classic.ISPforum.cz

Ahoj,

poslední dobou sleduju vysoký Tx na WAN portu v našem hlavním routeru. Tx je ve špičce, mimo špičku vždy okolo hodnoty 100 - 130 mb/s. Přitom na LAN portu do naší sítě je reálný traffic na portu kolem 30 mb/s (dle denní doby samozřejmě). Jako router je použitý PC s mikrotikem a 2 síťovýma Intel kartama (WAN, LAN). Skoro mi přijde, jak když si ten odchozí traffic router generuje sám...

zde obrázek >>> http://www.imgup.cz/image/LjKW <<<

Věděl by někdo, kde mám hledat příčinu?
Díky moc.

Nemáš tam otevřený DNS resolver do světa?

Torch ti řekne co kam teče, stačí se mrknout...

Předpokládám že máš v DNS zaškrtnuté "allow remote requests". Pryč s tím.

zajímalo by mě kdy konečně po těch letech přibude kolonka kam bude možno vypsat povolené sítě tak jak se to normálně na jiných DNS nastavuje, tohle je fakt totálně na nic, vždy potom při zaškrtnutí musím dělat pravidélko ve FW pro WAN

Petr Bačina píše:Torch ti řekne co kam teče, stačí se mrknout...

Předpokládám že máš v DNS zaškrtnuté "allow remote requests". Pryč s tím.

dns.PNG

díky za odpověď. Pokud odškrtnu allow remote requests, traffic zmizí, ale nedostanu se na internet. Předpokládám, že je nějaké pravidlo do firewallu, aby fungovalo DNS i s odškrtnutým tlačítkem...?

/ip firewall filter>
add chain=input action=drop protocol=udp src-address-list=!POVOLENE in-interface=ether1 dst-port=53

pngi píše:díky za odpověď. Pokud odškrtnu allow remote requests, traffic zmizí, ale nedostanu se na internet. Předpokládám, že je nějaké pravidlo do firewallu, aby fungovalo DNS i s odškrtnutým tlačítkem...?

Pokud všude přiděluješ jako DNS IP routeru, tak je jasné, že to lehne. Doporučuji přidělovat jiné DNS, buď vlastní nebo třeba Google/CZ.nic/ atd. A přidělování přímo až na koncových DHCP ke klientům. Allow remote request necháváme maximálně na SXT, ale SXT dostane naše DNS mimo hlavní router.

Případně si to můžeš nechat, ale musíš odříznout DNS požadavky z venku, viz. Bach

Funguje, děkuju