» MikroTik RouterOS (часть 4)

Simply_Kot

Код: /ip upnp
set allow-disable-external-interface=yes enabled=yes
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=WAN type=external

Вот ещё проблемка назрела:

Железка: RB2011UiAS-2HnD-IN

Интернет через GPON, модем alcatel lucent i-240w, 400mbit не только по Латвии но и на ближайший загран куда у прова есть прямые аплинки.

Тыкаю комп напрямую в порт модема, скорость:


Тыкаю микротик в порт модема, скорость:


Микротик режет скорость, где что подкрутить в нём?

fakintosh

Цитата:

Микротик режет скорость, где что подкрутить в нём?

Во время теста проверить загрузку процессора на MT, и что конкретно грузит.

Simply_Kot


Цитата:

Во время теста проверить загрузку процессора на MT, и что конкретно грузит

Смотреть в Resources и где то ещё?

fakintosh

Цитата:

Микротик режет скорость, где что подкрутить в нём?

Это простой DHCP клиент или PPPoE?

У вас настроен Fasttrack ?



Отключите всё правила Firewall и протестируйте заново.

Проверить что грузить проц (CPU Usage) и заодно не занижена ли его частота

leshiy_odessa


Цитата:

простой DHCP клиент

Цитата:

Fasttrack

нет его

Вот только повысил до 750Mhz даже ребутнул железку, ничё не изменилось.


Цитата:

Отключите всё правила Firewall и протестируйте заново.

Уже лучше стало


Удалив правило allow pptp:


allow sstp нужно или нет?

Без него скорость как и на предыдущем замере


Включив в фаере дроп форвард - довнлоад 401 и аплоад 285, удалив 410 и 357




Добавлено:
Удалив все правила с фаервола - аплоад 385

fakintosh

Цитата:

Смотреть в Resources и где то ещё?

Загрузка процессора в system - resources
Процессы в tools - profile

Не завывайте, что процессорное врес еще и на нат тратится.
Если не надо ничего ограничивать, используйте fasttrack

Simply_Kot
leshiy_odessa

Во, сразу всё стало на свои места с fasttrack

fakintosh

Цитата:

Во, сразу всё стало на свои места с fasttrack

А сколько процентов загрузки процессора? Говорят что микротик не переваривает через себя (NAT) гигабит.

leshiy_odessa

Как то так

fakintosh

Цитата:

Во, сразу всё стало на свои места с fasttrack

Только не забудьте, что при включенном fasttrack очереди и шейперы не работают.

Добрый день.

Есть два микротика, Mikrotik RB951Ui-2HnD и RB2011UiAS-2HnD-IN

Оба подключены к одному и тому же провайдеру, заявленно 100 мбпс, конфигурация nat и wifi, версия Ros идентичны, сейчас 6.35

Тест скорости по проводу через оба микротика - 88 и 90 мбит.
Тест скорости по wifi - 20 мбпс на RB951Ui и 40 мбпс на RB2011UiAS
Клиенты одни и теже (ноут и смартфон)

Я сначала думал на разные чипы-процессоры, но посмотрев спеку - и там и там 600 мгхц, один и тот же CPU AR9344

Кто либо в курсе, почему такая разница?
Внешние антенны? ))

Доброе время суток!
Помогите пожалуйста кто нибудь!
Понадобилось поменять точку доступа в офисе (задолбало постоянно перегружать старую), как самый стабильный вариант, и с упором на будущее, посоветовали взять MikroTik. Прикупили 951Ui-2HnD. Обычную точку доступа я из него сделал. Но, так как возможностей железки уйма, хочется по максимуму их использовать.
Железка используется как обычная точка доступа - подключена в локальную сеть офиса и раздаёт WiFi.
В планах - поднять на ней две WiFi-сети - одну гостевую, с ограничением скорости, WPA2 PSK аутентификацией, и изоляцией клиентов, и вторую сеть офисную - с авторизацией через RADIUS, что бы сотрудники подключались к сети используя свои доменные учётки.
И вот тут я столкнулся с проблемой - не получается настроить связку с RADIUS-сервером. Не вижу вообще никаких попыток авторизаций, ни в логе микротика, ни в логе радиуса. Все доки и мануалы которые я находил, они описывают настройку либо с использованием Hotspot'а, либо настройку vpn. Но мне ни того, ни другого не нужно. Нужен просто WiFi с авторизацией через радиус. Такое вообще возможно на этой железке? Или я зря бьюсь?
В качестве RADIUS-сервера выступает Microsoft NPS на WinServ2008R2, прошивка на микротике 3.24 (MikroTik RouterOS 6.30.4)

zubastiy

Цитата:

Кто либо в курсе, почему такая разница?
Внешние антенны? ))

Если все совсем одинаково на роутерах, и скорости по кабелю тоже одинаковы, то остается единственное слабое место wi-fi, а именно - заргуженость эфира.

Simply_Kot

чист wifi и в том и том случае, первым делом проверил.

zubastiy
Тогда /interface wireless export verbose
И проверяем параметр за параметром

Кто-нибудь может прояснить это на практике:

Код: A running CHR instance will indicate the time when it has to access the account server to renew it's license. If the CHR instance will not be able to renew the license it will behave as if the trial period has ran out and will not allow an upgrade of RouterOS to a newer version.

Simply_Kot

абсолютно одинаковые.

но я тут заметил странное, утром (в районе 5) тестил на RB951Ui-2HnD и получил 20 download и 30 на upload, потом в 9 утра тестил - снова 20 на 20

еще в registration было видно (это второй тест, когда было 20 на 20), что клиент прицепился на 54 мбит и не в какую не переходит на более высокие скорости.


а на RB2011UiAS-2HnD-IN - подключается на 65Mbps-20MHz/1S и выше.

если я правильно понял, кто то из соседей RB951Ui-2HnD светит в соседнем диапазоне и не позволяет задействовать Extension Channel для более высоких скоростей.

это при том, что на RB951Ui-2HnD используется первый канал, а соседи светят в пятом и выше.

zubastiy

Цитата:

чист wifi и в том и том случае, первым делом проверил.

Цитата:

это при том, что на RB951Ui-2HnD используется первый канал, а соседи светят в пятом и выше.

как-то не согласуются эти два утверждения.
Да и смотреть надо в Wireless->Registration->Signal-> Signal to Noise.
Да и антены тоже могут влиять - у 2011-го они с 4dBi, а у 951-го - 2.5.
PS: Надеюсь Cipher только aes ccm, без TKIP?

zubastiy
Если вы хотите получить одинаковые результаты - проведите тесты в одинаковых условиях.
Просто поставьте один роутер, проведите тесты, затем на его же место поставьте второй и также проведите тесты.

Далее, что именно вы хотите измерить?
Скорость.
До какого сайта?
Или до самого роутера?
Методика будет различаться.

Как именно вы определили, что эфир чист?

friendsbbs2

Цитата:

не получается настроить связку с RADIUS-сервером. Не вижу вообще никаких попыток авторизаций, ни в логе микротика, ни в логе радиуса

а я не вижу вашего конфига покажите настройки радиус-клиента и Wireless Security Profile

Simply_Kot

как проверял эфир

запускал wifi analyser - смотрел какие каналы используют соседи.
мой канал - 1 (45 dbm)
ближайший канал который используется - 5 (68 bdm)
куча слабо светящих сетей в каналах от 6 до 11
единственное исключение - в канале 10 есть сеть которая светит на 37 dbm

Noise во всех каналах от 1-6 - 106-107


есть какой то другой способ смотреть загруженность эфира?


как тестил скорость
гонял speed test и iperf до ethernet клиентов.
и speed test с ethernet клиентов.

speed test с ethernet клиента и там и там выдает 80-90 на download и upload

что меня больше всего смущает - так это скорость установленного соединения клиентов с 951 - TX и RX rate соединения 54Mbps.
и прокачать 20 мбит для такого соедиения - потолок.

когда цепляюсь теми же клиентами на 2011 - там 58.5Mbps-20MHz/1S или 108Mbps-40MHz/1S

очень похоже что на 951 не работает extension channel
хотя явно заданно channel-width=20/40mhz-Ce

убираю из data rates все support rates a/g - на 2011 wifi клиенты могут прицепиться, а на 951 - те же клиенты wifi - не цепляются.


Добавлено:
Vladislav_A

1 и 5 канал весьма далеко находят друг от друга.

Signal to Noise у клиентов - 46-50 dB

zubastiy

А не проще просканировать эфир с самого роутера?

/interface wireless spectral-history wlan1

Так может уже покажите свои конфиги?
/int wire exp ver

Simply_Kot

спасибо за рекомендацию.

ребут.
блин, ребутнул 951 и все заработало.
ноут зацепился на 300 мбпс, прокачал 90 download на 40 upload через speetest

Chupaka


Цитата:

а я не вижу вашего конфига покажите настройки радиус-клиента и Wireless Security Profile

Вот:

RADIUS:




Wireless Security Profile:




Как-то так.

Simply_Kot

Сделал

Код: ;;; GTA 5 DMZ
chain=dstnat action=dst-nat to-addresses=192.168.88.192 in-interface=WAN log=no log-prefix=""

fakintosh

Отлично. Только учтите, что в такой конфигурации абсолютно все пакеты приходящие на интерфейс роутера WAN теперь валятся прямиком на 192.168.88.192.
Я не параноик, но так как MT взломать в сотни раз сложнее чем Windows, то обязательно используйте фаерволл в операционной системе.

Simply_Kot
Это да, а хотя можно и на время игры то правило делать активным, а так всё остальное время держать неактивным.

zubastiy
Утверждения про 1-ый и 5-ый каналы

Не забывай что не пересекаются только 1,6,11 каналы, все остальные загромождают соседние частоты

DrDEVIL666

вы победили! 1 и 5 действительно пересекаются.