Помогите разобраться со скоростью

хороший процессор (Phenom

ну-ну. какая самая высокая нагрузка на одно из ядер?

После «разогрева» deluge дела обстоят вот таким вот образом: https://ibb.co/TWHhx7s

Извиняюсь, скорее вот так: https://ibb.co/Fhq00Km

Тем не менее все равно не совсем понятно.

1 торенты создают много соединений, перегружена сетевая подсистема, файрвол ?

2 Нет ли потерь пакетов ftp, надо проверить, вдруг торренты мешают передаче

1 торенты создают много соединений, перегружена сетевая подсистема, файрвол ?

Это основное мое подозрение. У меня вот так сеть организована:

— ONT (FTTH) — Router 1 (NAT + PPoE) — Router 2 (NAT) — Switch – PC

Проблема в том что рутер 1 в данной схеме, кругом залочен и невозможно посмотреть нагрузку.

Рутер 2 это Microtik, там нагрузка в пределах 20-30%.

2 Нет ли потерь пакетов ftp, надо проверить, вдруг торренты мешают передаче

Вроде нет, хотя если подскажете как проверить – посмотрю с удовольствие.

И еще такой вопрос: если я ставлю DMZ хост, все входящие пакеты уходят на этот хост. То есть NAT таблица не используется.

Правильно я понимаю?

Потери пакетов надо смотреть чем-то вроде tcpdump

Также файрвол может резать соединения если их много, возможно нужна тонкая настройка deluge

Также файрвол может резать соединения если их много, возможно нужна тонкая настройка deluge

Ну вот в данный момент я пытаюсь исключить лоченый рутер, потому как не могу там даже нагрузку посмотреть. Для этого я сделал DMZ на микротик и отключил весь dst-nat. Единственное что я не совсем понимаю, исключается ли таким образом использование таблицы NAT?

То есть, в моем понимании, все входящие пакеты должны тупо перебрасываться на IP адрес который указан в качестве DMZ и таким образом снижать нагрузку.

Нет, не правильно. Единственное исключение если вы все решили роутингом. Но не думаю что речь об этом.

Я вот просто как раз этот момент не могу понять. А рутер залочен и там не посмотреть ничего.

Но суть в том что порты все мапятся на эту машину (которая рутер Mikrotik уже со своим натом) – факт. По моей логике (не обязательно верной) таблица NAT при таких раскладах просто не нужна.

Какой ip/сеть выдается с роутер1? Какой ip/сеть выдается с dmz микрота?

Какой ip/сеть выдается с роутер1? Какой ip/сеть выдается с dmz микрота?

Напомню схему подключения:

— ONT (FTTH) — Router 1 (NAT + PPoE) — Router 2 (NAT) — Switch – PC

Router 1: 192.168.1.1/24

Router 2: 192.168.1.2/24 <> 192.168.35.1/24

Я как вариант раньше еще гонял PPPoE на микротике, чтобы исключить еще одну коробку из схемы, но при использовании PPPoE на микротике все плачевно становится в плане ресурсов и, как следствие, скорости. Модель hAP ac, с одним процессором и активированным Fasttrack.

UPD: Ах да, если что то Router 2 это единственный клиент в сети Router 1 (192.168.1.0/24).

Router 2: 192.168.1.2/24 <> 192.168.35.1/24

Т.е. NAT

Т.е. NAT

На микротике да, конечно. Должен же он где то быть. При этом CPU Load держится на уровне 15-30%.

Ну вот мы и вернулись к вашему вопросу про dmz

Ну вот мы и вернулись к вашему вопросу про dmz

Это все понятно, но ведь у меня первоначальная цель была снизить как можно больше нагрузку на Router 1, чтобы он только и исключительно PPPoE занимался.

То есть NAT на микротике (Router 2) меня не беспокоит, потому как рутер под моим контролем, я могу влиять на его работу и видеть где затыки происходят если они есть.

1. А что с памятью?
2. Я сейчас возможно глупость скажу. Но, возможно сам пров режет скорость. У вас же не гарантированные 500/500 Mbit а до 500/500 Mbit.
3. Что бы исключить роутеры. Возьмите ещё одну машинку и с нее проверьте скорость (при запущенном торренте на той про которую вы писали).

1. А что с памятью?

Если вы про память на микротике то заполнено 94 из 128Мб.

2. Я сейчас возможно глупость скажу. Но, возможно сам пров режет скорость. У вас же не гарантированные 500/500 Mbit а до 500/500 Mbit.

Все верно, но этот пров (как и вообще все местные) не был замечен за такой практикой. Более того, если тестишь одним коннектом на каком нибудь speedtest.net то, как правило, вообще больше получается. 600/550Mbit например.

UPD: Вот сейчас ради интереса глянул контракт с провом, мне гарантируют скорость 50% от номинальной, то есть 250/250Mbit.

3. Что бы исключить роутеры. Возьмите ещё одну машинку и с нее проверьте скорость (при запущенном торренте на той про которую вы писали).

Да, вот этот шаг я сегодня и сделаю, пожалуй. Запущу vsftpd на другой машине.

UPD: Вот сейчас ради интереса глянул контракт с провом, мне гарантируют скорость 50% от номинальной, то есть 250/250Mbit.

Как раз 31МБ/с и получаеться. Теперь если забить полосу торрентами то вполне вероятно что и до 3-х дойдет. Все зависит от того как полосы делятся на устройстве. Как это сделано на routerOS не знаю, не пользую микроты, но могу предположить что все-таки не все так плохо. Но так же хз как это сделано на «черной коробке» роутер1. :(
ЗЫ

speedtest.net

Не о чем. Хотите правду между точками, возьмите близлежащую и с ней проверяйте тем же iperf3.

ЗЫЫ

Да, вот этот шаг я сегодня и сделаю, пожалуй. Запущу vsftpd на другой машине.

Не понял. Вы писали что у вас download, зачем сервер?

Как раз 31МБ/с и получаеться. Теперь если забить полосу торрентами то вполне вероятно что и до 3-х дойдет.

Хм, а ведь действительно. Что-то я за всеми этими рассуждениями упустил этот момент. Хотя понятно почему я забыл, был уверен что мне гарантируют 100%.

Но вообще я смотрю вот в интерфейсе микротика, там стабильно болтается 75/30Mbit на общем интерфейсе.

Как это сделано на routerOS не знаю, не пользую микроты, но могу предположить что все-таки не все так плохо.

Это из области QoS, я правильно понимаю? И имеет ли смысл начинать смотреть в эту сторону учитывая что на черной коробке ничего этого нет?

UPD: Сделал вот еще такой тест: скачал торрентами Ubuntu, на миктотике скорость Rx подскочила до 170-200Mbit в среднем. Пару раз на пике было 260Mbit, после того как образ скачался все вернулась на круги своя Rx=25-30Mbit. То есть запас по скорости Rx есть (и по коннектам), но почему FTP то тогда не работает?

перегруженная таблица NAT

На скорость ftp никак влиять не может.

Это из области QoS, я правильно понимаю?

Ага, правильно. Но вроде у микрота должен быть qos из каробки. Иначе убивалось бы все. Поэтому и порекомендовал отдельную железку, что бы исключить его алгоритмы. Так как возможно ваша единичная «железка» совсем убивается в поток.

но почему FTP то тогда не работает?

Одно соединение. На фоне «тысяч» соединений с разными ip (торрент), вы на тысячу пакетов получите только один по фтп в очереди. Вот и вся разница.

Одно соединение. На фоне «тысяч» соединений с разными ip (торрент), вы на тысячу пакетов получите только один по фтп в очереди. Вот и вся разница.

Точно, вот я как раз об этом и подумал. То есть, если упрощенно, по идеи мне надо настроить QoS на микротике таким образом чтобы соединения на 21ом порту всегда обрабатывались в первую очередь. Ну либо на порту 60002 (торренты) в последнюю.

Правильный ход мысли?

Правильный ход мысли?

Не совсем. ftp обменивается данными в активном режиме с порта 20 или в пассивном >1024
Порт 21 только для передачи команд.
Но «ход мысли» абсолютно правильный.
ЗЫ Если у микрота есть возможность понизить udp (торрент) и повысить tcp то возможно даже этого должно хватить.

Но «ход мысли» абсолютно правильный.

Ну да, я 21 как пример сказал. Так то у меня ранг на пассивные соединения 12000-12100.

Но теперь там еще одни грабли, а именно fasttrack, который если убрать то CPU микротика взлетает под 100%. Но это уже тех. детали.

Спасибо за помощь, в любом случае.

Ну и напоследок, это не решение задачи на уровне роутеров, но... просто занизить в торрент клиенте скорость :) Возможно для вас это станет самым простым выходом из ситуации. :)

Так то да, можно вообще его отключать в определенные часы, когда ожидается передача по ФТП. В любом случае, скорее кол-во коннектов надо резать, потому как скорость в запасе есть как раз.

В общем я вчера пошел на радикальные меры, настроил port mirroring на микротике и поснифил трафик от лоченой коробки до ONT. Как оказалось они не шифруют сессию PPPoE и юзер/пароль передают открытым текстом. Но, правда фильтруют MAC адрес.

Поэтому коробка была выкинута, а на ее место воткнут микротик. Теперь он поднимает сессию PPPoE и в топологии стало одним дивайсом меньше.

Сегодня буду думать дальше, пока что какие либо выводы делать рано.