Низкая скорость RDP

Тема в разделе "Вопросы начинающих", создана пользователем ark29r, 24 дек 2018.

  1. ark29r

    ark29r Новый участник

    hAP ac lite используется для выхода в интернет в небольшой конторе.
    локальная сеть была подключена к нему через 3 шлюза, все работало идеально рдп при подклчюении с домашней машники в локальную сеть выдавало 50 мегабит по тарифу.
    убрали один шлюз за ненадобностью и появились проблемы при подключении по RDP с удаленных машинок. по рдп максимум теперь выжимается 5 мегабит.
    в чем может быть проблема ?
    сейчас при паралельно подключеном untangle подключение через него выдает скорость 10-15 мегабит. проброс через локалку 5 мегабит.

    примерная схема сети:
    Untitled Diagram(1).jpg
    конфиг:
    https://pastebin.com/WLy0D4SV
    Код:
    # dec/24/2018 15:22:41 by RouterOS 6.43.4
    # model = RouterBOARD 952Ui-5ac2nD
    /interface bridge
    add fast-forward=no mtu=1500 name=wifi_bridge
    /interface ethernet
    set [ find default-name=ether1 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether2 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full Name=ether2-master
    set [ find default-name=ether3 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether4 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    set [ find default-name=ether5 ] advertise=\
        10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
    /interface pppoe-client
    add add-default-route=yes default-route-distance=2 dial-on-demand=yes \
        disabled=no interface=ether1 max-mtu=1480 name=pppoe-out1 password=rt \
        use-peer-dns=yes user=rt
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \
        disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=***** \
        wireless-protocol=802.11
    set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40mhz-Ce \
        disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=***** \
        wireless-protocol=802.11
    /interface list
    add name=WAN
    add name=LAN
    /interface wireless security-profiles
    set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk mode=\
        dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=\
        "*****" wpa2-pre-shared-key="*****"
    /ip hotspot profile
    set [ find default=yes ] html-directory=flash/hotspot
    /ip ipsec proposal
    set [ find default=yes ] disabled=yes
    /ip pool
    add name=dhcp25 ranges=172.16.25.2-172.16.25.254
    add name=dhcp24 ranges=172.16.24.10-172.16.24.254
    add name=dhcp23 ranges=172.16.23.10-172.16.23.254
    /ip dhcp-server
    add address-pool=dhcp24 authoritative=after-2sec-delay disabled=no interface=\
        wifi_bridge name=server1
    add address-pool=dhcp23 authoritative=after-2sec-delay disabled=no interface=\
        ether3 name=server2
    /port
    set 0 baud-rate=9600 data-bits=8 flow-control=none name=usb1 parity=none \
        stop-bits=1
    /ppp profile
    add change-tcp-mss=yes name=profile1 queue-type=ethernet-default \
        use-encryption=no use-upnp=no
    /routing bgp instance
    set default disabled=yes
    /routing ospf instance
    set [ find default=yes ] disabled=yes
    /snmp community
    set [ find default=yes ] addresses=0.0.0.0/0 read-access=no
    /system logging action
    set 0 memory-lines=500
    /interface bridge port
    add bridge=wifi_bridge interface=wlan1
    add bridge=wifi_bridge interface=wlan2
    add bridge=wifi_bridge interface=ether5
    add bridge=wifi_bridge interface=ether4
    /interface bridge settings
    set use-ip-firewall=yes
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /ip settings
    set accept-redirects=yes accept-source-route=yes allow-fast-path=no \
        tcp-syncookies=yes
    /interface l2tp-server server
    set enabled=yes ipsec-secret=***** max-mru=1440 max-mtu=1440 use-ipsec=yes
    /interface list member
    add interface=ether1 list=WAN
    add interface=pppoe-out1 list=WAN
    add interface=ether2-master list=LAN
    add interface=ether3 list=LAN
    /interface pptp-server server
    set default-profile=default enabled=yes max-mru=1480 max-mtu=1480
    /interface sstp-server server
    set default-profile=default-encryption
    /ip address
    add address=172.16.25.1/24 interface=ether2-master network=172.16.25.0
    add address=172.16.24.1/24 interface=wifi_bridge network=172.16.24.0
    add address=172.16.23.1/24 interface=ether3 network=172.16.23.0
    /ip dhcp-server network
    add address=172.16.23.0/24 dns-server=172.16.23.1,10.29.60.6,172.16.25.1 \
        gateway=172.16.23.1 netmask=24
    add address=172.16.24.0/24 dns-server=172.16.24.1,10.29.60.6,172.16.25.1 \
        gateway=172.16.24.1 netmask=24
    add address=172.16.25.0/24 gateway=172.16.25.1 netmask=24
    /ip dns
    set allow-remote-requests=yes
    /ip dns static
    add address=172.16.25.1 name=router
    /ip firewall filter
    add action=accept chain=input comment="accept established,related" \
        connection-state=established,related,untracked
    add action=drop chain=input comment=drop_invalid connection-state=invalid
    add action=accept chain=input comment="Accept ping" log=yes log-prefix=\
        pppping protocol=icmp
    add action=accept chain=input comment="Accept pptp from list work" dst-port=\
        1723 in-interface-list=WAN protocol=tcp src-address-list=work
    add action=accept chain=input comment="Accept home" in-interface-list=\
        WAN src-address-list=home
    add action=drop chain=input comment="Drop all from WAN" in-interface-list=WAN
    add action=reject chain=input comment="Drop multicast from LAN" disabled=yes \
        dst-address-type=broadcast,multicast in-interface=ether2-master \
        reject-with=icmp-network-unreachable
    add action=accept chain=forward comment="accept established,related" \
        connection-state=established,related,untracked
    add action=drop chain=forward comment="drop invalid" connection-state=invalid \
        log-prefix=fwdrop
    add action=accept chain=forward comment="Allow dstNAT" connection-nat-state=\
        dstnat connection-state=new
    add action=drop chain=forward comment="drop all from WAN" in-interface-list=\
        WAN
    add action=reject chain=forward comment=otkazat_vsem_wifi_krome_pppout \
        in-interface=wifi_bridge out-interface-list=!WAN reject-with=\
        icmp-host-unreachable
    add action=reject chain=forward in-interface-list=!WAN out-interface=\
        wifi_bridge reject-with=icmp-network-unreachable
    /ip firewall mangle
    add action=change-mss chain=forward disabled=yes log=yes log-prefix=mss1 \
        new-mss=1400 out-interface=pppoe-out1 passthrough=no protocol=tcp \
        tcp-flags=syn tcp-mss=1401-65535
    add action=change-mss chain=forward disabled=yes in-interface=pppoe-out1 log=\
        yes log-prefix=mss new-mss=1400 passthrough=no protocol=tcp tcp-flags=syn \
        tcp-mss=1401-65535
    /ip firewall nat
    add action=dst-nat chain=dstnat comment=RDP_home dst-port=9875 \
        in-interface-list=WAN protocol=tcp src-address-list=home \
        to-addresses=10.29.60.80 to-ports=3389
    add action=dst-nat chain=dstnat in-interface-list=WAN src-address=\
        217.118.78.103 to-addresses=172.16.24.244
    add action=dst-nat chain=dstnat disabled=yes dst-port=5060 in-interface-list=\
        WAN log=yes protocol=tcp to-addresses=10.29.60.26
    add action=dst-nat chain=dstnat disabled=yes dst-port=5060 in-interface-list=\
        WAN log=yes protocol=udp to-addresses=10.29.60.26
    add action=masquerade chain=srcnat comment="defconf: masquerade" \
        out-interface-list=WAN
    /ip firewall service-port
    set ftp disabled=yes
    set tftp disabled=yes
    set irc disabled=yes
    set h323 disabled=yes
    set sip disabled=yes
    set pptp disabled=yes
    set udplite disabled=yes
    set dccp disabled=yes
    set sctp disabled=yes
    /ip ipsec peer
    add address=0.0.0.0/0 auth-method=rsa-signature certificate=server disabled=\
        yes passive=yes remote-certificate=client1
    /ip ipsec policy
    set 0 disabled=yes
    /ip route
    add distance=1 dst-address=10.29.60.0/24 gateway=172.16.25.2
    /ip service
    set telnet disabled=yes
    set ftp disabled=yes
    set ssh disabled=yes
    set api disabled=yes
    set api-ssl disabled=yes
    /ip smb shares
    set [ find default=yes ] directory=/pub disabled=yes
    /routing bfd interface
    set [ find default=yes ] disabled=yes
    /routing rip
    set distribute-default=always redistribute-connected=yes redistribute-static=\
        yes
    /snmp
    set location=work
    /system clock
    set time-zone-name=Europe/Moscow
    /system package update
    set channel=release-candidate
    /system routerboard settings
    set silent-boot=no
    /tool bandwidth-server
    set authenticate=no enabled=no
    /tool graphing
    set store-every=hour
    /tool graphing interface
    add
    /tool graphing queue
    add
    /tool graphing resource
    add
    /tool mac-server
    set allowed-interface-list=none
    /tool mac-server mac-winbox
    set allowed-interface-list=none
    /tool mac-server ping
    set enabled=no
     
  2. Pavel N

    Pavel N Участник

    а до микротика метод подключения не поменялся ? остался прежний ? pppoe во всех трех случаях ?
    в качестве теста - /tools profile и глянуть кто именно тянет в низ производительность чтоб был объективный источник данных
    изменить схему и пустить трафик не через параллельный Untangle а напрямую и посмотреть где изменится

    увидев в конфиге SSTP и L2TP серверы решил что могли измениться технологии доступа извне (по сравнению с PPPoE).... но ... это только гадание на кофейной гуще

    unnangle судя по всему шлюз безопасности который анализировал у себя трафик и по сути был конечным получателем пакетов извне у которых был маленький размер после PPPoE и туннелей Он накапливал в буфере анализировал а дальше внутри порождал трафик ОТ себя до сервера терминалов или рабочего компа и там пакеты были полноценные не фрагментированные, с нормальным TCP_MSS и вот это повышало скорость работы туннелей и каналов по которым шел трафик
    переведя схему в первый (верхний вариант) ты получил много мелких пакетов гуляющих по туннелю+фрагменты от больших пакетов .... может быть в этом причина
    Но что не могу объяснить так это среднюю схему почему вырос проходящий трафик при параллельном подключении Untangle ведь он фактически для RDP трафика соответствует схеме снизу ... при которой было 50 ... объяснения нет
     
    Последнее редактирование: 24 дек 2018
  3. ark29r

    ark29r Новый участник

    ничего не менялось кроме того что убрали унтангл.
    а куча левых настроек на микротике это бесполезные попытки перебора всего что получилось найти дабы разобраться в проблеме.
    при тормозящем рдп проц не грузится почти. когда траффик гонится через унтангл при гдето 20 мегабит, то бывает до 20% загрузка.
    но вроде как это нормально для этой модели роутера.
    серваки поднимал чтобы проверить будет ли работать если подключиться через впн тунель. так же тормозит.
    так средняя схема это тестовый вариант, объединяющий крайние схемы. поставил сравнить чтобы было все наглядно.
    Код:
    add action=dst-nat chain=dstnat dst-port=9875 in-interface-list=WAN protocol=tcp src-address-list=home to-addresses=10.29.60.80 to-ports=3389
    add action=dst-nat chain=dstnat dst-port=3389 in-interface-list=WAN protocol=tcp src-address-list=home to-addresses=172.16.24.244
    сейчас можно подключиться с домашней машинки на работу по одному из этих двух портов и трафик в одном случае идет через локалку, в другом через дополнительный маршрутизатор
    на одном скорость <5 мегабит. на другом больше 20>.
    50 оно кстати не выдает. но 20+ уже в разы комфортней для работы. как минимум нет слайдшоу вместо картинки.

    и как заставить микротик делать тоже самое ?)
     
  4. Pavel N

    Pavel N Участник

    я так и понял но не меняет моего понимания почему скорость изменилась
    по логике через untangle в середине маршрут идет так-же как и схеме снизу (адреса другие но это не принципиально)

    Не знаю, у меня нет готового ответа хоть на подобную тему вопросы задавал но ни разу ответа пока не получил

    Я потом гляну на сайте производителя процы которые в Hap AC lite и RB2011, 951U, 951-2n думаю что плюс минус они одинаковы
    и высоких показателей по шифрованному каналу через хорошее шифрование не добиться

    Если 20% процессор значит затык не в нем, а кто следующий по цифрам следом за процессором в профилировании ?

    Ради попытки - попробуй поменять TCPMSS на заведомо маленькое число для туннеля
    у меня это выглядит вот так в Mangle:
    0 ;;; Must Have!!!!
    chain=forward action=change-mss new-mss=1300 passthrough=no tcp-flags=syn
    protocol=tcp out-interface=ether1-Wan1 tcp-mss=1301-65535 log=no
    log-prefix=""

    1 ;;; Must Have!!!!
    chain=forward action=change-mss new-mss=1300 passthrough=no tcp-flags=syn
    protocol=tcp in-interface=ether1-Wan1 tcp-mss=1301-65535 log=no
    log-prefix=""

    Адаптируй под свои настройки - вдруг ???
     
  5. ark29r

    ark29r Новый участник

    пробовал разные значения, не помогает.
    для этой же цели и поднимал впн сервак для обоих машинок, чтобы размер пакета у них был один. тоже не помогло.
    менеджмент и вайфай
    нашел в микротике некий packing. но он требует второй микротик :/
    ну не факт. у меня есть еще hap lite. так вот он конфиг файл выгружает пару минут, когда hap ac lite это делает за секунды.

    зы: вот еще вспомнил что сетка то может и не виновата, т.к. если подключить комп напрямую в микротик, то рдп также медленно работает Х_х
     
    Последнее редактирование: 25 дек 2018
  6. Pavel N

    Pavel N Участник

    тоже хотел предложить для теста чтоб исключить влияние хвоста за микротиком
     
  7. ark29r

    ark29r Новый участник

    проблема только с доступом через интернет. если подрубить любой компьютер к микротику, то с него в локалку рдп идет идеально.
     
  8. Pavel N

    Pavel N Участник

    доступ извне идет по туннелю ?? или пробросом портов ?
    попробуй сравнить влияет ли туннель в этом моменте при доступе извне
    ясное дело что это только на время теста
     
  9. ark29r

    ark29r Новый участник

    нет. не влияет. выще ведь писал что поднимал впн на микротике и ничего :(
    впн с обоих машинок на микротик, впн только через интернет , ничего не меняется.
     
    Последнее редактирование: 25 дек 2018
  10. Pavel N

    Pavel N Участник

    ты не понял
    попробуй не через впн а прямым пробросом порта сравнить понятно что с впн тормозит
     
  11. ark29r

    ark29r Новый участник

    никаких впнов у меня нет. только пробросы из интернета в локалку через микротик.
    на картинке же написано что стоит проброс порта ...
    сам по себе впн не тормозит. самба через него летает на 50 мегабитах %)

    снифером посмотрел. смена мсс вроде как на размер пакета влияет, только толку от этого никакокого
     
    Последнее редактирование: 25 дек 2018
  12. Pavel N

    Pavel N Участник

    а размеры пакетов у RDP и у самбы - сильно отличаются ?? у этой модели производительность сильно зависит от размера пакетов
     
  13. ark29r

    ark29r Новый участник

    если я правильно все понял в снифере, то рдп шлет больше мелких пакетов нестандартных размеров.
    и если бы все упиралось в проихводительность то наверное бы проц грузился.
     
  14. Pavel N

    Pavel N Участник

    думаю что да