Jump to content
  • 0

Постоянен upload трафик

mitaka1985

Запитване от mitaka1985,

 Сподели

Въпрос

mitaka1985 Новак

mitaka1985

Публикувано
Публикувано

Здравейте,

Става въпрос за MikroTik S53UG+5HaxD2HaxD-TC&FG621-EA, Chateau LTE6 ax.

От какво може да се получава констaнтното генериране на трафик upload, около 20Mbit. Получава се без значение дали WAN-а минава през LTE модема или е през някой от Ethernet портовете.

Прикачих файл с конфигурацията на рутера.

Благодаря предварително на всички! 

config.rsc

Адрес на коментара
Сподели в други сайтове

7 отговори на този въпрос

Recommended Posts

  • 0
  • Администратор
JohnTRIVOLTA Изгряваща звезда

JohnTRIVOLTA

Отговорено
  • Администратор
Отговорено

Здравейте!

Така на бързо четене, етер1 или ISP1 макар и деактивиран, като бриджпорт е нужно да го махнете от там. Виждам, че нямате правило/а с които да блокирате заявки за DNS от към WAN страната в RAW, макар в случая да е частна мрежа и да не е нужно. Защо има запуснат dhcp server на ISP1 интерфейса? Не виждам в конфигурацията пътищата ip/routes. Може да обследвате трафика с torch и да се разбере, кой и какво генерира трафика! LTE ползвате ли?

От моя страна имам въпрос как се справя това радио , като покритие, производителност! Има ли ги тези дропове, които се наблюдават при cAP AX, hAP AX3?

Адрес на коментара
Сподели в други сайтове
  • 0
mitaka1985
Новак

mitaka1985

Отговорено
  • Автор
Отговорено

Дори и след премахването на ISP 1 от bridge-a, трафика си остана. В Torch адресите генериращи трафик се менят постоянно, но като цяло са два главни адреса, като единия е само IP а на този под него освен IP адреса пише и DNS (прилагам снимка). Сега започвам да махам правилата едно по едно, да видим да не съм допуснал някъде грешка при рутирането. 

Колкото до въпроса, имахме доста проблеми в началото с обхвата на Виваком, пробвахме с външни антени 10DbBi, малко се подобриха нещата, но от Виваком ни отрязаха, поради надвишаване на трафика (или поне така казаха, въпреки че проблема се появи сутринта преди работно време, и не можаха да отпушат връзката до късен следобед...). В момента сме на Yettel и като цяло от 4 параметъра за обхват на СИМ картата, само единият беше в оранжево, другите три си бяха в зелената зона. Не знам какви дропове е имало с упоменатите серии, но не сме имали някакви сериозни прекъсвания, а през рутера минава трафика на средна фирма. 

Единствено с този трафик, който сами Микротик генерира, става проблем понеже ъплоуд скоростта на СИМ картата и без това не е нещо грандиозно, и той като заеме 20мБит постоянно и нещата стават зле...

image.png

Адрес на коментара
Сподели в други сайтове
  • 0
  • Администратор
JohnTRIVOLTA Изгряваща звезда

JohnTRIVOLTA

Отговорено
  • Администратор
Отговорено

Както писах по-горе, не сте блокирали заявките за DNS на вход от ISP 1 или ether1 и LTE. Нужно е да добавите следните правила: 

ip/firewall/raw
add action=drop dst-port=53 protocol=udp in-interface=ISP 1 chain=prerouting 
add action=drop dst-port=53 protocol=tcp in-interface=ISP 1 chain=prerouting
add action=drop dst-port=53 protocol=udp in-interface=lte1 chain=prerouting 
add action=drop dst-port=53 protocol=tcp in-interface=lte1 chain=prerouting

Инак въпроса ми е за WiFi радиата , а не за LTE радиото. Дали се наблюдават спорадични прекъсвания и то основно на 5GHz?

Адрес на коментара
Сподели в други сайтове
  • 0
mitaka1985
Новак

mitaka1985

Отговорено
  • Автор
Отговорено

Благодаря изключително много, трафика спря след като забраних порт 53. Ако имате път към Варна, бирата е от мен! 

Колкото до WiFi представянето на рутера, за момента не се използва за WiFi, но ще направя някои промени по мрежата и ще дам отговор, когато го тествам. 

Адрес на коментара
Сподели в други сайтове
  • 0
  • Администратор
JohnTRIVOLTA Изгряваща звезда

JohnTRIVOLTA

Отговорено
  • Администратор
Отговорено
Преди 7 часа, mitaka1985 написа:

Благодаря изключително много, трафика спря след като забраних порт 53. Ако имате път към Варна, бирата е от мен! 

Колкото до WiFi представянето на рутера, за момента не се използва за WiFi, но ще направя някои промени по мрежата и ще дам отговор, когато го тествам. 

 Моля, заповядайте отново 😉

  • Харесай 1
Адрес на коментара
Сподели в други сайтове
  • 0
  • Администратор
111111 Изгряваща звезда

111111

Отговорено
  • Администратор
Отговорено
Преди 16 часа, byte написа:

Толкова години ... няма ли най-накрая да сложат allow query acl ?

Дефаулната стена не допуска заявки от група  WAN ако такива не са инициализирани от LAN групата 

 system/default-configuration/pr

  

/interface list add name=WAN comment="defconf"
/interface list add name=LAN comment="defconf"
/interface list member add list=LAN interface=bridge comment="defconf"
/interface list member add list=WAN interface=ether1 comment="defconf"
/ip firewall nat add chain=srcnat out-interface-list=WAN ipsec-policy=out,none action=masquerade comment="defconf: masquerade"
/ip firewall {
   filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
   filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=input action=accept protocol=icmp comment="defconf: accept ICMP"
   filter add chain=input action=accept dst-address=127.0.0.1 comment="defconf: accept to local loopback (for CAPsMAN)"
   filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop all not coming from LAN"
   filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept in ipsec policy"
   filter add chain=forward action=accept ipsec-policy=out,ipsec comment="defconf: accept out ipsec policy"
   filter add chain=forward action=fasttrack-connection connection-state=established,related comment="defconf: fasttrack"
   filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related, untracked"
   filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN comment="defconf: drop all from WAN not DSTNATed"
   }
/ipv6 firewall {
   address-list add list=bad_ipv6 address=::/128 comment="defconf: unspecified address"
   address-list add list=bad_ipv6 address=::1 comment="defconf: lo"
   address-list add list=bad_ipv6 address=fec0::/10 comment="defconf: site-local"
   address-list add list=bad_ipv6 address=::ffff:0:0/96 comment="defconf: ipv4-mapped"
   address-list add list=bad_ipv6 address=::/96 comment="defconf: ipv4 compat"
   address-list add list=bad_ipv6 address=100::/64 comment="defconf: discard only "
   address-list add list=bad_ipv6 address=2001:db8::/32 comment="defconf: documentation"
   address-list add list=bad_ipv6 address=2001:10::/28 comment="defconf: ORCHID"
   address-list add list=bad_ipv6 address=3ffe::/16 comment="defconf: 6bone"
   filter add chain=input action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
   filter add chain=input action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=input action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
   filter add chain=input action=accept protocol=udp dst-port=33434-33534 comment="defconf: accept UDP traceroute"
   filter add chain=input action=accept protocol=udp dst-port=546 src-address=fe80::/10 comment="defconf: accept DHCPv6-Client prefix delegation."
   filter add chain=input action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
   filter add chain=input action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
   filter add chain=input action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
   filter add chain=input action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
   filter add chain=input action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
   filter add chain=forward action=accept connection-state=established,related,untracked comment="defconf: accept established,related,untracked"
   filter add chain=forward action=drop connection-state=invalid comment="defconf: drop invalid"
   filter add chain=forward action=drop src-address-list=bad_ipv6 comment="defconf: drop packets with bad src ipv6"
   filter add chain=forward action=drop dst-address-list=bad_ipv6 comment="defconf: drop packets with bad dst ipv6"
   filter add chain=forward action=drop protocol=icmpv6 hop-limit=equal:1 comment="defconf: rfc4890 drop hop-limit=1"
   filter add chain=forward action=accept protocol=icmpv6 comment="defconf: accept ICMPv6"
   filter add chain=forward action=accept protocol=139 comment="defconf: accept HIP"
   filter add chain=forward action=accept protocol=udp dst-port=500,4500 comment="defconf: accept IKE"
   filter add chain=forward action=accept protocol=ipsec-ah comment="defconf: accept ipsec AH"
   filter add chain=forward action=accept protocol=ipsec-esp comment="defconf: accept ipsec ESP"
   filter add chain=forward action=accept ipsec-policy=in,ipsec comment="defconf: accept all that matches ipsec policy"
   filter add chain=forward action=drop in-interface-list=!LAN comment="defconf: drop everything else not coming from LAN"
}


 

 

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
 Сподели
Go to question listing
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.

  I accept