MikroTik hEX router: cómo limitar el ancho de banda en Ethernet

1

Tengo un enrutador MikroTik hEX que ejecuta RouterOS 6.4. eth1es mi puerto WAN

eth2está conectado a un enrutador Wi-Fi TP-Link. Todos los dispositivos en esta red Wi-Fi tienen direcciones en el rango 192.168.42.100 - 192.168.42.200. La puerta de enlace Wi-Fi en este enrutador es 192.168.42.254y el eth1en el enrutador TP-Link está conectado al MikroTik con una dirección de 192.168.88.10.

eth3está conectado a un enrutador Wi-Fi D-Link. Todos los dispositivos en esta red Wi-Fi tienen direcciones en el rango 192.168.84.100 - 192.168.84.132. La puerta de enlace Wi-Fi en este enrutador es 192.168.84.254y el eth1en el enrutador D-Link está conectado al MikroTik con una dirección de 192.168.88.11.

Todos los puertos en MikroTik están en un solo puente para que todos los dispositivos en la red (desde los dos enrutadores Wi-Fi diferentes) puedan verse entre sí.

He desactivado FastForward en el puente y he activado el firewall ip en el puente. También he deshabilitado la regla de firewall FastForward predeterminada.

Tengo una simple queueque especifica el límite de ancho de banda para las direcciones IP en el rango 192.168.84.0/24. Esta cola no funciona.

He tratado de eliminar eth3el MikroTik del puente, pero cuando hago esto, el MikroTik casi muere, el dispositivo deja de responder como si la CPU (o algo así) estuviera trabajando extremadamente duro.

Aquí hay una lista de las configuraciones relevantes. Todo lo que quiero hacer es limitar el ancho de banda de carga arriba / abajo en los dispositivos que vienen eth3.

Por lo que he leído en línea, probablemente tenga algo que ver con el puente, pero, como he dicho, cuando lo quito eth3del puente, el dispositivo deja de responder.

/interface print 
Flags: D - dynamic, X - disabled, R - running, S - slave 
 #     NAME                                TYPE       ACTUAL-MTU L2MTU  MAX-L2MTU MAC-ADDRESS      
 0  R  ether1-wan                          ether            1500  1596       2026 CC:2D:E0:68:E3:EE
 1  RS ether2-gw                           ether            1500  1596       2026 CC:2D:E0:68:E3:EF
 2  RS ether3-guest                        ether            1500  1596       2026 CC:2D:E0:68:E3:F0
 3   S ether4-vpn                          ether            1500  1596       2026 CC:2D:E0:68:E3:F1
 4   S ether5-direct                       ether            1500  1596       2026 CC:2D:E0:68:E3:F2
 5  R  ;;; defconf
       bridge                              bridge           1500  1596            CC:2D:E0:68:E3:EF
 6  R  pppoe-out1                          pppoe-out        1480

/interface bridge print 
Flags: X - disabled, R - running 
 0 R ;;; defconf
     name="bridge" mtu=auto actual-mtu=1500 l2mtu=1596 arp=enabled arp-timeout=auto mac-address=CC:2D:E0:68:E3:EF protocol-mode=rstp fast-forward=no igmp-snooping=no auto-mac=no admin-mac=CC:2D:E0:68:E3:EF 
     ageing-time=5m priority=0x8000 max-message-age=20s forward-delay=15s transmit-hold-count=6 vlan-filtering=no dhcp-snooping=no 

/ip address print 
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE
 0   192.168.88.2/24    192.168.88.0    ether2-gw
 1   192.168.88.5/24    192.168.88.0    ether5-direct
 2 D xxx.xxx.xx.x/32    xxx.xxx.xx.x    pppoe-out1
 3   192.168.88.3/24    192.168.88.0    ether3-guest
 4   192.168.88.4/24    192.168.88.0    ether4-vpn

/queue simple print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    name="quest-limit" target=192.168.84.0/24 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=512k/2M burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 
      bucket-size=0.1/0.1

/queue simple print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    name="quest-limit" target=192.168.84.0/24 parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=512k/2M burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 
      bucket-size=0.1/0.1

/ip route print 
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
 #      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
 0 ADS  0.0.0.0/0                          pppoe-out1                1
 1   S  192.168.21.0/24                    ether4-vpn                1
 2 A S  192.168.42.0/24                    ether2-gw                 1
 3 A S  192.168.84.0/24                    ether3-guest              1
 4 ADC  192.168.88.0/24    192.168.88.2    bridge                    0
 5 ADC  xxx.xxx.xx.x/32    xxx.xxx.xx.x   pppoe-out1           0

/ip firewall> filter print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked 

 1    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid 

 2    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp 

 3    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN 

 4    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec 

 5    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec 

 6 X  ;;; defconf: fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related log=no log-prefix="" 

 7    ;;; defconf: accept established,related, untracked
      chain=forward action=accept connection-state=established,related,untracked 

 8    ;;; defconf: drop invalid
      chain=forward action=drop connection-state=invalid 

 9    ;;; defconf:  drop all from WAN not DSTNATed
      chain=forward action=drop connection-state=new connection-nat-state=!dstnat in-interface-list=WAN
JP Dippenaar
fuente
El enrutador no está tratando con esos paquetes, el puente sí. A menos que seleccione una configuración diferente, esto no funcionará. Es posible que pueda establecer un límite de ancho de banda en los puertos de su conmutador, aunque nunca lo he intentado.
Daniel B
Hola @DanielB: gracias amablemente. Me he rendido. He probado todas las combinaciones de configuraciones de enrutamiento / puente / firewall que se me ocurren (dado mi conocimiento limitado) y no hay forma de que esto funcione. Terminé configurando mi Mikrotik como un simple puente a la WAN e implementé el límite de ancho de banda en el enrutador WiFi. No es lo ideal: no estoy seguro de que el enrutador WiFi tenga la misma potencia (recursos) que el MikroTik, pero está funcionando.
JP Dippenaar