Как получить на RB2011 гигабит

[Half]

День добрый
Дано Mikrotik RB2011UiAS-2HnD-IN
Гигабит от провайдера приходит на первый порт, обычная статика, без всяких ПППоЕ

Нужно получить на гигабитных портах микротика скорость хотя бы приблизительно похожую на гигабит. Сейчас спидтест показывает около 200 мегабит, максим было 230, при этом процессор микротика загружен на 100%

4.PNG

я так понимаю что нагрузка из за того что все порты собраны в бридж и микротик не может обрабатывать форварды настолько быстро дабы обеспечить окологигабитную скорость
но не сильно понимаю как перенастроить без этих форвардов

буду крайне благодарен за любую помощь

[Chupaka]

Здравствуйте.

А чтобы не гадать по поводу нагрузки, можно её посмотреть сразу в профайлере: Tools -> Profile. Так-то у них даже с очередями он в тестах вытягивает гораздо больше 200 Мбит/с: https://mikrotik.com/product/RB2011UiAS ... estresults

[Half]

Да, должно быть гораздо больше скорости но вот то что сейчас есть

5.PNG

еще бы понять с чем это связано
причем если воткнуть линк от провайдера непосредственно в комп скорость показывает около гигабита.

[Chupaka]

А в IP -> Firewall много правил? Каких?

[Half]

А в IP -> Firewall много правил? Каких?

5.PNG

6.PNG

с таким набором правил в наследство достался

зы. еще дополню. На WAN порту hw offload не работает

[Chupaka]

Скриншот не всё показывает (у вас, вроде, "пустое" правило на output accept, но тем не менее некоторые пакеты добираются дальше, до output drop), "/ip firewall export" покажет правила полностью.

[Half]

Скриншот не всё показывает (у вас, вроде, "пустое" правило на output accept, но тем не менее некоторые пакеты добираются дальше, до output drop), "/ip firewall export" покажет правила полностью.

Код: Выделить всё

/ip firewall filter
# oct/15/2020 14:28:06 by RouterOS 6.43.4
# model = 2011UiAS-2HnD
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=new dst-port=80 in-interface=eth1-wan protocol=tcp
add action=accept chain=input connection-state=new dst-port=80,8291,22,3307 in-interface=br1-lan protocol=tcp src-address=192.168.0.0/24
add action=accept chain=input protocol=gre
add action=accept chain=input dst-port=1723 protocol=tcp src-port=""
add action=accept chain=input connection-state=new dst-port=53,123,3307 protocol=udp src-address=192.168.0.0/24
add action=accept chain=input connection-state=established,related
add action=accept chain=output connection-state=!invalid
add action=accept chain=forward connection-state=established,new in-interface=br1-lan out-interface=eth1-wan src-address=192.168.0.0/24
add action=accept chain=forward connection-state=established,related in-interface=eth1-wan out-interface=br1-lan
add action=accept chain=forward connection-state=established,new in-interface=bridge-free-wifi out-interface=eth1-wan src-address=10.1.1.0/24
add action=accept chain=forward connection-state=established,related in-interface=eth1-wan out-interface=bridge-free-wifi
add action=drop chain=input
add action=drop chain=output
add action=drop chain=forward connection-state=invalid connection-type=""
/ip firewall mangle
add action=mark-connection chain=prerouting connection-state=new dst-port=9999 new-connection-mark=allow_in protocol=tcp
/ip firewall nat
add action=masquerade chain=srcnat out-interface=eth1-wan src-address=192.168.0.0/24
add action=masquerade chain=srcnat src-address=10.1.1.0/24
add action=netmap chain=dstnat dst-port=20 in-interface=eth1-wan protocol=tcp to-addresses=192.168.0.2 to-ports=20
add action=netmap chain=dstnat dst-port=21 in-interface=eth1-wan protocol=tcp to-addresses=192.168.0.2 to-ports=21
add action=netmap chain=dstnat dst-port=50000-50050 in-interface=eth1-wan log=yes protocol=tcp to-addresses=192.168.0.2 to-ports=50000-50050
add action=netmap chain=dstnat dst-port=8080 in-interface=eth1-wan protocol=tcp to-addresses=192.168.0.2 to-ports=8080
add action=netmap chain=dstnat dst-port=3390 in-interface=eth1-wan log=yes port="" protocol=tcp to-addresses=192.168.0.5 to-ports=3389
add action=netmap chain=dstnat dst-port=3391 in-interface=eth1-wan protocol=tcp to-addresses=192.168.0.40 to-ports=3389
/ip firewall service-port
set ftp disabled=yes

правило оказалось не совсем пустым

[Half]

меня еще немного смущает наличие WLAN прота на WAN интерфейсе...
написал не разобравшись, извините

7.PNG

[Chupaka]

А попробуйте все правила в Filter Forward выключить и посмотреть, как без них будет скорость

[Half]

так себе изменения

8.PNG

9.PNG

так же попробовал вообще все правила выключить, скорость и загрузка цпу без изменений со вторым скриншотом

[Half]

обновил прошивку до последней 6.47.4 (stable)- скорость поднялась до 270мегабит

[Half]

проблема решилась включением Fast Track Connection
нагрузка на фаервол уменьшилась до 7-16%
скорость возросла до 700-800 мегабит

[Chupaka]

Какая прелесть, в документации, оказывается, даже отдельный раздел про RB2011
https://wiki.mikrotik.com/wiki/Manual:I ... _on_RB2011