hAP ac lite используется для выхода в интернет в небольшой конторе. локальная сеть была подключена к нему через 3 шлюза, все работало идеально рдп при подклчюении с домашней машники в локальную сеть выдавало 50 мегабит по тарифу. убрали один шлюз за ненадобностью и появились проблемы при подключении по RDP с удаленных машинок. по рдп максимум теперь выжимается 5 мегабит. в чем может быть проблема ? сейчас при паралельно подключеном untangle подключение через него выдает скорость 10-15 мегабит. проброс через локалку 5 мегабит. примерная схема сети: конфиг: https://pastebin.com/WLy0D4SV Спойлер: конфиг Код: # dec/24/2018 15:22:41 by RouterOS 6.43.4 # model = RouterBOARD 952Ui-5ac2nD /interface bridge add fast-forward=no mtu=1500 name=wifi_bridge /interface ethernet set [ find default-name=ether1 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full set [ find default-name=ether2 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full Name=ether2-master set [ find default-name=ether3 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full set [ find default-name=ether4 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full set [ find default-name=ether5 ] advertise=\ 10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full /interface pppoe-client add add-default-route=yes default-route-distance=2 dial-on-demand=yes \ disabled=no interface=ether1 max-mtu=1480 name=pppoe-out1 password=rt \ use-peer-dns=yes user=rt /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=***** \ wireless-protocol=802.11 set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce \ disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=***** \ wireless-protocol=802.11 /interface list add name=WAN add name=LAN /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\ dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\ "*****" wpa2-pre-shared-key="*****" /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip ipsec proposal set [ find default=yes ] disabled=yes /ip pool add name=dhcp25 ranges=172.16.25.2-172.16.25.254 add name=dhcp24 ranges=172.16.24.10-172.16.24.254 add name=dhcp23 ranges=172.16.23.10-172.16.23.254 /ip dhcp-server add address-pool=dhcp24 authoritative=after-2sec-delay disabled=no interface=\ wifi_bridge name=server1 add address-pool=dhcp23 authoritative=after-2sec-delay disabled=no interface=\ ether3 name=server2 /port set 0 baud-rate=9600 data-bits=8 flow-control=none name=usb1 parity=none \ stop-bits=1 /ppp profile add change-tcp-mss=yes name=profile1 queue-type=ethernet-default \ use-encryption=no use-upnp=no /routing bgp instance set default disabled=yes /routing ospf instance set [ find default=yes ] disabled=yes /snmp community set [ find default=yes ] addresses=0.0.0.0/0 read-access=no /system logging action set 0 memory-lines=500 /interface bridge port add bridge=wifi_bridge interface=wlan1 add bridge=wifi_bridge interface=wlan2 add bridge=wifi_bridge interface=ether5 add bridge=wifi_bridge interface=ether4 /interface bridge settings set use-ip-firewall=yes /ip neighbor discovery-settings set discover-interface-list=LAN /ip settings set accept-redirects=yes accept-source-route=yes allow-fast-path=no \ tcp-syncookies=yes /interface l2tp-server server set enabled=yes ipsec-secret=***** max-mru=1440 max-mtu=1440 use-ipsec=yes /interface list member add interface=ether1 list=WAN add interface=pppoe-out1 list=WAN add interface=ether2-master list=LAN add interface=ether3 list=LAN /interface pptp-server server set default-profile=default enabled=yes max-mru=1480 max-mtu=1480 /interface sstp-server server set default-profile=default-encryption /ip address add address=172.16.25.1/24 interface=ether2-master network=172.16.25.0 add address=172.16.24.1/24 interface=wifi_bridge network=172.16.24.0 add address=172.16.23.1/24 interface=ether3 network=172.16.23.0 /ip dhcp-server network add address=172.16.23.0/24 dns-server=172.16.23.1,10.29.60.6,172.16.25.1 \ gateway=172.16.23.1 netmask=24 add address=172.16.24.0/24 dns-server=172.16.24.1,10.29.60.6,172.16.25.1 \ gateway=172.16.24.1 netmask=24 add address=172.16.25.0/24 gateway=172.16.25.1 netmask=24 /ip dns set allow-remote-requests=yes /ip dns static add address=172.16.25.1 name=router /ip firewall filter add action=accept chain=input comment="accept established,related" \ connection-state=established,related,untracked add action=drop chain=input comment=drop_invalid connection-state=invalid add action=accept chain=input comment="Accept ping" log=yes log-prefix=\ pppping protocol=icmp add action=accept chain=input comment="Accept pptp from list work" dst-port=\ 1723 in-interface-list=WAN protocol=tcp src-address-list=work add action=accept chain=input comment="Accept home" in-interface-list=\ WAN src-address-list=home add action=drop chain=input comment="Drop all from WAN" in-interface-list=WAN add action=reject chain=input comment="Drop multicast from LAN" disabled=yes \ dst-address-type=broadcast,multicast in-interface=ether2-master \ reject-with=icmp-network-unreachable add action=accept chain=forward comment="accept established,related" \ connection-state=established,related,untracked add action=drop chain=forward comment="drop invalid" connection-state=invalid \ log-prefix=fwdrop add action=accept chain=forward comment="Allow dstNAT" connection-nat-state=\ dstnat connection-state=new add action=drop chain=forward comment="drop all from WAN" in-interface-list=\ WAN add action=reject chain=forward comment=otkazat_vsem_wifi_krome_pppout \ in-interface=wifi_bridge out-interface-list=!WAN reject-with=\ icmp-host-unreachable add action=reject chain=forward in-interface-list=!WAN out-interface=\ wifi_bridge reject-with=icmp-network-unreachable /ip firewall mangle add action=change-mss chain=forward disabled=yes log=yes log-prefix=mss1 \ new-mss=1400 out-interface=pppoe-out1 passthrough=no protocol=tcp \ tcp-flags=syn tcp-mss=1401-65535 add action=change-mss chain=forward disabled=yes in-interface=pppoe-out1 log=\ yes log-prefix=mss new-mss=1400 passthrough=no protocol=tcp tcp-flags=syn \ tcp-mss=1401-65535 /ip firewall nat add action=dst-nat chain=dstnat comment=RDP_home dst-port=9875 \ in-interface-list=WAN protocol=tcp src-address-list=home \ to-addresses=10.29.60.80 to-ports=3389 add action=dst-nat chain=dstnat in-interface-list=WAN src-address=\ 217.118.78.103 to-addresses=172.16.24.244 add action=dst-nat chain=dstnat disabled=yes dst-port=5060 in-interface-list=\ WAN log=yes protocol=tcp to-addresses=10.29.60.26 add action=dst-nat chain=dstnat disabled=yes dst-port=5060 in-interface-list=\ WAN log=yes protocol=udp to-addresses=10.29.60.26 add action=masquerade chain=srcnat comment="defconf: masquerade" \ out-interface-list=WAN /ip firewall service-port set ftp disabled=yes set tftp disabled=yes set irc disabled=yes set h323 disabled=yes set sip disabled=yes set pptp disabled=yes set udplite disabled=yes set dccp disabled=yes set sctp disabled=yes /ip ipsec peer add address=0.0.0.0/0 auth-method=rsa-signature certificate=server disabled=\ yes passive=yes remote-certificate=client1 /ip ipsec policy set 0 disabled=yes /ip route add distance=1 dst-address=10.29.60.0/24 gateway=172.16.25.2 /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set api disabled=yes set api-ssl disabled=yes /ip smb shares set [ find default=yes ] directory=/pub disabled=yes /routing bfd interface set [ find default=yes ] disabled=yes /routing rip set distribute-default=always redistribute-connected=yes redistribute-static=\ yes /snmp set location=work /system clock set time-zone-name=Europe/Moscow /system package update set channel=release-candidate /system routerboard settings set silent-boot=no /tool bandwidth-server set authenticate=no enabled=no /tool graphing set store-every=hour /tool graphing interface add /tool graphing queue add /tool graphing resource add /tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=none /tool mac-server ping set enabled=no
а до микротика метод подключения не поменялся ? остался прежний ? pppoe во всех трех случаях ? в качестве теста - /tools profile и глянуть кто именно тянет в низ производительность чтоб был объективный источник данных изменить схему и пустить трафик не через параллельный Untangle а напрямую и посмотреть где изменится увидев в конфиге SSTP и L2TP серверы решил что могли измениться технологии доступа извне (по сравнению с PPPoE).... но ... это только гадание на кофейной гуще unnangle судя по всему шлюз безопасности который анализировал у себя трафик и по сути был конечным получателем пакетов извне у которых был маленький размер после PPPoE и туннелей Он накапливал в буфере анализировал а дальше внутри порождал трафик ОТ себя до сервера терминалов или рабочего компа и там пакеты были полноценные не фрагментированные, с нормальным TCP_MSS и вот это повышало скорость работы туннелей и каналов по которым шел трафик переведя схему в первый (верхний вариант) ты получил много мелких пакетов гуляющих по туннелю+фрагменты от больших пакетов .... может быть в этом причина Но что не могу объяснить так это среднюю схему почему вырос проходящий трафик при параллельном подключении Untangle ведь он фактически для RDP трафика соответствует схеме снизу ... при которой было 50 ... объяснения нет
ничего не менялось кроме того что убрали унтангл. а куча левых настроек на микротике это бесполезные попытки перебора всего что получилось найти дабы разобраться в проблеме. при тормозящем рдп проц не грузится почти. когда траффик гонится через унтангл при гдето 20 мегабит, то бывает до 20% загрузка. но вроде как это нормально для этой модели роутера. серваки поднимал чтобы проверить будет ли работать если подключиться через впн тунель. так же тормозит. так средняя схема это тестовый вариант, объединяющий крайние схемы. поставил сравнить чтобы было все наглядно. Код: add action=dst-nat chain=dstnat dst-port=9875 in-interface-list=WAN protocol=tcp src-address-list=home to-addresses=10.29.60.80 to-ports=3389 add action=dst-nat chain=dstnat dst-port=3389 in-interface-list=WAN protocol=tcp src-address-list=home to-addresses=172.16.24.244 сейчас можно подключиться с домашней машинки на работу по одному из этих двух портов и трафик в одном случае идет через локалку, в другом через дополнительный маршрутизатор на одном скорость <5 мегабит. на другом больше 20>. 50 оно кстати не выдает. но 20+ уже в разы комфортней для работы. как минимум нет слайдшоу вместо картинки. и как заставить микротик делать тоже самое ?)
я так и понял но не меняет моего понимания почему скорость изменилась по логике через untangle в середине маршрут идет так-же как и схеме снизу (адреса другие но это не принципиально) Не знаю, у меня нет готового ответа хоть на подобную тему вопросы задавал но ни разу ответа пока не получил Я потом гляну на сайте производителя процы которые в Hap AC lite и RB2011, 951U, 951-2n думаю что плюс минус они одинаковы и высоких показателей по шифрованному каналу через хорошее шифрование не добиться Если 20% процессор значит затык не в нем, а кто следующий по цифрам следом за процессором в профилировании ? Ради попытки - попробуй поменять TCPMSS на заведомо маленькое число для туннеля у меня это выглядит вот так в Mangle: 0 ;;; Must Have!!!! chain=forward action=change-mss new-mss=1300 passthrough=no tcp-flags=syn protocol=tcp out-interface=ether1-Wan1 tcp-mss=1301-65535 log=no log-prefix="" 1 ;;; Must Have!!!! chain=forward action=change-mss new-mss=1300 passthrough=no tcp-flags=syn protocol=tcp in-interface=ether1-Wan1 tcp-mss=1301-65535 log=no log-prefix="" Адаптируй под свои настройки - вдруг ???
пробовал разные значения, не помогает. для этой же цели и поднимал впн сервак для обоих машинок, чтобы размер пакета у них был один. тоже не помогло. менеджмент и вайфай нашел в микротике некий packing. но он требует второй микротик :/ ну не факт. у меня есть еще hap lite. так вот он конфиг файл выгружает пару минут, когда hap ac lite это делает за секунды. зы: вот еще вспомнил что сетка то может и не виновата, т.к. если подключить комп напрямую в микротик, то рдп также медленно работает Х_х
проблема только с доступом через интернет. если подрубить любой компьютер к микротику, то с него в локалку рдп идет идеально.
доступ извне идет по туннелю ?? или пробросом портов ? попробуй сравнить влияет ли туннель в этом моменте при доступе извне ясное дело что это только на время теста
нет. не влияет. выще ведь писал что поднимал впн на микротике и ничего впн с обоих машинок на микротик, впн только через интернет , ничего не меняется.
никаких впнов у меня нет. только пробросы из интернета в локалку через микротик. на картинке же написано что стоит проброс порта ... сам по себе впн не тормозит. самба через него летает на 50 мегабитах %) снифером посмотрел. смена мсс вроде как на размер пакета влияет, только толку от этого никакокого
а размеры пакетов у RDP и у самбы - сильно отличаются ?? у этой модели производительность сильно зависит от размера пакетов
если я правильно все понял в снифере, то рдп шлет больше мелких пакетов нестандартных размеров. и если бы все упиралось в проихводительность то наверное бы проц грузился.
