Mikrotik no me llega a 1Gg en los test de velocidad

El problema es que ahora Orange me ha subido a 1 gb tanto en mi empresa como en mi casa y en ninguno de los 2 sitios con los mikrotik tal y como los tenia puestos pasan de los 500-600 mb y ya no se si es por que mis equipos no pueden aguantar ese trafico o por que he echo algo mal.
Los equipos son en casa un Mikrotik HEX S y en mi almacén CRS109-8G-1S-2HnD-IN en los 2 tengo prácticamente la misma configuración, ya que los los los tengo conectados a una ONT Nokia que me puso orange.
Paso la configuración por si me podeis echar un vistazo por si tengo algo mal o simplemente por que los equipos no pueden.
En los 2 sitios tengo IP fija.

Código:
# oct/02/2021 14:06:31 by RouterOS 6.48.1
# software id = KC43-W1DL
#
# model = CRS109-8G-1S-2HnD
# serial number = D250080DFDA8
/interface bridge
add admin-mac=CC:2D:E0:9A:15:7C auto-mac=no name=bridge protocol-mode=none
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
    default-authentication=no disabled=no distance=indoors frequency=auto \
    installation=indoor mode=ap-bridge ssid=Distri-Loapi wireless-protocol=\
    802.11
/interface ethernet
set [ find default-name=ether2 ] advertise=\
    10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full,10000M-full \
    name=ether2-PC-Jose
set [ find default-name=ether3 ] name=ether3-BseServer
set [ find default-name=sfp1 ] advertise=1000M-half,1000M-full,10000M-full \
    name=sfp1-ONT
/interface vlan
add interface=sfp1-ONT name=vlan-Internet vlan-id=20
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
add name=BseServer
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk,wpa2-eap eap-methods=\
    "" mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
add name=vpn-pool ranges=192.168.89.2-192.168.89.254
/ip dhcp-server
add address-pool=dhcp_pool1 disabled=no interface=bridge name=dhcp1
/interface bridge port
add bridge=bridge interface=ether2-PC-Jose
add bridge=bridge interface=ether3-BseServer
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=ether6
add bridge=bridge interface=ether7
add bridge=bridge interface=ether8
add bridge=bridge interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=none
/ip settings
set tcp-syncookies=yes
/interface list member
add interface=bridge list=LAN
add interface=sfp1-ONT list=WAN
add disabled=yes interface=ether3-BseServer list=BseServer
/interface pptp-server server
set authentication=mschap2
/interface wireless access-list
add comment="Tablet Huawei" interface=wlan1 mac-address=\
    DC:D9:16:EE:D0:A6 vlan-mode=no-tag
add comment="Etiquetadora Brother" interface=wlan1 mac-address=\
    00:80:92:D6:57:78 vlan-mode=no-tag
add comment="Samsung" interface=wlan1 mac-address=36:78:7A:6D:28:DF \
    vlan-mode=no-tag
add comment="OnePlus5 Jose" interface=wlan1 mac-address=94:65:2D:D4:34:62 \
    vlan-mode=no-tag
add comment="Telefono Papa" interface=wlan1 mac-address=D0:77:14:58:4E:D5 \
    vlan-mode=no-tag
add comment="Telefono Venta" interface=wlan1 mac-address=78:00:9E:B7:1D:F6 \
    vlan-mode=no-tag
add comment="Tablet Venta" interface=wlan1 mac-address=F0:51:36:D2:35:BB \
    vlan-mode=no-tag
add comment="Xiaomi TV" interface=wlan1 mac-address=EC:FA:5C:3B:0A:42 \
    vlan-mode=no-tag
/ip address
add address=192.168.1.1/24 comment=defconf interface=bridge network=\
    192.168.1.0
/ip cloud
set update-time=no
/ip dhcp-client
add disabled=no interface=vlan-Internet use-peer-dns=no
/ip dhcp-server lease
add address=192.168.1.254 client-id=1:2c:56:dc:3b:f2:1e mac-address=\
    2C:56:DC:3B:F2:1E server=dhcp1
add address=192.168.1.250 client-id=\
    ff:49:2b:b2:8c:0:1:0:1:26:49:7f:27:50:e5:49:2b:b2:8c mac-address=\
    50:E5:49:2B:B2:8C server=dhcp1
add address=192.168.1.253 client-id=1:2c:f0:5d:26:8d:58 mac-address=\
    2C:F0:5D:26:8D:58 server=dhcp1
/ip dhcp-server network
add address=192.168.1.0/24 gateway=192.168.1.1
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=45.90.28.130,45.90.30.130 \
    use-doh-server=https://dns.nextdns.io/555c5d verify-doh-cert=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
add address=45.90.28.0 name=dns.nextdns.io
add address=45.90.30.0 name=dns.nextdns.io
add address=2a07:a8c0:: name=dns.nextdns.io type=AAAA
add address=2a07:a8c1:: name=dns.nextdns.io type=AAAA
/ip firewall address-list
add address=d250080dfda8.sn.mynetname.net disabled=yes list=public-ip
add address=loapi.es disabled=yes list=public-ip
add address=www.loapi.es disabled=yes list=public-ip
add list=ddos-attackers
add list=ddos-target
/ip firewall filter
add action=accept chain=input comment="accept established,related,untracked" \
    connection-state=established,related,untracked
add action=drop chain=input comment="drop invalid" connection-state=invalid
add action=accept chain=input comment="accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment=" fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="drop invalid" connection-state=invalid
add action=drop chain=forward comment="drop all from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
add action=jump chain=forward comment="jump to ICMP filters" jump-target=icmp \
    protocol=icmp
add action=accept chain=icmp comment="echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=icmp comment="net unreachable" icmp-options=3:0 \
    protocol=icmp
add action=accept chain=icmp comment="host unreachable" icmp-options=3:1 \
    protocol=icmp
add action=accept chain=icmp comment=\
    "host unreachable fragmentation required" icmp-options=3:4 protocol=icmp
add action=accept chain=icmp comment="allow echo request" icmp-options=8:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow time exceed" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=icmp comment="allow parameter bad" icmp-options=12:0 \
    protocol=icmp
add action=drop chain=icmp comment="deny all other types"
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=add-dst-to-address-list address-list=ddos-target \
    address-list-timeout=10m chain=detect-ddos
add action=add-src-to-address-list address-list=ddos-attackers \
    address-list-timeout=10m chain=detect-ddos
add action=jump chain=forward connection-state=new jump-target=detect-ddos
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s
add action=return chain=detect-ddos dst-limit=32,32,src-and-dst-addresses/10s \
    protocol=tcp tcp-flags=syn,ack
/ip firewall nat
add action=masquerade chain=srcnat comment=masquerade ipsec-policy=out,none \
    out-interface=vlan-Internet
add action=masquerade chain=srcnat out-interface=bridge
add action=dst-nat chain=dstnat dst-port=9010-9021 protocol=tcp to-addresses=\
    192.168.1.250 to-ports=9010-9019
add action=dst-nat chain=dstnat dst-port=51010-51021 protocol=udp \
    to-addresses=192.168.1.250 to-ports=51010-51019
add action=dst-nat chain=dstnat comment="Server Web" dst-port=80 \
    in-interface=vlan-Internet protocol=tcp to-addresses=192.168.1.250 \
    to-ports=80
add action=dst-nat chain=dstnat dst-port=443 in-interface=vlan-Internet \
    protocol=tcp to-addresses=192.168.1.250 to-ports=443
add action=dst-nat chain=dstnat comment="Webs - Hairpin NAT" dst-address=\
    92.190.8.11 dst-port=80,443 protocol=tcp to-addresses=192.168.1.250
add action=masquerade chain=srcnat comment=hairpin disabled=yes dst-address=\
    192.168.1.0/24 src-address=192.168.1.0/24
add action=masquerade chain=srcnat comment=masquerade-wan disabled=yes \
    ipsec-policy=out,none out-interface-list=WAN
add action=dst-nat chain=dstnat comment=web-publica disabled=yes \
    dst-address-list=public-ip dst-port=80,443 protocol=tcp to-addresses=\
    192.168.1.250
add action=dst-nat chain=dstnat comment=otro-puerto-cualquiera disabled=yes \
    dst-address-list=public-ip dst-port=1234 protocol=tcp to-addresses=\
    192.168.1.250 to-ports=5678
add action=dst-nat chain=dstnat comment=Collabora dst-port=9980 in-interface=\
    vlan-Internet protocol=tcp to-addresses=192.168.1.250 to-ports=9980
add action=dst-nat chain=dstnat comment=ZeroTier dst-port=9993 in-interface=\
    vlan-Internet protocol=udp to-addresses=192.168.1.250 to-ports=9993
/ip firewall raw
add action=drop chain=prerouting dst-address-list=ddos-target \
    src-address-list=ddos-attackers
/ip firewall service-port
set ftp disabled=yes
set irc disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set enabled=yes
/lcd
set backlight-timeout=never default-screen=informative-slideshow \
    read-only-mode=yes
/lcd interface pages
set 0 interfaces=wlan1
/system clock
set time-zone-name=Europe/Madrid
/system identity
set name=BseServer
/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Paso la configuracion de mi almacen que es mas completa, haber si me podeis echar una mano.
He de decir tambien que si pongo el router de Orange si que llega a los 900-950 mb.

Un Saludo
 
Dos cosas:
  • Lo que tienes es un switch, no un router. Si ves las especificaciones técnicas del equipo, verás que brilla en modo switching, pero no en modo routing. En routing, a tamaño máximo de paquete y con las reglas de firewall por defecto ese equipo dará como máximo poco más de 600Mbps. Y, si te está dando 500-600Mmbps, te está dando lo que te tiene que dar.
  • La configuración de ese equipo no es muy buena. Partes de la configuración por defecto, pero tienes gazapos y configuraciones rarunas, especialmente en la parte firewall (filter + nat). Yo aprovecharía la recomendación que te doy a continuación para rehacer dicha configuración.

Mi recomendación: deja ese equipo de AP y compra otro hex-s, que configures desde cero, como router. O empieza por configurar bien el otro que ya tienes y, si te gusta el resultado, calcas la configuración en este nuevo que te digo que compres. Y el CRS déjalo haciendo lo que mejor sabe hacer; ser un switch.

Saludos!
 
Y en casa como tengo el HEX-s, que tengo en el firewall que me esta frenando??? ya que tengo la misma configuración de firewall en el.

Cuando llegue a casa restableceré el HEX-s y probare con la configuración por defecto, me puedo fiar de la configuración que me haga el Quick Set este de Winbox o es mejor hacerla a mano???

Y aquí en el almacén hare eso pillare un router nuevo y dejare este como AP como dices.

Gracias de nuevo
 
En el de casa, aparte de la configuración por defecto, todo lo que tienes que hacer es editar el bridge y ponerle el protocol-mode=none para que se active el hardware offloading y vaya a todo lo que da de sí.
Código:
/interface bridge set 0 protocol-mode=none

Aparte de eso, crear la VLAN de internet, meterla en la lista WAN y editar el cliente DHCP para que trabaje sobre la VLAN, en lugar de sobre el puerto físico. Doy por supuesto que lo conectas por ether1 a la ONT. El código, partiendo de la configuración que deja el quick set, sería este:
Código:
/interface vlan
add interface=ether1 name=internet vlan-id=20
/interface list member
add interface=internet list=WAN
/ip dhcp-client
set 0 interface=internet

Prueba con eso, y me dices. No toques nada más.

Saludos!
 
Perdón por tardar en contestar, pero hasta el finde no he podido meterle mano.

Muchas Gracias, tal cual me has dicho con la configuración por defecto y los 4 toque que me has dado funciona perfecto, entre 850-900 Mb/s.

De echo he intentado hacer yo la configuración a mano y nada, no se que meterá mas la configuración por defecto pero es la que mejor me ha ido.

En el almacén hare lo que me dijiste comprare un router y el CRS lo utilizare de AP

Muchas Gracias de nuevo.
 
Arriba