Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: darebacik 16. 09. 2025, 10:16:06
-
Neviem, či to bola dobrá kúpa, ale silné som veril, že keď to má aj 2.5 gigabyte sfp, tak to bude vedieť na Ethernet porte aspoň 500 Mbps.
Ale som sklamaný z pouhich 300-350 Mbps.
Mám to síce pripojené na Ethernet 1 na 800 Mbps linku, ale na Ethernet 2 dostanem len 300 Mbps.
Firewall dočasne vypnutý.
Tplink (30€) za NAT mi robi 800 Mbps
:(
-
Dump konfigurace:
/export hide-sensitive Nebo se bude čekat na někoho s křišťálovou koulí ...
Jinak blok diagram zde (https://cdn.mikrotik.com/web-assets/product_files/L009UiGS-2HaxD-IN_230524.png). ETH1 není součástí switche, takže záleží, co to má dělat (router, AP, ... ) a co je kde připojené (WAN, LAN, ...)? Nejspíš je vypnutý fast path. Jaké je vytížení CPU, když to jede na max?
-
Ak si isiel s cistym konfigom, pridaj tam zase fasttrack countre .. robi to divy ...
https://wiki.mikrotik.com/Manual:IP/Fasttrack
-
# 2025-09-16 19:02:49 by RouterOS 7.16.2
# software id = JG2Q-9X9D
#
# model = L009UiGS-2HaxD
# serial number = HJK0AN5H81J
/interface bridge
add name=bridge1
/interface wireguard
add comment=wg0:interface listen-port=528XX mtu=1420 name=wg0
/interface list
add name=LAN
/ip pool
add name=dhcp_pool0 ranges=192.168.110.2-192.168.110.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge1 name=dhcp1
/port
set 0 name=serial0
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=bridge1 list=LAN
/ip address
add address=192.168.110.1/24 interface=bridge1 network=192.168.110.0
add address=10.10.9.1/24 comment="local wg server" interface=wg0 network=10.10.9.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server network
add address=192.168.110.0/24 dns-server=192.168.110.1 gateway=192.168.110.1
/ip firewall filter
add action=accept chain=input comment="wireguard allowed" dst-port=528XX protocol=udp
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" in-interface=ether1 protocol=icmp
add action=accept chain=input comment="allow Winbox" in-interface=ether1 port=8291 protocol=tcp
add action=accept chain=input comment="allow SSH" in-interface=ether1 port=22 protocol=tcp
add action=drop chain=input comment="block everything else" in-interface=ether1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh port=2200
set api disabled=yes
/system clock
set time-zone-name=Europe/Bratislava
/system note
set show-at-login=no
/system routerboard settings
set enter-setup-on=delete-key
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
OK s fasttrack som sa dostal na 600-650 Mbps, co je vcelku OK (ale nie je to 800). CPU pri tomto trafficu sa zatazi na 45-55%.
Lepsie to uz asi nebude.
Fasttrackv konfigu nie je uvedeny
:)
-
Zde jsou jejich testy:
https://mikrotik.com/product/l009uigs_2haxd_in#fndtn-testresults
...mám několik různých Mikrotiků a přijde mi, že ty testy celkem sedí. Tenhle router je relativně slabý (dual-core 800MHz), ale i s firewallem by se k těm 800Mbps měl ve speedtestu dohrabat.
Na starém CRS125 (řádově podobný výkon) mi hodně pomohlo změnit na rozhraních queue z "hardware-only" na "ethernet-default".
-
# 2025-09-16 19:02:49 by RouterOS 7.16.2
/ip firewall filter
add action=accept chain=input comment="wireguard allowed" dst-port=528XX protocol=udp
add action=accept chain=input comment="accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" in-interface=ether1 protocol=icmp
add action=accept chain=input comment="allow Winbox" in-interface=ether1 port=8291 protocol=tcp
add action=accept chain=input comment="allow SSH" in-interface=ether1 port=22 protocol=tcp
add action=drop chain=input comment="block everything else" in-interface=ether1
Na poradi zalezi. Pravidlo na povolenie wireguardu by som dal az za "accept ICMP". Nemusi sa na neho kontrolovat kazdy jeden paket, este pred established,related. "Block everything else" je zbytocne.
-
Zde jsou jejich testy:
Asi to zabíjí NAT, který je náročnější a nejspíš není v testovacích scénářích podchycen (píšou filter rules, queue). Ano dvoujádro a starý 32bit ARM, takže žádný extra výkon.
Na poradi zalezi. Pravidlo na povolenie wireguardu by som dal az za "accept ICMP". Nemusi sa na neho kontrolovat kazdy jeden paket, este pred established,related. "Block everything else" je zbytocne.
S pořadím souhlas, ale zahodit vše ostatní v tomto případě nutné je. V nové verzi (https://help.mikrotik.com/docs/spaces/ROS/pages/48660574/Filter) návodu to nezmiňují, ale ve staré verzi (https://wiki.mikrotik.com/Manual:IP/Firewall/Filter) bylo explicitně napsáno: If a packet has not matched any rule within the built-in chain, then it is accepted.
OK s fasttrack som sa dostal na 600-650 Mbps, co je vcelku OK (ale nie je to 800). CPU pri tomto trafficu sa zatazi na 45-55%.
Zde se někdo tváří, že mu to utáhne 2.5Gbit (což mi teda přijde příliš optimistické):
https://www.youtube.com/watch?v=fSeeIXNuIB4 (https://www.youtube.com/watch?v=fSeeIXNuIB4)
Jak se měří rychlost? Těch 800Mbit má jít přímo z internetu, nebo je to nějaký testovací setup? Není tam problém s MTU?
Jak je to rozložené na jádra (není jedno 100%)?
Chová se to stejně, když se místo ETH1 použije jeden z těch ostatních portů (na videu ETH1 nepoužívá)?
Aktuální verze ROS je 7.19.6 (ale to asi zásadní vliv mít nebude).