Saab95 Опубликовано 14 мая, 2013 · Жалоба 951G-2HnD с L2TP, NAT, стейтфул файр при 40 мегабитах торрент трафика грузится до 50%. Это нормально или мало ? Это чересчур высокая нагрузка, нужно все лишнее поотключать. Особенно начальный конфиг с его кучей правил. Конфиг был пуст, после нетинсталл. Правил не много: /ip firewall filter add chain=forward dst-address=192.168.1.2 dst-port=55555 in-interface=!l2tp protocol=tcp add chain=forward dst-address=192.168.1.2 dst-port=55555 in-interface=!l2tp protocol=udp [color="#FF0000"]add action=drop chain=input in-interface=l2tp protocol=icmp add chain=input protocol=icmp add chain=input connection-state=established add chain=input connection-state=related add action=drop chain=input in-interface=ether1-gateway add action=drop chain=input in-interface=l2tp[/color] /ip firewall mangle [color="#FF0000"]add action=change-mss chain=forward new-mss=1300 out-interface=l2tp protocol=tcp tcp-flags=syn[/color] /ip firewall nat add action=dst-nat chain=dstnat dst-port=55555 protocol=tcp to-addresses=192.168.1.2 to-ports=55555 add action=dst-nat chain=dstnat dst-port=55555 protocol=udp to-addresses=192.168.1.2 to-ports=55555 [color="#2E8B57"]add action=masquerade chain=srcnat out-interface=ether1-gateway add action=masquerade chain=srcnat out-interface=l2tp[/color] Выделенные красным правила можно убрать, что сразу поднимет производительность. Маскардинг нужно делать по IP адресам, а не интерфейсам. Что так же поднимает производительность. Максимальный размер пакета через L2TP можно указать прямо в настройках клиента или сервера, для прохождения больших пакетов без фрагментации нужно указать MRRU=1500. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 14 мая, 2013 · Жалоба Выделенные красным правила можно убрать, что сразу поднимет производительность. Маскардинг нужно делать по IP адресам, а не интерфейсам. Что так же поднимает производительность. Максимальный размер пакета через L2TP можно указать прямо в настройках клиента или сервера, для прохождения больших пакетов без фрагментации нужно указать MRRU=1500. А если ip адрес динамический по PPPoE - как обойтись без маскарадинга на интерфейс и change-mss? Производительность поднять - это хорошо, но хотелось бы без ущерба функционалу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 14 мая, 2013 · Жалоба Внутри тега код тег колор не работает, но всё равно, там видно, что убрать надо почти всё. MTU на смартфоне не знаю как поменять, из-за него и прописано правило мангл. Какие-то проблемы помню были с галочкой в настройках л2тп подключения, не работало почему-то. Убрать полностью стейтфул файр это как-то слишком радикально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 мая, 2013 · Жалоба Выделенные красным правила можно убрать, что сразу поднимет производительность. Маскардинг нужно делать по IP адресам, а не интерфейсам. Что так же поднимает производительность. Максимальный размер пакета через L2TP можно указать прямо в настройках клиента или сервера, для прохождения больших пакетов без фрагментации нужно указать MRRU=1500. А если ip адрес динамический по PPPoE - как обойтись без маскарадинга на интерфейс и change-mss? Производительность поднять - это хорошо, но хотелось бы без ущерба функционалу. У вас же есть адрес с другой стороны - у клиента, вот на его основе и делайте маскардинг, вот так: Dst.Address можно не писать, тут указано что бы для внутренней сети НАТ не делался, а только во все остальные. На PPPoE можно прямо MTU уменьшать и указать MRRU=1500, что сразу решит все проблемы. Внутри тега код тег колор не работает, но всё равно, там видно, что убрать надо почти всё. MTU на смартфоне не знаю как поменять, из-за него и прописано правило мангл. Какие-то проблемы помню были с галочкой в настройках л2тп подключения, не работало почему-то. Убрать полностью стейтфул файр это как-то слишком радикально. Файрвол там не нужен. Отключите службы в IP->Services кроме винбокса или нужных, установите пароль нормальный и никто ничего ему не сделает. Стоит куча устройств без файрвола, никаких проблем нет, максимум что бывает это по телнету или ssh кто-то пробует подключаться, но это никаких проблем не создает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 14 мая, 2013 · Жалоба Файрвол там не нужен. Не, меня не настолько волнует загрузка цпу чтобы отключать файрвол. Это домашний маршрутизатор на канале, в данный момент, 25 мегабит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Барагоз Опубликовано 14 мая, 2013 (изменено) · Жалоба Ох. Экспериментировал с мэнглом Change MSS на нагруженных RB750G / 750 / MRTG, пришел к выводу, что разница с ним и без него - доли процента. Ради эксперимента поставил там же Change DSCP для условия, по которому хитов около 4-5к в секунду - тоже разницы не заметил. CPU жрут маскарадинг и очереди, остальное так, практически в пределах погрешности. Изменено 14 мая, 2013 пользователем Барагоз Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 мая, 2013 · Жалоба Файрвол там не нужен. Не, меня не настолько волнует загрузка цпу чтобы отключать файрвол. Это домашний маршрутизатор на канале, в данный момент, 25 мегабит. Просто подумайте что там могут взломать на роутере и поймете полную не нужность всяких там дропов из начального конфига. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 15 мая, 2013 · Жалоба Возвращаясь к CCR-1036 реализация BGP крутится на одном процессоре. Он всегда загружен на 100%. Загрузка нескольких полных таблиц занимает несколько минут. С существующим софтом CCR не пригоден для BGP. Жаль, надеялся использовать его для FullBGP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CNick Опубликовано 16 мая, 2013 · Жалоба Загрузка нескольких полных таблиц занимает несколько минут. На Cisco 7206VXG-G2 у меня был такой же результат. :) Тут беда в другом, при загрузке fullview все эти роуты лежат в оперативке и как писали выше: Включали 2 BGP FullView, съел, памяти много осталось (не помню точно сколько). Когда трафик проходил роутер добавлял задержки в 10мс. Лукап добавляет 10мс задержки. Вот это действительно грусть да печаль. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 17 мая, 2013 · Жалоба CNik а на ROS5.x работает так же? Если ее запустить на нормальном интеловском сервере. Читал отзывы - с памятью нет проблем, кастрированных 1,5 Гига вроде хватает на пару таблиц. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CNick Опубликовано 17 мая, 2013 · Жалоба CNik а на ROS5.x работает так же? Сори мопед но мой, я привел цитату vasiliy0 который тестировал их. У меня микротиков нет и я ними не занимаюсь. Просто любопытно стало вот и решил почитать как у людей работает. По поводу памяти дело в том что это не TCAM и для того что бы найти исходящий интерфейс или некстхоп адрес уйдет больше времени. Возможно там префиксы загружают прямо в кеш процессора, тогда согласно информации на сайте производителя CPU: • 32 KB L1i, 32K L1d per core • 256 KB L2 per core • 9 MB coherent L3 cache Кстати согласно тому же сайту производителя процессор может гораздо больше чем реализовано сейчас в микротике. Там 16 линий pcie 2.0 + каждая из 4 групп портов может быть 10G вместо 4x1G. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 19 мая, 2013 · Жалоба Возвращаясь к CCR-1036 реализация BGP крутится на одном процессоре. Он всегда загружен на 100%. Загрузка нескольких полных таблиц занимает несколько минут. С существующим софтом CCR не пригоден для BGP. Жаль, надеялся использовать его для FullBGP. По моему в последних кандидатах пофиксили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 19 мая, 2013 · Жалоба коробка за 1500 рублей и 50 мегабит? O_o у меня дома валялся 751u-2HnD прикупить что ли второй поиграться :) tp-link wr741nd - l2tpv3 pseudowire спокойно делает 100мбит при цене в 660руб :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CNick Опубликовано 20 мая, 2013 · Жалоба tp-link wr741nd - l2tpv3 pseudowire спокойно делает 100мбит при цене в 660руб :) Какая ОС? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 20 мая, 2013 · Жалоба tp-link wr741nd - l2tpv3 pseudowire спокойно делает 100мбит при цене в 660руб :) Какая ОС? root@OpenWrt:~# uname -a Linux OpenWrt 3.8.11 #1 Wed May 8 09:55:21 UTC 2013 mips GNU/Linux root@OpenWrt:~# cat /proc/cpuinfo system type : Atheros AR9330 rev 1 machine : TP-LINK TL-WR741ND v4 processor : 0 cpu model : MIPS 24Kc V7.4 BogoMIPS : 265.42 wait instruction : yes microsecond timers : yes tlb_entries : 16 extra interrupt vector : yes hardware watchpoint : yes, count: 4, address/irw mask: [0x0000, 0x0ff8, 0x0ff8, 0x0ff8] ASEs implemented : mips16 shadow register sets : 1 kscratch registers : 0 core : 0 VCED exceptions : not available VCEI exceptions : not available Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 21 мая, 2013 · Жалоба 6 версия стабилизировалась. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 21 мая, 2013 · Жалоба Да, мне даже рассылку о релизе прислали на почту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rmika Опубликовано 22 мая, 2013 · Жалоба 6 версия стабилизировалась. Легче от этого не стало... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 22 мая, 2013 · Жалоба Кому как. Стоял 1 CCR вообще без проблем с rc11, сейчас ещё пара добавляется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rsst Опубликовано 22 мая, 2013 · Жалоба 6 версия стабилизировалась. оно стабилизируется, как обычно, к 15-20 итерации.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 22 мая, 2013 · Жалоба Я готов потерпеть, а Вы? Купил CCR1036 месяца 3 назад, ждем своего счастливого часа :) Думаю время настало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
abab Опубликовано 22 мая, 2013 (изменено) · Жалоба Купил CCR1036 месяца 3 назад, ждем своего счастливого часа :) Думаю время настало. Купил CCR1036 примерно месяц назад, как привезли сразу воткнул в розетку. Далее по классике раздался хлопок и пошел дымок! Отвезли назад продаванам, через две недели они привезли новый пока работает. :) Изменено 22 мая, 2013 пользователем abab Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sexst Опубликовано 22 мая, 2013 · Жалоба У нас на тестовом образце при включении 4 порта отвисал напрочь роутинг. Бывает, что поделать. И более серьезное железо встречалось дохлым из коробки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CNick Опубликовано 22 мая, 2013 · Жалоба Купил CCR1036 месяца 3 назад, ждем своего счастливого часа :) Думаю время настало. Валера, настало твое время! P.S. На форуме микротика порадовала переписка в обсуждении CRS. Чувак говорит: "я использую версию March 26 12:07 и у меня проблемы." Сапорт отвечает: "фигня, попробуй March 26 5:08PM." :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 мая, 2013 · Жалоба В одном месте работает несколько железок, с 6.0 пропали перезагрузки раз в несколько дней. Никаких нареканий больше нет. Все занимаются удаленным подключением клиентов через интернет по SSTP для безопасного обмена данными в публичных сетях. Держат по 50-60 клиентов с общим трафиком около 400-600 мбит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...