13.03.2021

1865

Mikrotik Bandbreitenbegrenzung greift nur für Upload

Hallo,

eingesetzter Mikrotik: RB750Gr3 v6.48.1.

Ich hab eine ganz einfache Konfiguration. Der Mikrotik sitzt vor der Fritzbox. Alle Geräte im Haus hängen an den Ports ehter1-ether4 (diese sind in der Bridge bridge_HomeLAN (Netz 172.20.21.0/24).
Port ether5 ist verbunden mit der Fritzbox (Netz 172.20.20.0/24).

Also so: HomeLAN --172.20.21.0-- Mikrotik --172.20.20.0-- Fritzbox ---- Internet
Der Mikrotik hat die IP's 172.20.21.0 und 172.20.20.9
Die Fritzbox die 172.20.20.1

Funktioniert wunderbar. Jetzt wollte ich alle Geräte bandbreitenmäßig beschränken (Upload 2Mb, Download 10Mb) mit einer einfachen Simple Queue:

Und scheinbar funktioniert das auch, zumindest zeigt es der Mikrotik so an während eines parallel laufenden Speedtests.
Sowohl in der Queue als auch am Interface ether5:

Aber tatsächlich wird nur der Upload beschränkt, wie das Ergebnis des Speedtests zeigt:

Hab gelesen, dass ist der Fall, wenn man Fasttrack verwendet. Aber ich hab keine einzige Firewallregel gesetzt. Ist Fasttrack denn dann aktiv?

Hier die komplette Config:

[admin@MikroTik] > export
# mar/13/2021 12:50:59 by RouterOS 6.48.1
# software id = A38M-8TA4
#
# model = RB750Gr3
# serial number = CC210C5E49DC
/interface bridge
add name=bridge_HomeLAN
/interface list
add name=list1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=172.20.21.100-172.20.21.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge_HomeLAN lease-time=3d name=dhcp1
/queue simple
add dst=ether5 max-limit=2M/10M name=queue1 target=172.20.21.0/24
/interface bridge port
add bridge=bridge_HomeLAN interface=ether1
add bridge=bridge_HomeLAN interface=ether2
add bridge=bridge_HomeLAN interface=ether3
add bridge=bridge_HomeLAN interface=ether4
/ip address
add address=172.20.21.1/24 interface=bridge_HomeLAN network=172.20.21.0
add address=172.20.20.9/24 interface=ether5 network=172.20.20.0
/ip dhcp-server network
add address=172.20.21.0/24 dns-server=172.20.21.1 gateway=172.20.21.1
/ip dns
set allow-remote-requests=yes servers=9.9.9.9
/ip route
add distance=1 gateway=172.20.20.1
/system clock
set time-zone-name=Europe/Berlin
/tool graphing interface
add
/tool graphing queue
add
/tool graphing resource
add
[admin@MikroTik] >

Was mache ich falsch?
Danke
Gruß
Martin

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 662328

Url: https://administrator.de/contentid/662328

Ausgedruckt am: 24.11.2024 um 04:11 Uhr

11 Kommentare

Neuester Kommentar

Hallo Martin,

Vertausche mal die Werte bzw. setzte beide mal auf z.B. 3 Mbit.

Oder einen Wert auf 5 Mbit und den anderen auf 2 Mbit.

Laut deinem Post ist, in der Config kein Fasttrack konfiguriert.

Benutzt du die Default Config oder hast du sie gelöscht und hast eine eigene Config erstellt?

Gruß
Max

Zitat von @routermax:

Hallo Martin,

Vertausche mal die Werte bzw. setzte beide mal auf z.B. 3 Mbit.

Oder einen Wert auf 5 Mbit und den anderen auf 2 Mbit.

Laut deinem Post ist, in der Config kein Fasttrack konfiguriert.

Benutzt du die Default Config oder hast du sie gelöscht und hast eine eigene Config erstellt?

Die Default Config hab ich komplett gelöscht und nur das nötigste eingerichtet. Wie man sieht, ist sie ja auch recht überschaubar.
Mit verschiedenen Werten für Up-/Download hab ich schon rumgespielt. Das Verhalten ist immer das gleiche, der Mikrotik zeigt es so an wie es sein soll, aber den Download beschränkt er nicht.
Ich hab's auch mal ohne Bridge versucht, gleiches Verhalten.
Und wegen Fasttrack: Ich hab es nicht bewußt aktiviert, das würde doch nur mit einer entsprechenden Firewallregel gehen, oder?

Ok. Ich habe grade nochmal bei mir nachgesehen und nochmal getestet.
Das Fasttrack in der Firewall sollte nicht aktiv. Sonst greift die queue nicht.

Eth1 - Ist mein Internet (WAN)
Vlan10 - Das Netzwerk was ich beschränken möchte. (LAN)

Lässt sich auch hier nachprüfen und auch mit gesetztem Häkchen bei Allow Fast Path de- / aktivieren.

Zusätzlich stehen die Conditions natürlich auch im Manual

https://wiki.mikrotik.com/wiki/Manual:Fast_Path
https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack

Ich würde statt auf nen Simple Queue zu setzen auf einen Interface-Queue-Tree setzen, den interessiert nämlich nicht ob FastTrack aktiv ist. 2 Regeln eine für UP und eine für Download, max. 2 Mangle Rules (eingehenden und ausgehenden) Traffic matchen fertsch.

/ip firewall mangle
add action=mark-packet chain=forward comment=UPLOAD_TRAFFIC in-interface=bridge_homeLAN new-packet-mark=\
    FROM_HOME_NET out-interface=ether5 passthrough=yes
add action=mark-packet chain=forward comment=DOWNLOAD-TRAFFIC in-interface=ether5 new-packet-mark=\
    TO_HOME_NET out-interface=bridge_homeLAN passthrough=yes
/queue tree
add max-limit=2M name=UP packet-mark=FROM_HOME_NET parent=ether5
add max-limit=10M name=DOWN packet-mark=TO_HOME_NET parent=bridge_homeLAN

Gruß SK

Ist die Simple Queue nicht aktiv, ist der "IPv4 Fast Path Active" Haken in den IP Settings gesetzt.
Aktiviere ich die Simple Queue, ist der Haken automatisch nicht mehr gesetzt.
Funktioniert aber trotzdem nicht.

Nächster Versuch:
Simple Queue deaktiviert.
Mit Interface-Queue-Tree versucht.
Gleiches Ergebnis. Im Traffic von ether5 sieht's so aus, als ob beides beschränkt würde. tatsächlich wird aber nach wie vor nur der Upload beschränkt, Download nicht.

In den Spalten Bytes und Packets der Queue Trees erhöhen sich die Werte während des Speedtests. Das heißt doch, der Datenverkehr läuft durch diese Queue Trees. Warum greift dann die Beschränkung nicht.

Hier nochmal die Config mit Interface-Queue-Tree:

[admin@MikroTik] > export
# mar/14/2021 12:11:44 by RouterOS 6.48.1
# software id = A38M-8TA4
#
# model = RB750Gr3
# serial number = CC210C5E49DC
/interface bridge
add name=bridge_HomeLAN
/interface list
add name=list1
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=dhcp_pool0 ranges=172.20.21.100-172.20.21.254
/ip dhcp-server
add address-pool=dhcp_pool0 interface=bridge_HomeLAN lease-time=3d name=dhcp1
/queue simple
add disabled=yes dst=ether5 max-limit=2M/10M name=queue1 target=172.20.21.0/24
/queue tree
add max-limit=2M name=UP packet-mark=FROM_HOME_NET parent=ether5
add max-limit=10M name=DOWN packet-mark=TO_HOME_NET parent=bridge_HomeLAN
/interface bridge port
add bridge=bridge_HomeLAN interface=ether1
add bridge=bridge_HomeLAN interface=ether2
add bridge=bridge_HomeLAN interface=ether3
add bridge=bridge_HomeLAN interface=ether4
/ip address
add address=172.20.21.1/24 interface=bridge_HomeLAN network=172.20.21.0
add address=172.20.20.9/24 interface=ether5 network=172.20.20.0
/ip dhcp-server network
add address=172.20.21.0/24 dns-server=172.20.21.1 gateway=172.20.21.1
/ip dns
set allow-remote-requests=yes servers=9.9.9.9
/ip firewall mangle
add action=mark-packet chain=forward comment=UPLOAD_TRAFFIC in-interface=bridge_HomeLAN new-packet-mark=FROM_HOME_NET out-interface=ether5 passthrough=yes
add action=mark-packet chain=forward comment=DOWNLOAD-TRAFFIC in-interface=ether5 new-packet-mark=TO_HOME_NET out-interface=bridge_HomeLAN passthrough=yes
/ip route
add distance=1 gateway=172.20.20.1
/system clock
set time-zone-name=Europe/Berlin
/tool graphing interface
add
/tool graphing queue
add
/tool graphing resource
add
[admin@MikroTik] >

Danke
Martin

Funktioniert aber trotzdem nicht.

Funktioniert so in der Konstellation hier einwandfrei (wurde ja getestet, s Screenshot Google Speedtest). Deine Screenshots oben zeigen das die Begrenzung ja in beide Richtungen korrekt funktioniert, und der Mikrotik zeigt dir wirklich das an was an Daten tatsächlich fließt! Also zeigt der von dir benutzter Speedtest wohl falsche Burst-Werte an.
Kontrolliere einfach selbst mit Wireshark & Co da braucht es auch keine externen Speetests.
Im Zweifel das Teil nochmal komplett plätten (No Default Config) und Schritt für Schritt neu machen, das obige funktioniert 100%, kannst du ja selbst mal in einer VM mit ner RouterOS x86 ISO nachstellen und so selbst kontrollieren.

Schande über mich.
Ich hab euch bei meinem Aufbau was verschwiegen.
In dieser Konstellation funktioniert alles, sowohl mit Simple Queue als auch mit Queue Tree.
Es gibt nur eine Verbindung (Layer 3) zwischen Mikrotik und Fritzbox.

Ich wollte aber die Fritzbox noch als zusätzlichen Switch nutzen und hab eine zusätzliche Verbindung (Layer 2, so dachte ich zumindest) zwischen Mikrotik und Fritzbox gesteckt.

Und in dieser Konstellation wird eben nur der Upload beschränkt.
Verstehen tu ich es zwar nicht, beide Richtungen (Up-/Download) können ja nur über die Layer3-Verbindung laufen, der PC hat eine IP aus dem Netz 172.20.21.0.

Ich hoffe, die Fotos werden angezeigt, in der Vorschau sehe ich sie nicht.

Danke
Gruß
Martin

Ich wollte aber die Fritzbox noch als zusätzlichen Switch nutzen und hab eine zusätzliche Verbindung (Layer 2, so dachte ich zumindest) zwischen Mikrotik und Fritzbox gesteckt.

Das ist natürlich Blödsinn und dann auch logisch das der Download nicht begrenzt wird, damit baust du dir im dümmsten Fall auch einen schönen Netzwerk-Loop, die Fritte kann nunmal nur Gastnetz und normales LAN keine "richtige" Layer-2 Segmentierung.

Zitat von @147669:

Das ist natürlich Blödsinn

Mag sein

Zitat von @147669:

und dann auch logisch das der Download nicht begrenzt wird,

Und wieso dann der Upload?

Einerseits bekommt der Client von der Fritte ne IPv6 und RAs welche du nicht berücksichtigt hast, andererseits überlege einfach mal wie die Pakete vom Client aus fließen wenn du die zwei Kabel steckst und der Client damit an der Fritte über ARP direkt erreichbar ist dann wird es auch dir klar das nur der Upload durch den Mikrotik läuft 😉.
Deswegen ist das auch absolutes Frickwerk und da gehört dir der A.... mit CAT9 versohlt 😁

Ja, IPv6 war's. Ist es deaktiviert, geht's auch mit L2-Verbindung wie gewünscht.
Ob das jetzt Sinn macht ... ist mein Homenetzwerk, da mach ich was ich will