Микротик CCR1009-8G-1C настройка

Возникла такая проблема, в офисе стоял микротик RB1100AHx2( чисто для выхода в интернет,WAN- 100Mb по меди, примерно 100 пользователей в одной сети) , открылся еще один офис, решил этот переставить туда, а в офис поставить CCR1009-8G-1S, есть возможность подключиться к провайдеру по оптике.
Настроил CCR1009-8G-1S также как RB1100AHx2, подключил 1009, но страницы в интернете стали загружаться с задержкой в 1-4 сек, заходишь на сайт там все бегает прекрасно, speedtest показывает 3mc/86Mb/77Mb, вернул 1100 все ОК. При работе CCR1009-8G-1S нагрузка CPU ~1-3%, на WAN провайдера не больше 60 Mbps. Перерыл кучу сайтов ничего не помогло. Помогите плиз.

 

Конфиг самый простой

Код:

Flags: X - disabled, R - running, S - slave
#  NAME  MTU MAC-ADDRESS  ARP  MASTER-PORT  SWITCH
0 R  ;;; Local Net
  ether1...  1500 XX:XX:XX:XX:XX:50 enabled  none  switch1
1  ether2  1500 XX:XX:XX:XX:XX:53 enabled  none  switch1
2  ether3  1500 XX:XX:XX:XX:XX:54 enabled  none  switch1
3  ether4  1500 XX:XX:XX:XX:XX:55 enabled  none  switch1
4 R  ;;; Inet
  ether5...  1500 XX:XX:XX:XX:XX:52 enabled  none
5  ether6...  1500 XX:XX:XX:XX:XX:57 enabled  none
6  ether7...  1500 XX:XX:XX:XX:XX:58 enabled  none
7  ether8  1500 XX:XX:XX:XX:XX:59 enabled  none
8 X  sfp1  1500 XX:XX:XX:XX:XX:51 enabled  none


/ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0  ;;; Drop invalid connection packets
  chain=forward action=drop connection-state=invalid log=no log-prefix=""
1  ;;; Allow established connections
  chain=forward action=accept connection-state=established log=no log-prefix=""
2  ;;; Allow related connections
  chain=forward action=accept connection-state=established,related log=no log-prefix=""
3  ;;; Allow UDP
  chain=forward action=accept connection-state=related protocol=udp log=no log-prefix=""
4  ;;; Allow ICMP Ping
  chain=forward action=accept protocol=igmp log=no log-prefix=""
5  ;;; Allow all for admin
  chain=forward action=accept dst-address=192.168.1.222 log=no log-prefix=""
6  ;;; Allow all for admin
  chain=forward action=accept scr-address=192.168.1.222 log=no log-prefix=""
7  ;;; Allow http for ftp
  chain=forward action=accept protocol=tcp dst-address=192.168.1.250
  log=no log-prefix=""
8  ;;; Min for LAn
  chain=forward action=accept protocol=tcp src-address=192.168.1.1-192.168.1.253 dst-port=21,25,80,110,143,443,465,587,993,995,4430,5190,5222 log=no log-prefix=""
9  ;;; drop All
  chain=forward action=drop log=no log-prefix=""

/ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0  ;;; All to Inet
  chain=srcnat action=masquerade src-address=192.168.1.0/24
  out-interface=ether5-Wan log=no log-prefix=""

1  ;;; Allow http for ftp (in)
  chain=dstnat action=dst-nat to-addresses=192.168.1.250 to-ports=0-65535
  protocol=tcp dst-address=XXX.XXX.XXX.82
  dst-port=443,8080,21,22,9091,45000-55000 log=no log-prefix=""

2  ;;; Allow http for Winbox
  chain=dstnat action=dst-nat to-addresses=192.168.1.8 to-ports=0-65535
  protocol=tcp dst-address=XXX.XXX.XXX.82 dst-port=8291 log=no
  log-prefix=""

3  ;;; Allow http for RDP
  chain=dstnat action=dst-nat to-addresses=192.168.1.250 to-ports=0-65535
  protocol=tcp dst-address=XXX.XXX.XXX.82 dst-port=3389 log=no
  log-prefix=""


/ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
#  DST-ADDRESS  PREF-SRC  GATEWAY  DISTANCE
0 A S  ;;; To Inet All IP
  0.0.0.0/0  XXX.XXX.XXX..1  1
1 ADC  XXX.XXX.XXX.0/24  XXX.XXX.XXX.82  ether5-Wan  0
2 ADC  192.168.1.0/24  192.168.1.8  ether1-Lan  0

> /ip dns print
  servers: 217.195.65.9,217.195.66.253
  dynamic-servers:
  allow-remote-requests: no
  max-udp-packet-size: 4096
  query-server-timeout: 2s
  query-total-timeout: 10s
  cache-size: 2048KiB
  cache-max-ttl: 1w
  cache-used: 9KiB

 

Микротик CCR1009-8G-1S

MikroTik RouterOS 6.25

Firmware 3.21

Код:

[user@MikroTik] >  /export
# apr/03/2015 11:28:08 by RouterOS 6.25
/interface bridge
add disabled=yes name=bridge1
/interface ethernet
set [ find default-name=ether1 ] comment="Local Net" mac-address=xx:xx:xx:xx:xx:50 name=ether1-Lan
set [ find default-name=ether5 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full comment=Inet mac-address=xx:xx:xx:xx:xx:52 name=ether5-Wan
set [ find default-name=ether6 ] disabled=yes
set [ find default-name=ether7 ] disabled=yes
set [ find default-name=sfp1 ] disabled=yes
/ip neighbor discovery
set ether1-Lan comment="Local Net" discover=no
set ether3 discover=no
set ether4 discover=no
set ether5-Wan comment=Inet discover=no
set ether6 discover=no
set ether7 discover=no
set ether8 discover=no
set sfp1 discover=no
set bridge1 discover=no
/port
set 0 name=serial0
set 1 name=serial1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5-Wan
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=sfp1
add bridge=bridge1 interface=ether1-Lan
/ip address
add address=XX.XX.XX.82/24 comment=Internet interface=ether5-Wan network=XX.XX.XX.0
add address=192.168.1.8/24 comment="Local Network" interface=ether1-Lan network=192.168.1.0
/ip dns
set servers=217.195.65.9,217.195.66.253
/ip firewall filter
add action=drop chain=forward comment="Drop invalid connection packets" connection-state=invalid
add chain=forward comment="Allow established connections" connection-state=established
add chain=forward comment="Allow related connections" connection-state=established,related
add chain=forward comment="Allow UDP" connection-state=related protocol=udp
add chain=forward comment="Allow ICMP Ping" protocol=igmp
add chain=forward comment="Allow all for admin" dst-address=192.168.1.222
add chain=forward comment="Allow all for admin" src-address=192.168.1.222
add chain=forward comment="Allow http for ftp" dst-address=192.168.1.250 protocol=tcp
add chain=forward comment="Allow http for ftp" protocol=tcp src-address=192.168.1.250
add chain=forward comment="Min for LAn" dst-port=21,25,80,110,143,443,465,587,993,995,4430,5190,5222 protocol=tcp src-address=192.168.1.1-192.168.1.253
add action=drop chain=forward comment="drop All"
/ip firewall nat
add action=masquerade chain=srcnat comment="All to Inet" out-interface=ether5-Wan src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="Allow http for ftp (in)" dst-address=XX.XX.XX.82 dst-port=443,8080,21,22,9091,45000-55000 protocol=tcp to-addresses=192.168.1.250 to-ports=0-65535
add action=dst-nat chain=dstnat comment="Allow http for Winbox" dst-address=XX.XX.XX.82 dst-port=8291 protocol=tcp to-addresses=192.168.1.8 to-ports=0-65535
add action=dst-nat chain=dstnat comment="Allow http for RDP" dst-address=XX.XX.XX.82 dst-port=3389 protocol=tcp to-addresses=192.168.1.250 to-ports=0-65535
add action=dst-nat chain=dstnat comment="Allow http for MAIL" dst-address=XX.XX.XX.15 dst-port=143,993,110,995,25,587,465 protocol=tcp to-addresses=192.168.1.2 to-ports=0-65535
/ip route
add check-gateway=ping comment="To Inet All IP" distance=1 gateway=XX.XX.XX.1
/ip smb
set domain=VISKO
/ipv6 firewall filter
add action=drop chain=input comment="Block any Input" src-address=::/0
add action=drop chain=output comment="Block any Output" dst-address=::/0
/system clock
set time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=192.168.1.253
/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR
[user@MikroTik] >

 

Я конечно попробую,но разве
interface bridge add disabled=yes (вроде он отключен)

 

Два внутренних сервера на WS2008
192.168.1.253 DC
192.168.1.220 доп DC

 

На локальных ПК или в микротике?

 

на локальной машине прописал первым DNS 8.8.8.8 вроде стало быстрее, но вопрос остался почему на RB1100AHx2 все летает а на CCR1009-8G-1S тормозит . Может к теме не относится но машины на W7-W8-W8.1 при входе в папку "сеть" периодически не показывают все пк, после нажатия "обновить" идет пересканирование и пк появляются может где-то здесь собака зарыта. Сеть с AD на основном DC (WS2008) Поднят DHCP, DNS, WINS все работало OK, после замены с RB1100AHx2 на CCR1009-8G-1S начались тормоза интернета

 

пересылка только на второй доп.сервер DC, в корневых ссылках только стандартные настройки.

 

Появилась свободная минутка, покопался с настройками, кажется нашел причину тормозов
в микротике: в /IP DNS обязательно поставить allow-remote-requests: yes
на Win сервере в DNS в свойствах сервера в закладке пересылка указать внутренний адрес
микротика (192.168.1.8 )

 

так
ip firewall filter add chain=input dst-address=xx.xx.xx.xx protocol=udp dst-port=53 action=drop
Где xx.xx.xx.xx внешний ip