Mikrotik загрузка CPU 100%

[qwerty 1]

Приветствую, имеется RB2011iLS в нему подключены 25 юзеров, но при этом на роутере постоянно загрузка CPU 100%, к роутеру в один интерфейс подключен rocket в режиме AP, т.е весь трафик идет к примеру через eth2, юзерам раздаю по 5mb инета(тоже прилично по поим меркам).

 

На роутере запущен, PPPOE, DHCP и все.

 

вот инфа о железке

   uptime: 11h48m18s
                  version: 6.12
               build-time: Apr/14/2014 09:27:45
              free-memory: 20.4MiB
             total-memory: 64.0MiB
                      cpu: MIPS 74Kc V4.12
                cpu-count: 1
            cpu-frequency: 600MHz
                 cpu-load: 100%
           free-hdd-space: 77.0MiB
          total-hdd-space: 128.0MiB
  write-sect-since-reboot: 613012
         write-sect-total: 18567094
               bad-blocks: 0%
        architecture-name: mipsbe
               board-name: RB2011iLS
                 platform: MikroTik

[zulu_Radist 856]

сделай скрин tools-profile

[bat22 2]

Проверь включено ли шифрование и сжатие в профиле PPPoE, попробуй отключить если позволяет провайдер.

А вообще посмотри в Tools=>Profile кто грузит чип...

[skyll 1]

Было такое на БС (маскарад, пппое), перешить его, в моем случае такое стало после обновления прошивки, пришлось вернуть на старую и после этого все стало нормально работать.

[maLlna 0]

Попробуй подивитися в сторону DNS  зніми галочку з  Allow Remote Requests. Можливо твій сервер ДНС використовують для атак.

[holubets 43]

Подивися ще логи. Можливо твій роутер пробують зламати шляхом підбору логіна пароля через (телнет, ссш чи фтп).

І глянь ще на діаграму загрузки процесора. Можливо вдастся знайти залежність коли саме і від чого росте нагрузка на процесор (<Mikrotik_IP>/graphs/cpu/)

[qwerty 1]

сделай скрин tools-profile

 

 

[aladar13 2]

а что за процесс flash ?

[qwerty 1]

/tool graphing interface add allow-address=0.0.0.0/0 disabled=no interface=all store-on-disk=no

Вроде спасло, насколько я понимаю запрещает рисовать графики системе и сохранять их на флеш(единственное не пойму куда он их писал на встроенную память? так как у меня usb порт там 100% свободен)

 

Но теперь другой косят процесс idle занимает это процессорное время)) пишут что беда в торентах.

[l1ght 377]

idle - это просто простой процессора, вот как в винде - бездействие процессора, то есть сколько свободно.

[CJIABA 23]

обратите внимание на ДНС, похоже вас долбят запросами запретите на внешнем интерфейсе.

[Ajar 93]

dns + logging to disk

[qwerty 1]

обратите внимание на ДНС, похоже вас долбят запросами запретите на внешнем интерфейсе.

Единственное я не пойму, для того что бы они отправляли запросы на мой  внешний интерфейс у меня должен быть DNS сервер который 53 портом сморит в мир же? а у меня он за NAT, или я что то не понимаю?

[CJIABA 23]

Походу он получается открытый, у самого была такая фигня, 750 микротики стоят на базах и имеют белые адреса тоже одно время грузились до 100 процентов. Закройте 53 порт на входящем интерфейсе(на вашем скрине видна большая загрузка ДНС)

[qwerty 1]

Закрыть то закрою, имеет важность узнать кто такой вредитель еще(если китайцы то еще норм), попробую отпишусь.

[CJIABA 23]

add action=reject chain=input comment="block DNS" dst-port=53 in-interface=\WAN protocol=udp, вот такое правило мне помогло. Ради спортивного интереса только что выключил на одном микротике, загрузка проца до 70%

Edited 2014-06-05 09:55:35 by osp75

[qwerty 1]

Да так и сделал, единственный момент... у меня микротик работалоколо года без этих правил(настроек) и все было нормально, после обновил прошивку и началось может совпадение или хз.....

[Ромка 567]

Да так и сделал, единственный момент... у меня микротик работалоколо года без этих правил(настроек) и все было нормально, после обновил прошивку и началось может совпадение или хз.....

Нет, это не совпадение, это дырень в DNS сервере в новых прошивках.

[qwerty 1]

Потестил с новой прошивкой(и с теми настройками которые я внес)... результат практически тот же... процессорное время 100% всегда занятое... и опять процесс flash  занимает 40-60% ресурсов, какие еще моменты глянуть в сети? вроде ssh,ftp никто не брутит как из мира так из за Nat, какие еще моменты глянуть? или обратить внимание? может бок в самом железе каким то образом?

[skyll 1]

я уже писал выше, такая же хрень была после прошивки, поставил более позднюю, все нормализовалось, потом рискнул поставил опять последнюю все без косяков начало работать.

[qwerty 1]

Была 6.12, сейчас поставил 6.13, проблема сохранилась.

 

Еще интересует момент когда пользователи не могу пройти авторизацию по pppoe при использовании 100% верных логино и паролей, ну после 3-5 раз авторизацию пройти удается, скажите увеличение в настройках pppoe server-а значения параметра Keepalive timeout c 15 до 30 или более может спасти ситуацию?

Edited 2014-06-10 05:31:45 by qwerty

[SVD 6]

6.13 это полный ппц как мне показалось. У меня переодически опрос про api snmp и да же когда sftp подключался процессор влетал до 100 процентов. Pptp который привязывает микротик к билингу подвисал и можно было только через внешник зайти. Tool/profile вообще не отвечал. Просто какой ужас не адекватный. ДНС выключена галочка allow . Толи pptp нагружал так как через него все опросы были то ли сами опросы. Про этом трестировал когда клиентские порты были откл.

В итоге помагала перезагрузка но не надолго. Поставил 5.26 вроде все спокойно

 

 

Отправлено из моего iPad используя Tapatalk

[qwerty 1]

Подскажите в каких опциях в  PPP Profile -> Protocols можно выбрать 'no', надеюсь сэкономить немного ресурсов(в придачу второй скрин но там думаю нечего особо и выгадывать наверное).

 

PS: поставил недавно вышедшую 6.14, завтра буду тестить.

 

 

может поэтому у меня и не пускало юзеров при верном логине и пароли(пускало но с раза 10).

 

CHANGELOG:

*) pptp,l2tp,pppoe - fixed problem where some of the static bindings
become dynamic interfaces;

[CJIABA 23]

Подскажите в каких опциях в  PPP Profile -> Protocols можно выбрать 'no', надеюсь сэкономить немного ресурсов(в придачу второй скрин но там думаю нечего особо и выгадывать наверное).

 

PS: поставил недавно вышедшую 6.14, завтра буду тестить.

 

 

может поэтому у меня и не пускало юзеров при верном логине и пароли(пускало но с раза 10).

 

CHANGELOG:

*) pptp,l2tp,pppoe - fixed problem where some of the static bindings

become dynamic interfaces;

У меня стоит порядка 20 микротиков, 750, 750gl, 450gl, x86, какой то 900-й и все настроенны одинаково прошивки стоят везде 6.13 проблем нет. Авторизация пппое, в настройках протоколы по дефолту, отличие от вашего скрина выключите MRRU (точно помню что были проблемы) поставьте галки на mschap1,2. Вроде все.

[CJIABA 23]

Вот по поводу вашего процесса flash http://forum.nag.ru/forum/index.php?showtopic=78445