Загрузка CPU на Mikrotik?

Question

[MrFlatman]

Недавно обзавелись Mikrotik`ом 2011, для небольшой корпоративной сети по советам его должно хватать с головой. Сейчас заметил что в момент он загружается на 100% (CPU) в torch в основном 53 порт и 443 порт. Если по инструкции, как в интернете рассказывают сделать настройку для помещения таких запросов в спец.лист, чем это грозит? не возникнет ли проблем с каким-то ПО?

Comments

[Valentin Barbolin]

Что показывает /tools/Profile ?

[MrFlatman]

, как по мне ничего такого криминального...

Answer 1

[brar]

1 .Что значит в момент? Сколько активных хостов в сети?
2. Учитывая, что 2011 это старая модель. Возможно, какой-от элемент на плате перестал выдавать номенклатурные значения.
3. Для тестов удалите (отключите) все правила в файрволе. Также, можете создать единственное правило fasttrack (оно значительно снижает нагрузку на cpu). Посмотрите на поведение процессора при таких настройках.

Comments

[MrFlatman]

В "момент" может работать несколько часов с нагрузкой в 6-11%, а потом в резко 100%

Answer 2

[akelsey]

Микротик то сами настраивали или нет? Смотрите DNS - вдруг там настроен DOH на cloudflare, иногда по какой-то причине начинает работать не стабильно, и грузит роутер на 70% hap ac2. Логи тоже смотрите, что-то все равно должно проявится.

Comments

[MrFlatman]

Да, сам, через Quick Set. В настройках DNS не стоит галка DOH

Answer 3

[Drno]

На микротике белый IP ?
У Вас случайно не открыты порты DNS и 443 во вне?

Comments

[MrFlatman]

Да, IP белый, а как можно просмотреть открытые порты?

[Drno]

MrFlatman, ну если блокирующих правил фаервола нет, то всё открыто...

[MrFlatman]

Drno, только такие правила есть и все

[Drno]

MrFlatman, сделай блокирующее правило на 53 порт. в самый низ

[MrFlatman]

Drno, уже сделал, но у меня еще стоит такая настройка DNS. это от провайдера IPшка, он давал ДНС при настройке, но при создании правила с 53 портом, в Torch есть запросы, но Adress List они не падают

[Drno]

MrFlatman, input - 53 порт - block и в самый низ
то что ты показываешь - это настройки DNS сервера для микротика

[MrFlatman]

Drno, вот так?

Answer 4

[Niko_F]

https://i.imgur.com/h6I3USP.png снимите галку allow remote request - проверьте что нагрузка уйдет
Добавьте правило, адрес лист на локальные сети
/ip firewall address-list
add address=10.0.0.0/8 list=LocalNetwork
и второе разрешить DNS только для локальных адресов
;;; Allow only internal DNS requests
/ip firewall filter
add action=drop chain=input comment="Allow only internal DNS requests" dst-port=53 protocol=udp src-address-list=!LocalNetwork

Comments

[MrFlatman]

Если я снимаю галочку с allow remote request то вообще ни одна страница не загружается

[Niko_F]

есть два варианта: либо не заморачиваемся на роутере и выдаём всем DNSы провайдера/гугла/яндекса/1.1.1.1/другие внешние
либо выдаём адрес роутера, на роутере разрешаем Allow Remote Requests, а в фильтре фаервола открываем доступ к роутеру по 53-му порту UDP, можно и TCP, но уже по желанию, только для локалки (чтобы атаки DNS Amplification из Интернета не пролезли

[MrFlatman]

Niko_F, если только для локалки открыть доступ к 53 порту, какие будут последствия, и как его открыть только для локалки?

[MrFlatman]

Niko_F, я еще дополнительно добавил настройку в фаервола, во вкладке "Action" accept
правильно ли это?

[Niko_F]

правила в фаерволе я написал выше , делаете или-или:
или открываете доступ allow и тогда фаервол вам необходим

или если не хотите настраивать фаервол, то пушьте клиентам через dhcp адреса DNS либо провайдера/гугла/яндекса/1.1.1.1/другие внешние

никаких последствий , кроме тех которые у вас сейчас

[Niko_F]

MrFlatman, оно должно стоять в нужном месте

[MrFlatman]

Niko_F, сейчас в таком порядке у меня стоит