+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Высокая скорость передачи данных Mikrotik Router

Высокая скорость передачи данных Mikrotik Router, RouterOS

hatstrow

Guest

02.03.2016 18:05:00

Привет! У меня возникают проблемы с интернетом — он сильно тормозит. Когда скорость падает примерно до 1–0,2 Мбит/с вместо заявленных 6 Мбит/с на загрузку, я смотрю в списке интерфейсов в настройках роутера и вижу, что скорость передачи (TX rate) на интерфейсах gateway и pppoe-out примерно 7–8 Мбит/с. Если я отключу и заново включу интерфейс gateway, скорость интернета снова становится нормальной. Иногда это случается несколько раз в неделю, иногда по несколько недель проблем нет.

Я обновил RouterOS до версии 6.34, но проблема осталась. Недавно обновил до 6.34.2, посмотрю, поможет ли это. Еще, когда интернет тормозит, я отключаю модем от роутера и подключаю напрямую к компьютеру — там скорость нормальная. При этом в сети нет никаких устройств, которые бы жрали чрезмерно много трафика во время этих проблем.

Есть ли способ на самом роутере посмотреть, какой сервис использует много трафика, или есть какой-то лог с подробной статистикой использования сети?

Спасибо, Джейкоб

hatstrow

Guest

27.03.2016 01:46:00

Спасибо за ответ. Я не настраивал никаких правил брандмауэра при настройке роутера. Похоже, там только стандартные правила. В настройках DNS включена опция «Разрешить удалённые запросы». Я собирался как-то заблокировать роутер с помощью правил брандмауэра, но пока руки не дошли. Судя по всему, это может быть DDOS-атака. Что мне нужно внести для создания нового правила брандмауэра, чтобы блокировать такие возможные DDOS-атаки? Можно ли было бы ограничить количество входящих подключений или для этого лучше использовать правило брандмауэра?

pukkita

Guest

27.03.2016 07:08:00

Обязательно настройте правила фильтрации фаервола, чтобы защитить роутер от Интернета. В базовой конфигурации уже реализован набор правил фаервола, который вас защищает, но если вы используете PPPoE, убедитесь, что правила фаервола применяются к интерфейсу PPPoE, а не к тому ether-порту, к которому он привязан. В новом терминале введите: /export hide-sensitive и пришлите результат сюда для проверки. Скрипт конфигурации устройства по умолчанию с базовыми правилами фаервола можно посмотреть командой: /system default-configuration print

hatstrow

Guest

23.05.2016 16:34:00

Извини за поздний ответ. Я выполнил команду /export hide-sensitive и получил следующее:
may/23/2016 11:26:57 by RouterOS 6.34.2 software id = AB1E-A2M3
/interface ethernet set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] master-port=ether2-master-local name=ether3-slave-local
set [ find default-name=ether4 ] master-port=ether2-master-local name=ether4-slave-local
set [ find default-name=ether5 ] master-port=ether2-master-local name=ether5-slave-local
/interface pppoe-client add add-default-route=yes disabled=no interface=ether1-gateway max-mru=1480 max-mtu=1480 name=pppoe-out1 use-peer-dns=yes user=renshawwc@frontier.com
/interface pptp-server add name=pptp-vpn-server user=""
/ip neighbor discovery set pppoe-out1 discover=no
set pptp-vpn-server discover=no
/ip ipsec proposal set [ find default=yes ] enc-algorithms=3des
/ip pool add name=default-dhcp ranges=192.168.1.50-192.168.1.253
add name=VPN-pool ranges=192.168.1.45-192.168.1.50
/ip dhcp-server add address-pool=default-dhcp disabled=no interface=ether2-master-local lease-time=3d name=default
/ppp profile add local-address=192.168.1.1 name=VPN-Profile remote-address=VPN-pool
/system logging action set 0 memory-lines=100 set 1 disk-lines-per-file=100
/user group add name=sniffer policy="ssh,read,!local,!telnet,!ftp,!reboot,!write,!policy,!test,!winbox,!password,!web,!sniff,!sensitive,!api"
/interface pptp-server server set default-profile=VPN-Profile enabled=yes max-mru=1460 max-mtu=1460
/ip accounting set enabled=yes threshold=2560
/ip accounting web-access set accessible-via-web=yes address=192.168.1.72/32
/ip address add address=192.168.1.1/24 comment="default configuration" interface=ether2-master-local network=192.168.1.0
/ip dhcp-client add default-route-distance=0 dhcp-options=hostname,clientid disabled=no interface=ether1-gateway
/ip dhcp-server lease add address=192.168.1.10 client-id=1:0:80:77:70:BC:9B mac-address=00:80:77:70:BC:9B server=default
add address=192.168.1.2 client-id=1:0:80:87:94:90:9e mac-address=00:80:87:94:90:9E server=default
add address=192.168.1.72 always-broadcast=yes mac-address=68:05:CA:1C:00:3D server=default
add address=192.168.1.4 comment="Swann Camera" mac-address=44:19:B7:02:43:C1
add address=192.168.1.5 comment="Swann Camera" mac-address=44:19:B7:02:43:B5
add address=192.168.1.7 comment="Swann Camera" mac-address=24:A4:3C:44:EB:F2
add address=192.168.1.6 comment="Swann Camera" mac-address=44:19:B7:08:64:1F
add address=192.168.1.8 comment="Hikvision Camera" mac-address=44:19:B6:44:22:AE
add address=192.168.1.70 mac-address=00:25:31:06:33:63 server=default
/ip dhcp-server network add address=192.168.1.0/24 comment="default configuration" dns-server=208.67.222.222,208.67.220.220 gateway=192.168.1.1
/ip dns set allow-remote-requests=yes servers=74.40.74.40,74.40.74.41
/ip dns static add address=192.168.88.1 name=router
/ip firewall filter add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add action=drop chain=input in-interface=pppoe-out1
/ip firewall nat add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway to-addresses=0.0.0.0
add action=masquerade chain=srcnat src-address=192.168.1.0/24 to-addresses=0.0.0.0
add action=dst-nat chain=dstnat dst-port=401 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.1.1 to-ports=22
add action=dst-nat chain=dstnat dst-port=22 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.1.70 to-ports=22
/ip proxy set cache-path=web-proxy1 parent-proxy=0.0.0.0
/ip service set telnet disabled=yes set ftp disabled=yes set api disabled=yes
/ip traffic-flow set cache-entries=4k enabled=yes
/ppp secret add name=ppp1 profile=VPN-Profile add local-address=192.168.1.45 name=Jacob profile=VPN-Profile remote-address=192.168.1.46
/snmp set enabled=yes trap-version=2
/system clock set time-zone-autodetect=no time-zone-name=EST
/tool mac-server set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local
/tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=ether2-master-local add interface=ether3-slave-local add interface=ether4-slave-local add interface=ether5-slave-local

Я также добавил в брандмауэр правило drop для chain:input на интерфейсе pppoe-out1, но не уверен, что оно настроено правильно. Похоже, это не решило проблему с DDOS-атаками, так что, видимо, надо ещё что-то настраивать.

felixcontreras Guest	#5 0 08.03.2017 04:49:00 Я отключил разрешение удалённых запросов в настройках DNS, и теперь всё работает, спасибо. Можешь объяснить, как это работает, пожалуйста?

pukkita Guest	#6 0 08.03.2017 12:33:00 felix: Если ты так сделаешь, у тебя не будет внутреннего DNS-сервиса для сети; если же ты организуешь DNS-сервис на другом сервере внутри LAN, то это будет лучший вариант. В противном случае, при стандартной настройке фаервола (проверь, что у тебя блокировка на интерфейсе pppoe клиента), ты будешь защищён. hastrow: Блокировать всё на pppoe-out1 должно хватить.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры