Низкая скорость портов на routeros?

Question

[Bermut]

В proxmox стоит routeros, к нему через мост подключены 4 физических гигабитных порта, эти порты подключены к dgs1500-28, весь нетаргетированный траффик - lanBR в конфигурации, pubBR - 4 точки доступа в разных vlan по итогу обьеденины в мост, и serverBR - каждая машина в своем vlan, если прогнать iperf3 между любым сервером, и lan, то получаю максимум ~650мбит, сюдя по потреблениям ресурсов, процессор нагружен на 31 процент во время теста, в чем может быть проблема? Как можно оптимизировать firewall?
/export compact - https://paste.ee/p/tvOps

Answer 1

[dalvinhack]

а почему в фаерволе на input и forward нет правил established, related?

Answer 2

[Lvlntn]

Я сталкивался с точно такой же ситуацией, скорость реально сильно резало, примерно на треть, причём по разному пробовал, даже при простом бридже с пустыми правилами, подозреваю это какой-то баг при работе routeros на проксмоксе. Так же были фантомные глюки типо неправильное срабатывание правил файрволла, которые решались только ребутом виртуалки. По итогу плюнул, снес routeros и нужные правила настроил штатными средствами проксмокса и iptables

Answer 3

[kprohorow]

Fasttrack включите для established и related пакетов в цепочке forward. И такое же правило с действием accept для фолбека. Правило с fasttrack поднять повыше других.

Так же лучше использовать adress-list по возможности максимально.

Кое-что вообще можно вынести в raw но аккуратно.

Comments

[kprohorow]

Фаервол конечно очень длинный ...