Так. вижу дофига правил mangle для обхода всей фигни. лучше заменить на одно, в котором dst-address-list вместо dst-address. Или несколько по группам обхода. три-четыре адрес-листа и по одному правилу на лист.

маркируете весь трафик на список дст-адресов?

я имел в виду что маркируете тот трафик, что идет на определенные сети или адреса

Так. вижу дофига правил mangle для обхода всей фигни. лучше заменить на одно, в котором dst-address-list вместо dst-address. Или несколько по группам обхода. три-четыре адрес-листа и по одному правилу на лист.

ну допустим заменим

Так. вижу дофига правил mangle для обхода всей фигни. лучше заменить на одно, в котором dst-address-list вместо dst-address. Или несколько по группам обхода. три-четыре адрес-листа и по одному правилу на лист.

я вот к этому пытаюсь подвести)

ну допустим заменим

вообще кол-во правил firewall нормально так увеличивает задержку меж пакетов и отклик микрота.

это не обясняет почему идет скачивание с одюного ыпа одним потоком и увеличивается пинги

потом для маркированного трафика есть маршрут типа: dst - 0.0.0.0/0 gw [адрес в впн] mark-routing=“ваша маркировка”

так и есть

потом для маркированного трафика есть маршрут типа: dst - 0.0.0.0/0 gw [адрес в впн] mark-routing=“ваша маркировка”

так и есть у него

такой маршрут

я вот думаю попробовать другой впн для тестирование

ну типа пптп или там айписек

чет мне кажется вот тут порыто

у вас l2tp + ipsec сейчас?

начни с перетряхивания мэнгла.

у меня ovpn

у вас l2tp + ipsec сейчас?

овпн там.

точно забыл

начни с перетряхивания мэнгла.

потому что 202 правила мэнгла для каждого пакета это дохуя для 2011.

а если сделать так

что бы не лопатить

они ж у тебя там все passthrough=yes

вырубить все правила кроме одного

и вот на нем потестить?

вырубить все правила кроме одного

для теста можно, да.

опять же почему тогда не видно нагрузки на микрот

если бы ему было тяжело было бы видна нагрузка на проц

это да, смущает

а если нифига не маркировать, а просто через ВПН куда-то пойти

будет та же картина?

это да, смущает

только это смущает, остальное похоже на правду )

всмысле все завернуть на впн?

нет, например один хост какой-то

БТ-тест в идеале )

и на него static route

без мангла вообще

и на него static route

дада

аа понял

не пробовал так

могу вам дать айпи для BT-test

короче, по советам старших товарищей - организуем чистый конфиг. без: 1. очередей 2. правил firewall mangle 3. любых правил с L7 в фаерволе тестируем производительность а дальше приводим конфиг пошагово к твоему итоговому и смотрим какой пункт ломает к чертям всю скорострельность

можно еще попробовать то же самое мимо впн, если доступ есть.

или некриптуемый впн типа пптп или л2пт (ну с мппе, да)

есть доступ

что значит очереди

queues

у меня не настроены никакие очереди

они не настроены

кстати по дхцп выдаю днс гугля 8.8.8.8

это норм?

вы тогда можете на своем DNS отключить запросы рекурсивные

щас попробую мимо мангл прокачать файлик через роут

вы тогда можете на своем DNS отключить запросы рекурсивные

д )

раз его никто не юзает

убрать галочку allow remote requests

можно поподробнее что это

ага понял

вырубил

смотри, если микротик у кого в сети указан как днс-сервер — там сломается )

вообще кол-во правил firewall нормально так увеличивает задержку меж пакетов и отклик микрота.

на 100Мбит не особо. https://c2n.me/3WKPq8l

щас попробую мимо мангл прокачать файлик через роут

получилось?

ну погоди надо ж настроить

файлик создать

на 100Мбит не особо. https://c2n.me/3WKPq8l

тёплое с мягким.

а что у господина со второй стороной ? может там проблема ?

файлик создать

говорю вам БТ-тест давайте сделаем

быстрее будет

ERROR: S client not available

смотри, если микротик у кого в сети указан как днс-сервер — там сломается )

знаю все по дхцп никаких ручных делов

что за бт тест

?

тёплое с мягким.

?

/tool bandwidth-test

bandwidth-test - утилита для измерения ширины канала грубо говоря

на 100Мбит не особо. https://c2n.me/3WKPq8l

ip filter rules и simple queues это самые быстрые вещи в ip firewall и queues соответственно. ip mangle rules и особенно L7 в любых правилах firewall дают СОВСЕМ другую нагрузку

аа понял

это знаю

потому что 202 правила мэнгла для каждого пакета это дохуя для 2011.

С чего это? Изучая скорость работы, можно поНять почему так

сделать роут нужно или там прямо указать ып?

а, нк манглы и Л7 тож жопа.)

а, нк манглы и Л7 тож жопа.)

д.

нужно создать маршурт на адрес через айпи в впн

У меня в мангл на 941 около 300 и ничего не тупит

У меня в мангл на 941 около 300 и ничего не тупит

и у всех правил passthrough=yes ?

И там разные наты, фаеры

каждый пакет все 300 правил проходит?

и у всех правил passthrough=yes ?

Нет

вот. а у товарища да.

а нах в манглах на всех пастру?!

на 200+ правил.

ок ща создаю

блин, просто я конфиг весь вижу, J M в личку его заслал.

на 200+ правил.

вы так уверено говорите, будто-бы видели его манглы

вы так уверено говорите, будто-бы видели его манглы

д.

аааа

на 200+ правил.

Ну это да, во первых, это не корректно работает, во вторых пакет не однократно ходит ?

Возьмите в беседу)

а весь остальной чат рассматривает гипотетические ситуации.

Мясо

ок ща создаю

вам тестировать есть куда?