[chetkiyparen]

Реализована следующая схема:

 

порт провайдера - sextant - sextant - RB750 - локалка(20-30 юзеров)

 

Стали поступать жалобы на качество инета, раньше линк был на 2100АР и пинги на нем периодически скакали, перешел на sextant и пинги 0-2мс стабильные, но проблема с качество осталась.

 

Стал копать и выянил, что пинги во внешку скачут до 400-500мс, причем до любого внещнего узла, пинги на sextant 0-2мс, пинги до DNS провадера 1-2мс и что самое главное до айпишников данного провайдера 1-5мс, но у прова между абонами как бы локалка и поэтому думаю и нет проблем с ними.

 

Логично подумать, что внешка у прова хромает или магистральщики мутят, НО в том же районе у других абонов этого провайдера замерял пинги и все ништяк у них, да и дома у меня он также без проблем с внешкой дает инет.

 

Загрузка микротиков не более 20% в часы пик бывает, причем канал используется не в полную нагрузку. Проблема даже появляется при общей нагрузке около 2-3мбит/с до 200pps на микротике. Причем, когда отрубаю юзеров, то и проблема исчезает, стабильные пинги к примеру до 8.8.8.8 39мс, а когда они подключаются постепенно пинги увеличиваются до 400-500мс, но не всегда, а периодически, что наводит на мысль о какой-то вирусне, которая это создает. Торенты в этот момент особо не качаются.

 

На микротике рррое-клиент до провайдера, РРРОЕ-сервер раздает инет через маскардинг. Также работают правила:

 

admin@MikroTik] > /ip firewall filter print

Flags: X - disabled, I - invalid, D - dynamic

0 ;;; Close Shareman

chain=forward action=drop dst-address=95.167.11.150

 

1 ;;; Tracert Close

chain=forward action=drop protocol=icmp icmp-options=11:0-255

 

2 ;;; Connection Limit Per User TCP (SYN FLAG) 50/32

chain=forward action=drop tcp-flags=syn protocol=tcp dst-port=!80,443,8080 connection-limit=50,32

 

3 ;;; Connection Limit per User (UDP) 50/32

chain=forward action=drop protocol=udp port=!53 connection-limit=50,32

 

4 ;;; PPS 250

chain=forward action=add-dst-to-address-list protocol=udp dst-address=10.10.5.2-10.10.5.254 address-list=dst_list address-list-timeout=0s

 

5 chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

6 chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

[admin@MikroTik] >

 

 

причем по сессиям TCP даже правило не срабатывает, т.к. не набирается столько сессий у каждого.

 

Возникла мысль о том, что возможно локальный трафик каким-то образом за натом проходит и уже там создает проблемы, но тогда на sextant и пинги скакали бы....

 

Какие правила можно создать, чтобы исключить любую возможность попадания локальной вирусни и прочего трафика за нат?

[sergios50]

раньшe чем saab ,думаю скажет тоже самое ,20 клиентов это придел нормальной работы устройств

[chetkiyparen]

а какой предел в 20 клиентов, если эта проблема появляется при 6 авторизованных! причем как я написал о том, что нагрузка в несколько мегабит и не больше 200pps, но это трафик через авторизованные по рррое, поэтому я и задумался, что может что-то мимо рррое-сервера проходит и создает такие проблемы...

 

может сделать правила на входящий и исходящий eth, вида

 

18 X ;;; Drop Broadcast

chain=input action=drop dst-address=255.255.255.255 in-interface=ether1

 

т.к. инет идет через рррое-килент от прова, а раздача через рррое-сервер, чтобы закрыть сами eth ?

Edited September 11, 2012 by chetkiyparen

[sergios50]

а один из твоих 6 клиетов не штормят в эфир

[Saab95]

Получается вы раздаете свое подключение к интернету другим пользователям. Провайдер мог просечь это дело и ограничить скорость, количество одновременных соединений или количество пакетов.

 

Попробуйте вбить на роутер другую учетку для подключения к провайдеру.

 

И для чистоты эксперимента отключите все ограничения на роутере.

[bel]

Кроме увеличения времени отклика по пингам есть другие проблемы?

Как они проявляются?

Edited September 12, 2012 by bel

[kosmich7]

количество одновременных соединений

100% Провайдер спалил)))

[chetkiyparen]

провайдер ничего не режет, узнавали на уровне ихних гуру! Да и пробовал временный линк делать на другой узел этого же провайдера и все нормально, причем в полную нагрузку ничего не загиналось, правда схема была немого другой:

 

узел провайдера - RB750 - 2100АР - 2100АР - сеть

 

т.е. были небольшие проблемы в виде скачков пингов на линке из 2100АР, но не до 400-500мс, а максимум до 250-300мс, причем не постоянные, а скачками иногда, и думаю связаны они с локальной вирусней. Вот отсюда и мысли пошли о том, что что-то из локалки лезет за NAT микротика и забивает узел провайдера так, что пинги растут! Больше проблем не наблюдаю никаких. Самое интересное, что до айпишников провайдера все прекрасно идет, включая локальные ресурсы и пинги до DNS провайдера.

 

И потом, если режут сессии и пакеты, то тогда они просто дропались бы, т.е. терялись бы пакеты при пинге, а тут нет потерь, но пинги возрастают до всех внешних айпишников.

 

Тут еще вариант с косячным портом узла провайдера может быть, который не справляется с нагрузкой сети, но тогда почему пинги до серваков провайдера стаибльно 1-2мс.

 

Провайдер использует DES-3026, слышал, что они косячат при нагрузке, каждый порт у них заводится в свой vlan и проброшен до биллинга и т.д., ничего на свиче не режется, сам проверял удаленно!

Edited September 12, 2012 by chetkiyparen

[kosmich7]

Та шо-то вы и там и тут ходили ;) но не стыкуеться ваши россказы.

Выключаете всех юзеров, и качаете по 80му порту (подготовившись) этак с 10ток закачек, одним проверенным компом, при этом проверяете ваши дропы и т.д.

Если фаервол вооще вырубить ?

порт провайдера - sextant - sextant - RB750 - локалка(20-30 юзеров)

можно с вашим РБ спидтест устроить, точнее вы и сами в состоянии.

Описанные вами подростающие пинги на мир похоже на ограничение провом мира ;)

Екатеринбург ? Ростелеком ?

 

Покажите трассу с компа/ов разных в момент проблеммы.

Трассу с РБ аннологично.