Добрый день, есть микротик. Все работало замечательно (настроили и забыли) и вот недавно столкнулись с таким эффектом. Входящая скорость - всё замечательно, а вот исходящая - режется до 30Кб. Спид тест даже выдает ошибку загрузки файла, входящую скорость при этом показывает заявленные провайдером 50Мбит, а исходящая - болт.

Проявляется в невозможности комфортной работы по впн (так как нужен синхронный канал).

Грешили на провайдера, он нам поднял скорость до 50Мбит. Но опять, только входящая скорость нормальная, а исходящая так и осталась практически нулевой.
В процессе экспериментов выяснили, что роутер  не пингуется пакетам по 1400, маленькими пакетами пингуется норм. Куда копать ?

Mtu настроить правильно.

1. Микротик говно
2. Поменять на Кинетик
3. Нанять вменяемого админа

(1) Вариант, но как это вяжется с тем что три года работало норм,  а тут вдруг перестало. Какое значение MTU попробовать и где, на интерфейсе провайдера ?

(0) Правила на исходящий трафик я так понимаю уже смотрели? Fasttrack включен?
(2) Отличный роутер, но требует грамотного повара, что бы приготовить правильно, но если повара нет - проще Кинетик взять.

(4) в разделе firewall всё по дефолту
https://radikal.host/i/X9CVGX

ICMP на внешнем интерфейсе не заблокировано?

(6) нет

(4) Если есть повар проще взять на полноценном linux или openwrt

А если взять другой микротик (сбросить этот), настроить его по мануалу как простейший шлюз в интернет? Та же проблема?

https://vilianov.com/hard_upgrade/kak-ya-poproboval-router-mikrotik-hap-ac-i-navsegda-zavyazal-s-etoy-markoy/

:)

(5) Если у тебя правила по дефолту - то тогда меняй на Кинетик, микротик вам не нужен.

(5) (11) Это не правила по дефолту. По дефолту там никаких правил нет. Нормальный дефолт для микротика - это чистая конфигурация. И далее уже админ сам её настраивает.

(12) (11) я имел в виду defconf приписка в комментариях

(13) Везде, на всех форумах пишут, что если какие-то проблемы, то в первую очередь надо ресетить с опцией "no default configuration" и настраивать осознанно.

(10) Вильянов пишет неплохие тексты (иногда), но за гуру ИТ я бы его не держал. Я бы его держал за хорошего писателя.

https://habr.com/ru/articles/424433/

(15) Это неважно
Суть что у Keenetic cli она почти что Cisco
Т.е. большому админу ближе кинетик чем это прибалтийская поделка, которую очень любят мамкины одмины

(17) микротик против циски это как 1с против сапа) намного проще и понятнее, "доступно и всерьез"

https://ru.wikipedia.org/wiki/M%C4%93ris_(ботнет)

(18) Извини но ты вероятно мамкин одмин
Лично я с циско сталкивался, приходилось настраивать (выступать прокладкой) под телефонным руководством настоящих админов
И после этого выбрал Кинетик - пока не пожалел
Лучше кинетика только x86 комп на linux

(17) cli сейчас есть уже много у кого, и у микротика тоже.

Я бы не обольщался тем, что NMDS принципиально защищеннее RouterOS. Просто Keenetic в отличие от Mikrotik, даже в те времена, когда им занималась ZyXEL, как я понимаю, являлся локальным продуктом только для России. Позже его от ZyXEL отцепили и он окончательно стал локальным продуктом. А раз так, то  и желающих ломать его ОС и строить на нем ботнеты существенно меньше... Это скорее плюс, конечно, но. С учетом того, что этот продукт по многим параметрам становится и уже стал монопольным в России, к нему может проявить интерес сам понимаешь кто. И в календарях, в вики и в прочих местах об этом прописано не будет. И затычек не будет.

(20) Ну каждому своё. Просто у меня есть некоторый опыт настройки микротиков на предприятии. Работает стабильно, свои функции выполняет. Мосты wifi - несколько штук, пара роутеров, пара коммутаторов с rstp. Чем они хороши - тем что навыки, приобретенные при настройке одной железки, пригодны для любой другой. А с тплинками, кинетиками и т.п. приходится каждый раз решать ребусы и проходить квесты.

(22) с кинетиком почти все то же самое начиная с NMDS 2.0 (это примерно 2011-2012 год). Веб-морда меняется, но не до полного изумления, схожие черты остаются. А главное, cli не меняется.

хотя, конечно, за задумку с WinBox, который 10 лет вообще один и тот же, микротику огромный респект.

(24) Особенно за safe mode. Это конечно не волшебная палочка, но позволяет хотя бы не ехать на другой конец города, если вдруг что накосячишь)

(0) Уверен что проблема в роутере? Попробуй без него проверь.

И так, выяснилось, что проблема плавающая (то работает, то не работает) соответственно полагаю, что с настройками не связано напрямую.
В момент проблемы при пинге микротика пакеты больше 512 байт не проходят.

Потом неожиданно все проходит и большие пакеты (пробовал 1400 байт) и все работает нормально, но недолго. От перезагрузки микротика как-то не сильно зависит.

(0) Подключение по GPON?
Витая пара скручена в кольцо + провода от блока питания. Выпрямить и проверить.

При этом с самого микротика если пинговать внешние ресурсы, никаких потерь независимо от величины пакета. Для примера две картинки (пинг 1400 и пинг 512) в первом случае в локалке потери, на микроте нет. Во втором случае потерь нет ни там, ни там
https://radikal.host/i/X9DbYm
https://radikal.host/i/X9DWTE

(27) RouterOS обновлена?

(30) текущая версия 6.44.1 При нажатии на проверку обновлений предлагается версия 6.49.7

И сча выяснится что инет через симку, опсос режет раздачу

(32)+ Для обхода этого на роутере накрутили переупаковку или с TTL
https://habr.com/ru/companies/ruvds/articles/598493/

(33) (32) да вот если бы. Обычная витая пара от обрудования провайдера. Еще раз обращу внимание на (29)  С самого микротика получается проблем с пакетами нет, проблема с локалки до микротика, причем плавающая

(34) ну так вытащи все из роутера
воткни туда один комп/ноут и проверь с него

имхо у вас там петля или еще что с локалкой
причем тут роутер?

(34) А что у вас в таблице Firewall - Mangle?

+(36) И что в таблицах queues?

(8) Плюсую. Кстати, в том же Кинетике есть openwrt.

Обновить прошивку - предлагали? Только обновлять все компоненты.

Может вы терпилы, `Множественные уязвимости в MikroTik RouterOS`
Подробнее: https://www.securitylab.ru/vulnerability/519853.php

(0)[Грешили на провайдера, он нам поднял скорость до 50Мбит] - И что? Это не говорит о том, что остальное не изменилось..Проверить бы на другом устройстве, если симптомы те же, то вывод очевиден.

(40) По сравнению с прибитым гвоздями дефолтным паролем в некоторых абонентских роутерах ростелекома это не уязвимость, а нюанс.

(40) Там уязвимости все только в 6-ой прошивка, актуальна 7-ая.

(17) дело не в cli, а в возможностях ОС роутера

Кинетик, какимбы он крутым не был, всетаки домашний девайс заточенный на "кнопащки понажимал - роботает"
Циска это суровый ентерпрайз где можно подкрутить буквально всё вплоть то маршрутизации arp пакетов и размеров кештаблиц
Микротик это суровый ентерпрайз для бедных, где можно все тоже самое что в циске но чуть более кривее и глючнее

Реально в кинетике сделать маршрутизацию на десяток ВПНов по динамически меняющимся правилам, да еще менять маршруты в зависимости от протоколов? а если сверху еще BGP?

(44) микротик так полюбили одмины - потому что ты на работе охренеть сетевой инженер..а тут тебе дали ротуер где всетожесамое но дешево, и не так ограниченно как соховские циски

хочешь 500впн каналов у себя поднять? дапожалуйста. список маршрутизации на 10 мегабайт адресов? да скокоугодно! (если памяти хватит)

(44) >Реально в кинетике сделать маршрутизацию на десяток ВПНов по динамически меняющимся правилам, да еще менять маршруты в зависимости от протоколов? а если сверху еще BGP?

у меня же сделано
причем сейчас без entware

через entware можно почти что угодно

на крайняк накатить туда debian
https://forum.keenetic.com/topic/458-debian-stable-на-кинетике/

ну с тобой точно спорить бесполезно ;) для меня кинетик это игрушка, я в свое время пытался к ccna готовится, и, попадался мне кинетик где всё застряло "а в этой версии этого нет, а новой версии для вашей ревизии нет и не будет, удачи вам"

а накатить debian это уже изврат админский

(48) " для меня кинетик это игрушка" - Вы просто не умеете его готовить :)

(48) Да есть у них такое что разные версии умеют разное
Причем старые модели уже устарели
Новые выпускают обрезки - ну что за фигня вместо 4 lan + 1 wan в новой версии 3 lan + 1 wan

(49) ну если на него поставить debian - это уже не кинетик будет, а линукс
но в данном случае, кинетик это мерседес легковой, а микротик это камаз (в домашнем варианте камаз с двигателем от легковушки)... вроде и грузы на обоих возить можно но в мерседесе надо и багажник покупать, прицеп, нового водителя, крышу помять страшно и вообще "че вы от роутера в красивой коробочке хотите"

(51) "камаз с двигателем от легковушки" - Отличное сравнение. Т.е. нагрузить ты можешь, как на камаз, вот только с этим грузом он не поедет, т.к. движок слабый :))))
А легковой мерседес с лёгкостью утащит этот груз на прицепе, да ещё и ехать будешь с комфортом :)))

Прямо в точку описал.

(51) "если на него поставить debian - это уже не кинетик будет, а линукс" - А чем встроенный openwrt не устраивает? Слишком сложно?

(53) Так ты всех запутаешь!
OpenWrt доступен не для всех кинектиков (железо не везде подходит), и он не встроен, это альтернативная прошивка.
А вот OPKG встроен и доступен. На счет всех моделей не скажу, но он действительно встроен.
Но OpenWrt != OPKG

(54) А в справке написано, что OpenWRT-пакеты устанавливаются при помощи менеджера пакетов OPKG.
https://help.keenetic.com/hc/ru/articles/360021214160

Некротик это здорово! Их лупят везде по делу и без. И бросают без мониторинга. А потом приходят ребята, вежливо выслушивают матерные жалобы на это хилое/кривое недоразумение. Для маленьких офисов полно железок с производительностью в порядок лучше и стабильностью openwrt с ценой в половину от Некрота. Для средних же нагрузок и необходимостью гибкого функционала есть pfSense на норм железе вообще за шапку сухарей. А то этот ваш hAP AC за двадцать килорублей в ovpn мало того, что не пушит роуты на клиентов, так ещё и 40 мбит/с не вытягивает, и периодически резервные маршруты не отпускает при восстановлении основного. А какой-нибудь сверхдешманский сяоми спокойно держит канал в 250 мбит/с и не греется, и ovpn работает как положено, и всё остальное. Реальная ниша этих ваших объектов обожания - это домашнее использование адептами секты "настоящих сетевиков" и, возможно, подпирание инфраструктуры в критической ситуации когда используются все возможные говна и палки. Если извращаться в этом ценовом диапазоне, я уж лучше с юбикьюти буду е...

(56) Если про "хилое" могу согласиться (за ту же цену), но это плата за универсальность и единообразие настроек всех железок от домашнего хапа лайт до самого крутого 48-ядерника.

(0) Пробуйте другой девайс.
у меня один микротик здох так, то работает, то не работает, но конфигурируется.

(56) хоть примеры будут? Или мы должны догадаться чо это за конторы?

(55) Это пакеты/дополнения, а не ядро и морда.
Пакеты не так привязаны к конкретному железу (интерфейсы связи и т.п.).
И все эти пакеты конфигурируются не в вэбке Кинектика, и не через LuCI (потому что в Кинектике ее нет) это нужно конфигурировать вручную.

(27) Уверен что проблема в роутере? Попробуй без него проверь.

(51) >ну если на него поставить debian - это уже не кинетик будет, а линукс
Не совсем
Фактически это будет Кинетик у которого в Chroot работает полноценный Debian Linux (взамен Entware окружения аля OpenWRT)

Т.е. интерфейс кинетика и его cli никуда не пропадут, на разных портах будет встроенный telnet/ssh и ssh "гостевой системы"
Так как сам Кинетик внутри ядро линукс то почти все настраивается

(60) Ну это уже придирки.

(63) Придирки в том стиле что "вкус у фломастеров разный"? Да, согласен. Он разный!

(60) >все эти пакеты конфигурируются не в вэбке Кинектика
Ну да, ибо не предусмотрено в родном интерфейсе
Там только модули ядра можно добавлять/удалять

>и не через LuCI (потому что в Кинектике ее нет) это нужно конфигурировать вручную
Никто не мешает Люсю поднять но зачем? Она же ресурсы кушать будет!

(65)+ и логично что надо или на других портах LuCI поднимать или родной веб-интерфейс Кинетика на 80/444 того

(66) *80/443

(65) Я не уверен что там можно Люсю поднять... Но если можно, то это было бы веселее.
Хотя зачем? ИМХО лучше купить совместный роутер с OpenWrt и не выпендриваться...

(68) Можно но зачем?
Там почти ничего работать не будет что к железу отсносится или надо какие то прокладки изобретать
Вот установка/удаление пакетов должно

Самая крутая штука на Кинетиках это
https://github.com/qzeleza/kvas/wiki
https://forum.keenetic.com/topic/14415-пробуем-квас-shadowsocks-и-другие-vpn-клиенты/

(70)+ Сам не использую сейчас
У меня свой лисапед, который просто на маршрутах пашет
Маршруты на кинетике (даже entware/opkg не требуется) самописный микросервис меняет онлайн

(70)
-А скажите, и в магазине можно так же стенку приподнять? Ах какое полезное изобретение.

(70) не понял, в чем крутость. У меня микротик 7летней давности, все это поддерживает из коробки