Почему растет пинг до роутера Mikrotik от уст-в из локальной сети?

Question

[Eaglishee]

Доброго дня. Ситуация - RB3011UiAS в качестве маршрутизатора, около 150-200 устройств онлайн, примерно поровну PC, Принтеры, ТСД. Беспроводная сеть частично на CAPSMAN на этом же роутере, частично на сторонних точках доступа. На роутере есть бридж, к которому собственно и подключены почти все. Кроме этого ести три VLAN, VLAN созданы на базе LAN bridge, настроено несколько правил маршрутизации между вланами. Каждой подсети назначен отдельный DHCP - частично статика, частично динамика, настроена маркировка важных соединений (rdp,web и тп) и настроены очереди.
Простенький firewall. Ниже будет конфигурация полностью. Итак проблема собственно в чём: два года сидели на RouterOS6 long, но возникла необходимость в Wireguard (ну и новые типы очередей захотелось потыкать) - поставил Routeros7 Stable (на тек момент 7.20.6). Конфиг делал частично вручную - брал второй микротик и настраивал его по примеру старого на шестерке. Поменял шлюз на новый - на семёрке, все завелось, но спустя пару суток увидел следующее - пинг до роутера с локального пк (по проводу) вырос до 10мс и продолжает рости. Например после ребута пинг снова становится 1мс почти стабильно, но за 8 часов растет примерно на 2-3мс, линейно. Нагрузка на ЦПУ при этом не отличается кардинально. В Profile каких-то аномалий относительно только что перезагруженного роутера нет. Уже сталкивался с этой проблемой год назад, когда тоже пытался обновиться до 7рки, там вообще не следил за пингом - через неделю увидел, что до роутера пинг был 70-80мс. При этом до внешки и до устройств за ВПН пинг остается стабильным, не растет. Уже голову сломал, не пойму даже, куда копать. Прошу консультации у знающих людей, заранее благодарю за идеи.
Конфигурацию прикрепил на ЯДиск из-за ограничений в кол-ве символов :)
Конфигурация

Отмечу так же, что на RouterOS 6 такой проблемы не наблюдал, конифг был аналогичный, за исключением очередей и Wireguard.

Отключение очередей, Wireguard интерфейсов, очистка ARP, отключение правил Firewall результатов не дают. Fast Path не могу включить. Т.к. наличие более сложных очередей крайне необходимо в моём случае. Скорость прокачки не падает :). Для примера сейчас пинг с удаленной машины через ВПН до микротика 8-10мс, а до машины за микротиком 4-6. Такая вот дурка. Никакого способа обнулить пинг, кроме ребута шлюза пока так и не придумал.

UPD: замерил скорость ответа встроенного в шлюз DNS сервера, с ним полный порядок - время ответа по локалке в пределах 1мс

UPD: Потребление памяти тоже линейно растёт - скрин заббикса за 4 дня


UPD: На четвёртые сутки заметил, что отключение LAN_BRIDGE снижает время ответа с 127.0.0.1 до 127.0.0.1 с 40мс до 20. (пинг с внешних устройств не меняется). Также немного снижается потребление ОЗУ. Включение бриджа возвращает все показатели к изначальным (около 40мс и растёт). При этом отключение всех интерфейсов(кроме провайдера) и вланов, очистка ARP, не приводят к такому же результату.

UPD: аптайм 14 дней, пинг 68мс, с 127.0.0.1 на 127.0.0.1 х2 (135мс-140мс). Потребление ОЗУ 280мб (после перезапуска обычно 80-100мб). Планирую сделать чистую установку long term 7.20.7 с настройкой с нуля.

Comments

[Eaglishee]

Заранее отмечу, что отключение хоть всех правил firewall, хоть всех QOS очередей ни к чему не приводит, хоть и нагрузка на CPU снижается, пинг как был повышенный, так и остается. Выключение/Включение портов, бриджа ни к чему не приводит. Снизить пинг до 1мс помогает только ребут. Пинг самого микротика с микротика так же растет со временем.

[Юрий MikroTik]

Eaglishee, статистика CPU/ОЗУ есть?

[Eaglishee]

Юрий MikroTik, графиков по времени к сожалению нет, показатели profile:
Так же на скрине видно свободную ОЗУ.

Из замеченного со временем немного подрастает потребление Networking, примерно до 20 в среднем. Также уменьшалось кол-во свободной ОЗУ примерно до 850МБ. Это после двух суток аптайма (пинг до роутера 10мс)
Также Firewall>Connections 600-1200шт - норма

[Юрий MikroTik]

Eaglishee, сколько трафика под такой нагрузкой бегает?

[Eaglishee]

Юрий MikroTik, по провайдеру 50Мбит линк. В среднем суммарно потребление 20-30Мбит/с. По локальной сети между устройствами примерно те же показатели.

[Badimagination]

Вы пробовали отключать очереди, а вайргуард нет. ARP таблицу пробовали чистить? Кроме роста пинга скорость прокачки разве не падает? Можете ли включить Fast path на интерфейсах?

[Eaglishee]

Badimagination, Отключение очередей, Wireguard интерфейсов, очистка ARP, отключение правил Firewall результатов не дают. Fast Path не могу включить. Т.к. наличие более сложных очередей крайне необходимо в моём случае. Скорость прокачки не падает :). Для примера сейчас пинг с удаленной машины через ВПН до микротика и до машины за микротиком - до микротика 8мс, до машины 4-6мс. Такая вот дурка. Никакого способа обнулить пинг, кроме ребута шлюза пока так и не придумал.

[Badimagination]

А какие пинги c 192.168.1.1 на 192.168.1.1 (да, на самого себя)
с 192.168.1.1 на 10.1.2.1
с 10.1.3.1 на 10.1.2.1
с 11.0.4.16 на 192.168.1.1
с 10.1.3.1 на 10.1.3.1 (да, на самого себя)
и в конце концов 127.0.0.1
В общем надо понять, с какого уровня начинается проблема.
А ещё VLAN у Вас странный, бридж 192.168... содержит подVLAN-ы. Я понимаю что и так раньше работало, но всё же 192 лучше перенести в отдельный VLAN. Я бы посоветовал Вам погуглить как сертифицированные чуваки настраивают вланы на микротах.

[Wexter]

а чем вам лично мешает рост пинга роутера? для роутера ответы на ICMP имеют самый низкий приоритет в связи с чем пинг может быть каким угодно

[Eaglishee]

Badimagination, 192.168.1.1 -> 192.168.1.1 - 10-20мс скачки, чаще всего 15мс (видимо x2 от пинга с локального пк до шлюза)
Все остальные пинги аналогично

с ПК до шлюза в этот момент 7-8мс, подросло со вчерашнего дня :)

[Eaglishee]

Wexter, Лично мне мешает спокойному сну. Поясню: у меня отношение к шлюзу, как к устройству, которое должно стабильно работать годами, на RouterOS 6 с тем же конфигом аптайм составлял почти 500 суток, и то прервался долгосрочным отключением электричества. Моя главная задача - понять, в чем проблема, ответ "ответы на ICMP имеют наименьший приоритет" я бы принял, если бы время ответа действительно зависело бы от нагрузки, но в моём случае это время линейно растет примерно по 4-5мс в сутки независимо от нагрузки. Пока что это не вызывает проблем, но что произойдет, когда время вырастет до 100мс? А до 1000?

[Wexter]

Eaglishee, оно и не должно никак зависеть от нагрузки на процессор.
при 100 и 1000мс не произойдёт ничего. задача роутера - гонять пакеты по сети, а не выдавать пинги за минимальное время. если с прохождением трафика нет никаких проблем то и нет никакого смысла разгадывать тайну "высокого" пинга, просто роутер решил что ему важнее сейчас выполнить другие задачи

[Badimagination]

Eaglishee, чё, прям реально пинг на 127.0.0.1 с 127.0.0.1 тоже 10-20мс?

[Eaglishee]

Badimagination, Wexter , да, реально, роутер решил, что сейчас дела поважнее :)

[alephis]

Попробуйте другую версию 7.19 например. У меня например после перехода 7.20 куда-то утекает память 100мб в среднем за сутки, на hap ac2.
От этого, освободить память, иногда помогает запуск bt на локалхост, а иногда приводит к ребуту.
Если не забуду посмотрю, что с рингом.

[udaltsov]

Ну не сразу роутер отвечает на пинг и дальше что? Ответы на icmp сообщения это не приоритетная задача маршрутизатора. Основная задача как можно быстрее форвардить трафик.

[Eaglishee]

udaltsov, Ну неприятно, как минимум. Сейчас например пинг уже 68мс (две недели аптайма) + примерно 200мб озу утекло в неизвестном направлении и продолжают утекать. Нужна стабильность. На времени ответа ICMP, например, могут быть настроены уведомления от систем мониторинга. В общем попробую netinstall свежей long term прошивки (7.20.7) и настройку с нуля. Помониторим...

Answer 1

[mastertigr]

Возможно проблема версии, у вас же стоит самая новая прошивка, и возможно в ней еще не все отловили. Нужно попробовать дождаться 7.20.7 или 7.21

Answer 2

[Юрий MikroTik]

Я бы сделал netinstall на появившуюся Long-term версию и настроил с нуля.