Перейти к содержимому
Калькуляторы

951G-2HnD с L2TP, NAT, стейтфул файр при 40 мегабитах торрент трафика грузится до 50%.

Это нормально или мало ?

Это чересчур высокая нагрузка, нужно все лишнее поотключать. Особенно начальный конфиг с его кучей правил.

Конфиг был пуст, после нетинсталл.

Правил не много:

/ip firewall filter
add chain=forward dst-address=192.168.1.2 dst-port=55555 in-interface=!l2tp protocol=tcp
add chain=forward dst-address=192.168.1.2 dst-port=55555 in-interface=!l2tp protocol=udp
[color="#FF0000"]add action=drop chain=input in-interface=l2tp protocol=icmp
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=ether1-gateway
add action=drop chain=input in-interface=l2tp[/color]
/ip firewall mangle
[color="#FF0000"]add action=change-mss chain=forward new-mss=1300 out-interface=l2tp protocol=tcp tcp-flags=syn[/color]
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=55555 protocol=tcp to-addresses=192.168.1.2 to-ports=55555
add action=dst-nat chain=dstnat dst-port=55555 protocol=udp to-addresses=192.168.1.2 to-ports=55555
[color="#2E8B57"]add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=masquerade chain=srcnat out-interface=l2tp[/color]

 

Выделенные красным правила можно убрать, что сразу поднимет производительность. Маскардинг нужно делать по IP адресам, а не интерфейсам. Что так же поднимает производительность. Максимальный размер пакета через L2TP можно указать прямо в настройках клиента или сервера, для прохождения больших пакетов без фрагментации нужно указать MRRU=1500.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выделенные красным правила можно убрать, что сразу поднимет производительность. Маскардинг нужно делать по IP адресам, а не интерфейсам. Что так же поднимает производительность. Максимальный размер пакета через L2TP можно указать прямо в настройках клиента или сервера, для прохождения больших пакетов без фрагментации нужно указать MRRU=1500.

 

А если ip адрес динамический по PPPoE - как обойтись без маскарадинга на интерфейс и change-mss?

Производительность поднять - это хорошо, но хотелось бы без ущерба функционалу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Внутри тега код тег колор не работает, но всё равно, там видно, что убрать надо почти всё.

MTU на смартфоне не знаю как поменять, из-за него и прописано правило мангл. Какие-то проблемы помню были с галочкой в настройках л2тп подключения, не работало почему-то.

Убрать полностью стейтфул файр это как-то слишком радикально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выделенные красным правила можно убрать, что сразу поднимет производительность. Маскардинг нужно делать по IP адресам, а не интерфейсам. Что так же поднимает производительность. Максимальный размер пакета через L2TP можно указать прямо в настройках клиента или сервера, для прохождения больших пакетов без фрагментации нужно указать MRRU=1500.

 

А если ip адрес динамический по PPPoE - как обойтись без маскарадинга на интерфейс и change-mss?

Производительность поднять - это хорошо, но хотелось бы без ущерба функционалу.

 

У вас же есть адрес с другой стороны - у клиента, вот на его основе и делайте маскардинг, вот так:

25_mikrotik-srcnat.png

 

Dst.Address можно не писать, тут указано что бы для внутренней сети НАТ не делался, а только во все остальные.

 

На PPPoE можно прямо MTU уменьшать и указать MRRU=1500, что сразу решит все проблемы.

 

Внутри тега код тег колор не работает, но всё равно, там видно, что убрать надо почти всё.

MTU на смартфоне не знаю как поменять, из-за него и прописано правило мангл. Какие-то проблемы помню были с галочкой в настройках л2тп подключения, не работало почему-то.

Убрать полностью стейтфул файр это как-то слишком радикально.

 

Файрвол там не нужен. Отключите службы в IP->Services кроме винбокса или нужных, установите пароль нормальный и никто ничего ему не сделает. Стоит куча устройств без файрвола, никаких проблем нет, максимум что бывает это по телнету или ssh кто-то пробует подключаться, но это никаких проблем не создает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Файрвол там не нужен.

Не, меня не настолько волнует загрузка цпу чтобы отключать файрвол.

Это домашний маршрутизатор на канале, в данный момент, 25 мегабит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ох. Экспериментировал с мэнглом Change MSS на нагруженных RB750G / 750 / MRTG, пришел к выводу, что разница с ним и без него - доли процента. Ради эксперимента поставил там же Change DSCP для условия, по которому хитов около 4-5к в секунду - тоже разницы не заметил.

CPU жрут маскарадинг и очереди, остальное так, практически в пределах погрешности.

Изменено пользователем Барагоз

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Файрвол там не нужен.

Не, меня не настолько волнует загрузка цпу чтобы отключать файрвол.

Это домашний маршрутизатор на канале, в данный момент, 25 мегабит.

 

Просто подумайте что там могут взломать на роутере и поймете полную не нужность всяких там дропов из начального конфига.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возвращаясь к CCR-1036 реализация BGP крутится на одном процессоре. Он всегда загружен на 100%.

Загрузка нескольких полных таблиц занимает несколько минут. С существующим софтом CCR не пригоден для BGP.

 

 

Жаль, надеялся использовать его для FullBGP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Загрузка нескольких полных таблиц занимает несколько минут.

На Cisco 7206VXG-G2 у меня был такой же результат. :)

 

Тут беда в другом, при загрузке fullview все эти роуты лежат в оперативке и как писали выше:

 

Включали 2 BGP FullView, съел, памяти много осталось (не помню точно сколько). Когда трафик проходил роутер добавлял задержки в 10мс.

 

Лукап добавляет 10мс задержки. Вот это действительно грусть да печаль.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

CNik а на ROS5.x работает так же? Если ее запустить на нормальном интеловском сервере. Читал отзывы - с памятью нет проблем, кастрированных 1,5 Гига вроде хватает на пару таблиц.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

CNik а на ROS5.x работает так же?

Сори мопед но мой, я привел цитату vasiliy0 который тестировал их. У меня микротиков нет и я ними не занимаюсь.

Просто любопытно стало вот и решил почитать как у людей работает.

 

По поводу памяти дело в том что это не TCAM и для того что бы найти исходящий интерфейс или некстхоп адрес уйдет больше времени.

Возможно там префиксы загружают прямо в кеш процессора, тогда согласно информации на сайте производителя CPU:

• 32 KB L1i, 32K L1d per core

• 256 KB L2 per core

• 9 MB coherent L3 cache

 

Кстати согласно тому же сайту производителя процессор может гораздо больше чем реализовано сейчас в микротике. Там 16 линий pcie 2.0 + каждая из 4 групп портов может быть 10G вместо 4x1G.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Возвращаясь к CCR-1036 реализация BGP крутится на одном процессоре. Он всегда загружен на 100%.

Загрузка нескольких полных таблиц занимает несколько минут. С существующим софтом CCR не пригоден для BGP.

 

 

Жаль, надеялся использовать его для FullBGP.

По моему в последних кандидатах пофиксили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

коробка за 1500 рублей и 50 мегабит? O_o у меня дома валялся 751u-2HnD прикупить что ли второй поиграться :)

tp-link wr741nd - l2tpv3 pseudowire спокойно делает 100мбит при цене в 660руб :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

tp-link wr741nd - l2tpv3 pseudowire спокойно делает 100мбит при цене в 660руб :)

Какая ОС?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

tp-link wr741nd - l2tpv3 pseudowire спокойно делает 100мбит при цене в 660руб :)

Какая ОС?

 

root@OpenWrt:~# uname -a
Linux OpenWrt 3.8.11 #1 Wed May 8 09:55:21 UTC 2013 mips GNU/Linux

root@OpenWrt:~# cat /proc/cpuinfo 
system type             : Atheros AR9330 rev 1
machine                 : TP-LINK TL-WR741ND v4
processor               : 0
cpu model               : MIPS 24Kc V7.4
BogoMIPS                : 265.42
wait instruction        : yes
microsecond timers      : yes
tlb_entries             : 16
extra interrupt vector  : yes
hardware watchpoint     : yes, count: 4, address/irw mask: [0x0000, 0x0ff8, 0x0ff8, 0x0ff8]
ASEs implemented        : mips16
shadow register sets    : 1
kscratch registers      : 0
core                    : 0
VCED exceptions         : not available
VCEI exceptions         : not available

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, мне даже рассылку о релизе прислали на почту.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 версия стабилизировалась.

Легче от этого не стало...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кому как. Стоял 1 CCR вообще без проблем с rc11, сейчас ещё пара добавляется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 версия стабилизировалась.

 

оно стабилизируется, как обычно, к 15-20 итерации....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я готов потерпеть, а Вы?

Купил CCR1036 месяца 3 назад, ждем своего счастливого часа :) Думаю время настало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Купил CCR1036 месяца 3 назад, ждем своего счастливого часа :) Думаю время настало.

Купил CCR1036 примерно месяц назад, как привезли сразу воткнул в розетку. Далее по классике раздался хлопок и пошел дымок! Отвезли назад продаванам, через две недели они привезли новый пока работает. :)

Изменено пользователем abab

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У нас на тестовом образце при включении 4 порта отвисал напрочь роутинг.

Бывает, что поделать. И более серьезное железо встречалось дохлым из коробки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Купил CCR1036 месяца 3 назад, ждем своего счастливого часа :) Думаю время настало.

Валера, настало твое время!

 

P.S. На форуме микротика порадовала переписка в обсуждении CRS. Чувак говорит: "я использую версию March 26 12:07 и у меня проблемы." Сапорт отвечает: "фигня, попробуй March 26 5:08PM." :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В одном месте работает несколько железок, с 6.0 пропали перезагрузки раз в несколько дней. Никаких нареканий больше нет. Все занимаются удаленным подключением клиентов через интернет по SSTP для безопасного обмена данными в публичных сетях. Держат по 50-60 клиентов с общим трафиком около 400-600 мбит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.