simple queues оптимизация

Базовая функциональность RouterOS
Ответить
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

simple queues оптимизация

Сообщение nevolex »

Всем привет,

хотел бы посоветоваться у меня дома 2 лан сети основная 10.10.0.0/24 и гостевая (10.20.0.0/24), в гостевой я разрешил медиа сервер из основной при этом я использую шейпинг на траффик в гостевой сети до 50 мегабит.

Проблема в том что к сожалению некоторые фильмы у меня в 4к с потоком под 100 мегабит, канала не хватает

на самом деле я бы хотел что бы лан траффик в гостевой сети был безограничений, мне только интернет траффик хотелось бы шейпить тогда бы и 15 мегабит хватило ))))



можно ли поправить? спасибо

Код: Выделить всё

конфиг выглядит так 

/queue simple
add burst-limit=50M/50M burst-threshold=35M/35M burst-time=16s/16s max-limit=25M/25M name=guest_network_queue target=10.20.0.0/24


а файервол так что бы кьюс их зацепляли ))

14    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix="" 

15    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix="" 
weqqq.png
weqqq.png (29.43 КБ) 887 просмотров
Последний раз редактировалось nevolex 20 фев 2021, 22:17, всего редактировалось 2 раза.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: simple queues оптимизация

Сообщение nevolex »

nevolex писал(а): 20 фев 2021, 04:27 Всем привет,

хотел бы посоветоваться у меня дома 2 лан сети основная 10.10.0.0/24 и гостевая (10.20.0.0/24), в гостевой я разрешил медиа сервер из основной при этом я использую шейпинг на траффик в гостевой сети до 50 мегабит.

Проблема в том что к сожалению некоторые фильмы у меня в 4к с потоком под 100 мегабит, канала не хватает

на самом деле я бы хотел что бы лан траффик в гостевой сети был безограничений, мне только интернет траффик хотелось бы шейпить тогда бы и 15 мегабит хватило ))))



можно ли поправить? спасибо

Код: Выделить всё

конфиг выглядит так 

/queue simple
add burst-limit=50M/50M burst-threshold=35M/35M burst-time=16s/16s max-limit=25M/25M name=guest_network_queue target=10.20.0.0/24


а файервол так что бы кьюс их зацепляли ))

14    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix="" 

15    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix="" 

weqqq.png
решил проблему указанием правления на интернет vlan
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: simple queues оптимизация [решено методом тыка :)]

Сообщение Chupaka »

Приветствую.

Правила файрвола эти ничего не маркируют ведь, странный у них комментарий :) Или у вас используется FastTrack, и вы не отправляете в него гостевую сеть, чтобы пакеты попали в Queues? Тогда логичнее было бы всё же сделать FastTrack для локального трафика (он тогда будет создавать меньшую нагрузку на ЦПУ на таких скоростях).
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: simple queues оптимизация [решено методом тыка :)]

Сообщение nevolex »

Chupaka писал(а): 20 фев 2021, 11:32 Приветствую.

Правила файрвола эти ничего не маркируют ведь, странный у них комментарий :) Или у вас используется FastTrack, и вы не отправляете в него гостевую сеть, чтобы пакеты попали в Queues? Тогда логичнее было бы всё же сделать FastTrack для локального трафика (он тогда будет создавать меньшую нагрузку на ЦПУ на таких скоростях).
Спасибо Chupaka, я если честно не особо разбираюсь в фаейрволе, даже не знаю как нужно было правльно назвать эти правила, раз уж Вы обратили на это внимание, посоветуйте пожалуйста как бы Вы этьи правила обыграли для сетей 10.10.0.0/24 (основная) и 10.20.0.0/24 (гостевая) (можеть что то изменить или добавить?)

Спасибо за помощь в очередной раз

Код: Выделить всё

 1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked log=no log-prefix="" 

 2    ;;; accept connection to IKEv2 ports
      chain=input action=accept protocol=udp in-interface-list=WAN dst-port=500,4500 log=no log-prefix="" 

 3    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid log=no log-prefix="" 

 4    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp log=no log-prefix="" 

 5    ;;; management over VPN
      chain=input action=accept protocol=tcp dst-port=22,80,88,8291 log=no log-prefix="" ipsec-policy=in,ipsec 

 6    ;;; DNS over VPN
      chain=input action=accept protocol=udp dst-port=53 log=no log-prefix="" ipsec-policy=in,ipsec 

 7    ;;; allow emby in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.5 dst-port=8096 log=no log-prefix="" 

 8    ;;; allow proxy redirect in guest network
      chain=input action=accept protocol=tcp src-address=10.20.0.0/24 dst-address=10.10.0.1 dst-port=80 log=no log-prefix="" 

 9    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN log=no log-prefix="" 

10    ;;; drop all coming from main to guest
      chain=input action=drop src-address=10.10.0.0/24 dst-address=10.20.0.0/24 log=no log-prefix="" 

11    ;;; drop all coming from guest to main
      chain=input action=drop src-address=10.20.0.0/24 dst-address=10.10.0.0/24 log=no log-prefix="" 

12    ;;; defconf: accept in ipsec policy
      chain=forward action=accept in-interface-list=WAN log=no log-prefix="" ipsec-policy=in,ipsec 

13    ;;; defconf: accept out ipsec policy
      chain=forward action=accept log=no log-prefix="" ipsec-policy=out,ipsec 

14    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix="" 

15    ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix="" 

16    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

17    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked log=no log-prefix="" 

18    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid log=no log-prefix="" 

19    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN log=no log-prefix="" 
[admin@MikroTik_RB4011] /ip firewall filter> 
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: simple queues оптимизация

Сообщение Chupaka »

Чтобы спрашивать, как можно что-то обыграть, неплохо бы рассказать, какую задачу мы, собственно, решаем :)
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: simple queues оптимизация

Сообщение nevolex »

Chupaka писал(а): 21 фев 2021, 23:17 Чтобы спрашивать, как можно что-то обыграть, неплохо бы рассказать, какую задачу мы, собственно, решаем :)
Спасибо, задача просто что бы simple queues работали с гостевой сетью 10.20.0.0 Вы заметили что можно как то оптимизировать?

как сейчасу меня все работает хорошо, но Вы говорите может быть повышеная нагрузка на фейрвол?

может быть я Вас не так поняо и все и так работает и выглядит нормально :D
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: simple queues оптимизация

Сообщение Chupaka »

Вот поэтому и надо понять для начала, почему у вас simple queues без этих правил не работают с гостевой сетью.

Но если всё устраивает - тогда и заморачиваться не надо :)
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: simple queues оптимизация

Сообщение nevolex »

Chupaka писал(а): 22 фев 2021, 14:05 Вот поэтому и надо понять для начала, почему у вас simple queues без этих правил не работают с гостевой сетью.

Но если всё устраивает - тогда и заморачиваться не надо :)
так то оно так, ну просто есть желание разобраться :roll: , я попробовал подргуому :lol:

Код: Выделить всё



14 X  ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix=""   -- выключил для теста

15 X  ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix=""   -- выключил для теста

16 X  ;;; simple queues rule for the guest network
      chain=forward action=accept connection-state=established,related dst-address-list=guest_simple_queue log=no log-prefix=""  - сначало только это правило (теперь оно выключено) - не сработало 

17    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related src-address=!10.20.0.0/24 log=no log-prefix="" 
      потом попрбовал только это вот так и тоже не работает


можно ли в одном праивиле включить queus и обойти fast track наверое слово "обойти " лучше чем mark :)

Вы бы их как обошли с включенным fasttrack? :)



ps


вместе они работают ксати, даже не знаю что выбрать разницы веде нет?

Код: Выделить всё

14 X  ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix="" 

15 X  ;;; mark guest network for queueing
      chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix="" 

16    ;;; simple queues rule for the guest network (что это правило делает на саммом деле??)
      chain=forward action=accept connection-state=established,related dst-address-list=guest_simple_queue log=no log-prefix="" 

17    ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related src-address=!10.20.0.0/24 log=no log-prefix="" 
 
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: simple queues оптимизация

Сообщение Chupaka »

Эм-м-м... Вы как-то более подробно комментируйте. guest_simple_queue - что у вас в этом списке?

А вообще src-address=!10.20.0.0/24 не будет работать потому, что прилетит обратный пакет (с dst-address=10.20.0.0/24) - и благодаря ему соединение уйдёт в фасттрак.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: simple queues оптимизация

Сообщение nevolex »

Chupaka писал(а): 23 фев 2021, 14:30 Эм-м-м... Вы как-то более подробно комментируйте. guest_simple_queue - что у вас в этом списке?

А вообще src-address=!10.20.0.0/24 не будет работать потому, что прилетит обратный пакет (с dst-address=10.20.0.0/24) - и благодаря ему соединение уйдёт в фасттрак.
в guest_simple_queue прсто прописано = 10.20.0.0/24

получается рабоает либо так 2 правила включены

14 ;;; mark guest network for queueing
chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix=""

15 ;;; mark guest network for queueing
chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix=""

либо так тоже когда тоже оба правила включены


16 ;;; simple queues rule for the guest network
chain=forward action=accept connection-state=established,related dst-address-list=guest_simple_queue log=no log-prefix=""

17 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection connection-state=established,related src-address=!10.20.0.0/24 log=no log-prefix=""

а почему например правило 16 не работает само посебе если его поставить перед дефолтным фасттреком? (тоесть без "src-address=!10.20.0.0/24" в правиле 17)

спасибо
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: simple queues оптимизация

Сообщение nevolex »

Chupaka писал(а): 23 фев 2021, 14:30 Эм-м-м... Вы как-то более подробно комментируйте. guest_simple_queue - что у вас в этом списке?

А вообще src-address=!10.20.0.0/24 не будет работать потому, что прилетит обратный пакет (с dst-address=10.20.0.0/24) - и благодаря ему соединение уйдёт в фасттрак.
в guest_simple_queue прсто прописано = 10.20.0.0/24

получается рабоает либо так 2 правила включены

14 ;;; mark guest network for queueing
chain=forward action=accept connection-state=established,related src-address=10.20.0.0/24 log=no log-prefix=""

15 ;;; mark guest network for queueing
chain=forward action=accept connection-state=established,related dst-address=10.20.0.0/24 log=no log-prefix=""

либо так тоже когда тоже оба правила включены


16 ;;; simple queues rule for the guest network
chain=forward action=accept connection-state=established,related dst-address-list=guest_simple_queue log=no log-prefix=""

17 ;;; defconf: fasttrack
chain=forward action=fasttrack-connection connection-state=established,related src-address=!10.20.0.0/24 log=no log-prefix=""

а почему например правило 16 не работает само посебе если его поставить перед дефолтным фасттреком? (тоесть без "src-address=!10.20.0.0/24" в правиле 17)

спасибо
Аватара пользователя
Chupaka
Сообщения: 3880
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: simple queues оптимизация

Сообщение Chupaka »

Потому что 16-е правило хватает пакеты из Интернета к гостям, и только их. Вы в 17-м ставите костыль, чтобы фасстрекаться могли только соединения, в которых проверяются пакеты не от гостя (т.е. по сути тоже из Интернета). В противном (дефолтном) случае оно хватает пакеты от Гостя в Интернет (которые не ловятся 16-м правилом) - и всё, приплыли.
nevolex
Сообщения: 70
Зарегистрирован: 04 фев 2021, 14:34

Re: simple queues оптимизация

Сообщение nevolex »

Chupaka писал(а): 01 мар 2021, 17:20 Потому что 16-е правило хватает пакеты из Интернета к гостям, и только их. Вы в 17-м ставите костыль, чтобы фасстрекаться могли только соединения, в которых проверяются пакеты не от гостя (т.е. по сути тоже из Интернета). В противном (дефолтном) случае оно хватает пакеты от Гостя в Интернет (которые не ловятся 16-м правилом) - и всё, приплыли.
спасибо
Ответить