Movistar 1gb RB760iGS

Buenas,

Tenemos montado en la empresa un RB760iGS en bridge y con la VPN activa usando la conexión de Movistar. Todo iba bien hasta el cambio de 600 a 1gb ha bajado a unos 80mbs, tanto en bajada como en subida. Siguiendo las indicaciones de @pokoyo en otro hilo, me aseguré que tenía el hardware offloading / fasstrack funcionando, así como el RSTP y IGMP Snooping desactivado, pero sigue sin funcionar a una velocidad decente.

Esta es la configuración que estamos usando:

Código:
# mar/01/2021 09:28:47 by RouterOS 6.48.1
#
# model = RB760iGS

/interface bridge
add admin-mac=******************* auto-mac=no comment=defconf name=bridge
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] comment=WIFI
/interface vlan
add interface=ether1 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 name=pppoe-out1 \
    password=adslppp use-peer-dns=yes user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.50-192.168.0.100
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/port
set 0 name=serial0
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/queue simple
add disabled=yes max-limit=0/5M name="q_limit NeT-OfficE" target=\
    192.168.0.0/24
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=******** use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf disabled=yes interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
add interface=vlan6 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.0.88/24 comment=LAN interface=ether2 network=192.168.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1

/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf gateway=192.168.0.88 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.88 comment=defconf name=router.lan

/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input disabled=yes dst-port=8291 protocol=tcp
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN log=yes
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN log=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24

/ppp secret
add name=********* password=******************
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

Se os ocurre qué puede estar fallando?

Saludos y gracias.
 
Última edición:
Algunas cosillas:
  • Ese equipo no está trabando en bridge y con la VPN activa. Está trabajando en modo router. En modo bridge es un mero switch con servicios adicionales. Pero ese equipo está trabajando en modo router a todos los efectos. Si además lo que tienes delante es un HGU en lugar de una ONT, lo podrías poner en modo monopuesto y ahorrarte la definición de la VLAN en el mikrotik
  • En el bridge principal, sigues sin trabajar con hardware offloading. Para hacerlo, has de deshabilitar el protocolo RSTP sobre el bridge. En tu caso, esa línea del export debería salir así:
    Código:
    /interface bridge
    add admin-mac=******************* auto-mac=no comment=defconf name=bridge protocol-mode=none
  • No uses simple queues si estás usando fasstrack, son incompatibles. Si quieres usar colas y prioridad de tráfico, tienes que quitar el fasstrack. Pero, si lo quitas, olvídate de coger la velocidad que comentas, puesto que todo el tráfico empezará a pasar por la cpu.
Saludos!
 
Algunas cosillas:
  • Ese equipo no está trabando en bridge y con la VPN activa. Está trabajando en modo router. En modo bridge es un mero switch con servicios adicionales. Pero ese equipo está trabajando en modo router a todos los efectos. Si además lo que tienes delante es un HGU en lugar de una ONT, lo podrías poner en modo monopuesto y ahorrarte la definición de la VLAN en el mikrotik
  • En el bridge principal, sigues sin trabajar con hardware offloading. Para hacerlo, has de deshabilitar el protocolo RSTP sobre el bridge. En tu caso, esa línea del export debería salir así:
    Código:
    /interface bridge
    add admin-mac=******************* auto-mac=no comment=defconf name=bridge protocol-mode=none
  • No uses simple queues si estás usando fasstrack, son incompatibles. Si quieres usar colas y prioridad de tráfico, tienes que quitar el fasstrack. Pero, si lo quitas, olvídate de coger la velocidad que comentas, puesto que todo el tráfico empezará a pasar por la cpu.
Saludos!
Pues si, está como router a todos los efectos jeje.

He hecho varios cambios siguiendo tus indicaciones pero sigue dando velocidad baja:

Código:
/interface bridge
add admin-mac=xxxxxxxxxxxxx:74:73 auto-mac=no comment=defconf name=bridge \
    protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
set [ find default-name=ether3 ] comment=WIFI
/interface vlan
add interface=ether1 name=vlan6 vlan-id=6
/interface pppoe-client
add add-default-route=yes disabled=no interface=vlan6 name=pppoe-out1 \
    password=adslppp use-peer-dns=yes user=adslppp@telefonicanetpa
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp ranges=192.168.0.50-192.168.0.100
add name=vpn ranges=192.168.89.2-192.168.89.255
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge name=defconf
/port
set 0 name=serial0
/ppp profile
set *FFFFFFFE local-address=192.168.89.1 remote-address=vpn
/user group
set full policy="local,telnet,ssh,ftp,reboot,read,write,policy,test,winbox,pas\
    sword,web,sniff,sensitive,api,romon,dude,tikapp"
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface l2tp-server server
set enabled=yes ipsec-secret=******* use-ipsec=yes
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf disabled=yes interface=ether1 list=WAN
add interface=pppoe-out1 list=WAN
add interface=vlan6 list=WAN
/interface pptp-server server
set enabled=yes
/interface sstp-server server
set default-profile=default-encryption enabled=yes
/ip address
add address=192.168.0.88/24 comment=LAN interface=ether2 network=192.168.0.0
/ip cloud
set ddns-enabled=yes
/ip dhcp-client
add comment=defconf interface=ether1
/ip dhcp-server lease

/ip dhcp-server network
add address=192.168.0.0/24 comment=defconf gateway=192.168.0.88 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.0.88 comment=defconf name=router.lan

/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=accept chain=input disabled=yes dst-port=8291 protocol=tcp
add action=accept chain=input comment="allow IPsec NAT" dst-port=4500 \
    protocol=udp
add action=accept chain=input comment="allow IKE" dst-port=500 protocol=udp
add action=accept chain=input comment="allow l2tp" dst-port=1701 protocol=udp
add action=accept chain=input comment="allow pptp" dst-port=1723 protocol=tcp
add action=accept chain=input comment="allow sstp" dst-port=443 protocol=tcp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN log=yes
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN log=yes
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" \
    ipsec-policy=out,none out-interface-list=WAN
add action=masquerade chain=srcnat comment="masq. vpn traffic" src-address=\
    192.168.89.0/24

/ppp secret
add name=***************** password=**********************
/system clock
set time-zone-name=Europe/Madrid
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
Gracias y un saludo
 
Edita el cliente PPPoE y ponle el MTU y MRU a 1492, que aproveches el tamaño máximo de paquete. En tu caso, quedaría así:
Código:
/interface pppoe-client add
    add-default-route=yes disabled=no interface=vlan6 name=pppoe-out1 \
    password=adslppp use-peer-dns=yes user=adslppp@telefonicanetpa \
    max-mru=1492 max-mtu=1492

Por otro lado, puedes borrar el cliente dhcp que tienes corriendo sobre ether1, que ya no pinta nada.

Prueba y me dices. Si ves que sigues teniendo problemas, tira el siguiente comando por consola (no lo repitas, hazlo una sola vez) y me das un pantallazo de los resultados. Es un servidor de pruebas de mikrotik, para hacer una prueba fuera de los speedtest y demás test ajenos.

Código:
/tool bandwidth-test address=23.162.144.120 user=btest password=btest duration=25s direction=both

Saludos!
 
Edita el cliente PPPoE y ponle el MTU y MRU a 1492, que aproveches el tamaño máximo de paquete. En tu caso, quedaría así:
Código:
/interface pppoe-client add
    add-default-route=yes disabled=no interface=vlan6 name=pppoe-out1 \
    password=adslppp use-peer-dns=yes user=adslppp@telefonicanetpa \
    max-mru=1492 max-mtu=1492

Por otro lado, puedes borrar el cliente dhcp que tienes corriendo sobre ether1, que ya no pinta nada.

Prueba y me dices. Si ves que sigues teniendo problemas, tira el siguiente comando por consola (no lo repitas, hazlo una sola vez) y me das un pantallazo de los resultados. Es un servidor de pruebas de mikrotik, para hacer una prueba fuera de los speedtest y demás test ajenos.

Código:
/tool bandwidth-test address=23.162.144.120 user=btest password=btest duration=25s direction=both

Saludos!
Gracias por tu respuesta ;-)

Cambio lo del cliente PPPoE y te digo.

El DHCP que tengo supongo que lo dices porque no hay nada pero borré todas las asignaciones IP por considerarlas irrelevantes para este tema.

Un saludo.
 
Última edición:
Te copio los resultados del test SIN cambiar lo del PPPoE.
03-03--2021_11-48-55.jpg

03-03--2021_11-48-31.jpg
 
Los datos a cambiar los tienes en la propia ventana del pantallazo que me mandas, ¿no los localizas por el nombre? Max MTU y Max MRU

Estás haciendo las pruebas contra un servidor de mierda, razón por la que tienes ese resultado. Cómo puedes ver en el resultado del bandwidth test contra un servidor público de mikrotik, estás chutandole novecientos y pico megas por segundo. Vamos, que vas a todo lo que da el chisme y la línea. Y tú router satura en local por cpu generando tráfico, razón por la cual el test de recepción te da cifras muy pobres (la manera buena de hacer un bandwidth test en mikrotik es poner tu router entre dos routers mikrotik y probar el tráfico que lo atraviesa, pero eso es más complicado hacerlo).

Por otro lado, las medidas que obtienes tan próximas a 100Mbps son altamente sospechosas, me da que pensar que el pc con el que estás haciendo las pruebas lo tienes es enganchado al router negociando a 10/100, en lugar de gigabit ethernet. Bien porque lo tengas conectado a un switch, bien porque el cable tenga algún hilo chungo, o por cualquier otra razón. Revísalo, porfa.

Pero descuida, que tu equipo está perfectamente y funciona a las mil maravillas. Si le quieres cambiar el mtu/mru por aprovechar el tamaño de paquete al máximo, cámbialo, pero incluso como lo tienes está bien.

Saludos!
 
Los datos a cambiar los tienes en la propia ventana del pantallazo que me mandas, ¿no los localizas por el nombre? Max MTU y Max MRU

Estás haciendo las pruebas contra un servidor de mierda, razón por la que tienes ese resultado. Cómo puedes ver en el resultado del bandwidth test contra un servidor público de mikrotik, estás chutandole novecientos y pico megas por segundo. Vamos, que vas a todo lo que da el chisme y la línea. Y tú router satura en local por cpu generando tráfico, razón por la cual el test de recepción te da cifras muy pobres (la manera buena de hacer un bandwidth test en mikrotik es poner tu router entre dos routers mikrotik y probar el tráfico que lo atraviesa, pero eso es más complicado hacerlo).

Por otro lado, las medidas que obtienes tan próximas a 100Mbps son altamente sospechosas, me da que pensar que el pc con el que estás haciendo las pruebas lo tienes es enganchado al router negociando a 10/100, en lugar de gigabit ethernet. Bien porque lo tengas conectado a un switch, bien porque el cable tenga algún hilo chungo, o por cualquier otra razón. Revísalo, porfa.

Pero descuida, que tu equipo está perfectamente y funciona a las mil maravillas. Si le quieres cambiar el mtu/mru por aprovechar el tamaño de paquete al máximo, cámbialo, pero incluso como lo tienes está bien.

Saludos!
Perdona, justo cuando me contestabas encontré cómo cambiar el valor del MTU y MRU.

Ahora con los nuevos valores he vuelto a hacer el test desde la consola del router pero ahora me dice que no puede conectar ¿es normal?

03-03--2021_12-13-42.jpg


Con respecto a los 100mbs es cierto que parece sospechoso. Las tarjetas no parecen tener problema y que yo sepa, no se ha tocado el cableado pero lo revisaré cuando vaya a la oficina

03-03--2021_12-11-16.jpg
 
Es normal que no te deje repetirlo, te meten en lista negra para que no abuses del servicio. Repítelo mañana.

Con respecto al equipo, yo probaría en un equipo sin bonding, con tarjeta gigabit ethernet y directamente conectado al router.

Saludos!
 
Es normal que no te deje repetirlo, te meten en lista negra para que no abuses del servicio. Repítelo mañana.

Con respecto al equipo, yo probaría en un equipo sin bonding, con tarjeta gigabit ethernet y directamente conectado al router.

Saludos!
Suponía lo del test.

Ese test es desde el servidor que está conectado al switch donde están todos los conectados, incluido el Mikrotik y un router Asus para dar Wifi. Creo que el bajón coincide con el cambio al 1Gb siméetrico, pero no lo se al 100%. Lo que está claro es que hay algún cuello de botella por algún lado.

Gracias y un saludo.
 
Suponía lo del test.

Ese test es desde el servidor que está conectado al switch donde están todos los conectados, incluido el Mikrotik y un router Asus para dar Wifi. Creo que el bajón coincide con el cambio al 1Gb siméetrico, pero no lo se al 100%. Lo que está claro es que hay algún cuello de botella por algún lado.

Gracias y un saludo.
Yo probaría conectado al router directamente, por eliminar chismes de las variables de posibles fallos. Por otro lado, revisa con ellos que la ONT que tienes te permita llegar a esa velocidad, las hay que están dando problemas.

Saludos!
 
Yo probaría conectado al router directamente, por eliminar chismes de las variables de posibles fallos. Por otro lado, revisa con ellos que la ONT que tienes te permita llegar a esa velocidad, las hay que están dando problemas.

Saludos!
Pues es tan antigua que ahora no recuerdo si tenemos HGU o una ONT. En cualquier caso, ¿cómo puedo solicitar que lo revisen? En otras ocasiones el soporte se lava las manos y pasa de ti si le dices que tienes un router neutro.

Saludos!
 
Pues es tan antigua que ahora no recuerdo si tenemos HGU o una ONT. En cualquier caso, ¿cómo puedo solicitar que lo revisen? En otras ocasiones el soporte se lava las manos y pasa de ti si le dices que tienes un router neutro.

Saludos!
Siempre les puedes pedir que te manden un HGU y ponerlo en monopuesto, alegando que con los equipos que tienes no llegas a la velocidad contratada.

Saludos!
 
Siempre les puedes pedir que te manden un HGU y ponerlo en monopuesto, alegando que con los equipos que tienes no llegas a la velocidad contratada.

Saludos!
Gracias Pokoyo. En el caso de conseguirla, ¿es enchufarla y listo?
 
Gracias Pokoyo. En el caso de conseguirla, ¿es enchufarla y listo?
Te mandarán a alguien a instalarlo. Te lo montarán en modo router. Una vez lo tengas en ese modo, sería pasarlo a monopuesto (de hace desde la consola de admin del router), y quitarle la gestión de la vlan al mikrotik, puesto que lo único que te haría falta en ese equipo sería manejar la conexión pppoe.

Otra opción, si sois empresa y la línea está contratada como tal, es que pidáis una ONT, alegando que tenéis vuestros propios equipos. A particulares no les hacen ni caso, pero si sois empresa es posible que la cosa cambie y os manden otra cosa.

Como tercera opción, es comprarla en Wallapop. Te recomendaría una Nokia g-010g-p, que las hay a patadas, son baratas y muy sencillas de configurar (meter la clave del gpon y listo).

Saludos!
 
Te mandarán a alguien a instalarlo. Te lo montarán en modo router. Una vez lo tengas en ese modo, sería pasarlo a monopuesto (de hace desde la consola de admin del router), y quitarle la gestión de la vlan al mikrotik, puesto que lo único que te haría falta en ese equipo sería manejar la conexión pppoe.

Otra opción, si sois empresa y la línea está contratada como tal, es que pidáis una ONT, alegando que tenéis vuestros propios equipos. A particulares no les hacen ni caso, pero si sois empresa es posible que la cosa cambie y os manden otra cosa.

Como tercera opción, es comprarla en Wallapop. Te recomendaría una Nokia g-010g-p, que las hay a patadas, son baratas y muy sencillas de configurar (meter la clave del gpon y listo).

Saludos!
Estupendo, gracias por la info. Creo que trataré de tirar por la opción de ONT y si no me hacen ni caso, la compramos.

Saludos y gracias!
 
Arriba