адрес – адрес внешнего интерфейса. В подобных случаях (наличие SRC-NAT/Masquerading) PCQ-очереди для исходящего трафика необходимо размещать в total-out."

 

У меня размещены в global-out, думаю это одно и то же с total-out, или нет? Ну правда и в презентации про QoS, но думаю разницы в моем случае нет.

 

А вот согласно этому http://wiki.mikrotik.com/wiki/Manual:Queue_Size думаю, что если ресурсы сервака позволяют, то лучше использовать 100% Schedule и тогда дропнутых пакетов быть не должно. У нас 2гига ОЗУ, поэтому я и старался достичь нулевых потерь увеличивая память для очередей. Вот хотя в той же презентации Мегис самому скоростному тарифу наоборот уменьшил количество пакетов в очереди и пометил все тремя знаками восклицания, что интересно он хотел этим сказать? Все же по-моему отброшенные пакеты - плохо, т.к. для корректоного завершения передачи данных пользовательскому компу придется повторно запрашивать отброшенные пакеты, а это естественно лишние затраты, а так они в очереди посидят и в промежутках будут выплюнуты пользователю.

 

Так все же как быть с НАТом, белыми адресами, очередями, он-лайн видео???? Вроде как работает и в то же время все косо. Где же коллективный разум :), один sherwood пытается помочь начинающуму нубу))). У всех все работает, а поделиться всем влом. Я в школе немецкий вообще учил)), тяжело даются англицкие мануалы, долго раскуриваю. ПОМОЖИТЕ.

Изменено 17 февраля, 2011 пользователем 47~GrAnd~74

[sherwood]

я не имел ввиду проблемы DNS...

DNS сервер тоже добавьте в какую нибудь группу адрес-листа, от него тоже идут запросы

во внешку.

по этому мануалу Мегиса вообще ни чего не поймешь :) он только сбивает с толку и еще он не дописан...

total-out будет суммировать канал, а вот global-out то что нужно и это есть в моем конфиге...

я повторюсь. что у вас проблема с белыми IP, то есть не проблема а то что надо что то переделать

в правилах мангла и т.д., если вы для эксперимента настроите обычный NAT на своих двух

внешних интерфейсах, то все заработает, просто не может не заработать...

[47~GrAnd~74]

DNS конечно же прописал.

 

Т.е. предлагаете настроить маскарадингом? На выходных попробую.

[sherwood]

ну да, всего два правила, свои можете не удалять а просто выключить...

add action=masquerade chain=srcnat comment="" disabled=no out-interface=TTK1 \
    src-address-list=TTK_1
add action=masquerade chain=srcnat comment="" disabled=no out-interface=TTK2 \
    src-address-list=TTK_2

[Saab95]

У вас на скринах стоит тип очереди default. Вы ее настроили как PCQ?

Рекомендую создать отдельную новую группа PCQ, указать там классификаторы по адресу назначения и адресу источника, порта назначения.

Лимит поставить 1000.

Тотал лимит 100000.

И попробовать что изменится. Ведь если у вас стоят маленькие лимиты, то маршрутизатор не может держать большую очередь и дропает пакеты, а соединения на компьютерах клиентов не успевают быстро слать переповторы, вот скорость и просаживается. Запустите не спидтест, а пингтест и посмотрите. Или сами со своего тестового компьютера запустите пинги пакетами 1450 куда-то в интернет и посмотрите что происходит.

 

Кстати In и Out должны быть на разных интерфейсах, иначе могут быть глюки, как правильно уже заметили выше.

[sherwood]

тип очереди там указан:

5 name="qt_Unlim1000_up" kind=pcq pcq-rate=1000000 pcq-limit=500 pcq-classifier=src-address pcq-total-limit=20000 
6 name="qt_Unlim1000_down" kind=pcq pcq-rate=1000000 pcq-limit=500 pcq-classifier=dst-address pcq-total-limit=20000

длинные очереди при загруженном канале не нужны, дропаются как раз те пакеты которые не проходят по

limit-at а это как раз торенщики или компьютеры с большим количеством TCP или UDP, то что мы и добиваемся

уровнять всех в забитом канале.

:) маленькие лимиты это не означает маленькие пакеты...

имеем тариф 256Кбит и 10Мбит при загруженном канале на 100% клиент с 10Мбит тарифом качает

торентом и клиент с 256Кбит разговаривает в скайп...при pcq-limit=50 и pcq-total-limit=2000

 

P.S.

по ходу с белыми адресами проблемы не должно быть, так как nat отрабатывается до Queue

может все таки что то на машине с ТИ? и надо разобраться от куда такие логи, думаю это и есть проблема,

идет паразитный трафик как флуд, такое ощущение что сервер флудит как например если бы у него работает

прокси, то есть некоторые запросы делает от себя, вот и проблема у клиентов.

Да кстати у вас у клиентов должен был прописываться скрипт прокси когда вы работали с одним ТИ, так вот

после перехода мы по телефону клиентам объясняли как убрать настройку в Свойствах обозревателя, потому что

инет у них переставал работать...

[47~GrAnd~74]

такое ощущение что сервер флудит как например если бы у него работаетпрокси, то есть некоторые запросы делает от себя, вот и проблема у клиентов

Я так понял сервер с ТИ имеется в виду?

 

Да кстати у вас у клиентов должен был прописываться скрипт прокси когда вы работали с одним ТИ

давно всем объяснили, но есть еще некоторые попадаются, правда автоматическую настройку браузера в Трафик Инспекторе тоже убрал (там одной галочкой ставится прописывать скрипт или нет).

 

У вас на скринах стоит тип очереди default. Вы ее настроили как PCQ?

Это только в корнях деревьев, в листьях pcq стоит.

 

[sherwood]

надо пробовать:

1.Убрать с сервера ТИ все ограничения (потом их можно опять включить).

2.Если на сервере с ТИ не нужен интернет, то есть нет ни каких сторонних программ DNS и т.д.,

то можно заблокировать его работу с интернетом в firewall тика.

3.временно отключить все правила в Firewall, есть которые мне например совсем не понятны...

и далее проверять логирующими правилами все ли идет туда куда нужно...

конфиг у вас правильный, скорее всего проблема с сервером ТИ с его настройкой на какие то фильтры или

с Firewall тика... надо все равно с чего то начинать....тупо сидеть и ждать что все само разрешиться не получится :)