Падение скорости при отключенном FastNAT

[Vitas111]

Giga II 2.11.D.5.0-0. При отключении FastNAT (system set net.ipv4.netfilter.ip_conntrack_fastnat 0) происходит сильное падение скорости с 500 до 170, при этом на прошивке 2.11.D.2.0-5 такого не наблюдается. Мои правила в iptables игнорируются практически всегда со включенным FastNAT. С версией прошивки поменялась логика работы FastNAT? Кто нибудь знает решение проблемы кроме как включения FastNATa (возврат скорости, правила пропускаются) или отката прошивки(возврат скорости и правила не пропускаются)?

И ещё вопрос, я так понимаю всякие ускорители не работают с ipv6, т.к. я вижу максимум скорости это 250 и загруженный проц?

[BonDyaRa]

Точно такая же проблема на Ultra KN-1810 (версия ОС 3.3.1 ).

При включенном FastNAT правила игнорируются, а а при выключенном максимум дает 250Мбит и процессор в потолок упирается.

[Le ecureuil]

В 06.01.2020 в 19:46, BonDyaRa сказал:

Точно такая же проблема на Ultra KN-1810 (версия ОС 3.3.1 ).

При включенном FastNAT правила игнорируются, а а при выключенном максимум дает 250Мбит и процессор в потолок упирается.

Про 3.3 в другом месте разговаривают.

[Le ecureuil]

В 04.01.2020 в 23:28, Vitas111 сказал:

Giga II 2.11.D.5.0-0. При отключении FastNAT (system set net.ipv4.netfilter.ip_conntrack_fastnat 0) происходит сильное падение скорости с 500 до 170, при этом на прошивке 2.11.D.2.0-5 такого не наблюдается. Мои правила в iptables игнорируются практически всегда со включенным FastNAT. С версией прошивки поменялась логика работы FastNAT? Кто нибудь знает решение проблемы кроме как включения FastNATa (возврат скорости, правила пропускаются) или отката прошивки(возврат скорости и правила не пропускаются)?

И ещё вопрос, я так понимаю всякие ускорители не работают с ipv6, т.к. я вижу максимум скорости это 250 и загруженный проц?

На 2.11 да, IPv6 не ускоряется.

Про скорость подробнее - что за подключение, какой WAN, все такое. Потому что между этими версиями сильных изменений нет.

[Vitas111]

12 часа назад, Le ecureuil сказал:

На 2.11 да, IPv6 не ускоряется.

Про скорость подробнее - что за подключение, какой WAN, все такое. Потому что между этими версиями сильных изменений нет.

Подключение проводное, IPoE, IP белый, 1000 FDX от провайдера до роутера и 1000 FDX от роутера до компьютера, порт 0. Стоит ppe hardware; no ppe software; set net.ipv4.netfilter.ip_conntrack_fastnat 0. С такими настройками правила iptables очень очень редко игнорируются. После обновлении прошивки ничего не меняю, при этом скорость сразу же режется. Если выставляю фастнат в 1, то скорость возвращается, но все правила просто начинают игнорироваться и уже не важно включаю или выключаю ppe hardware и ppe software.

[Le ecureuil]

А правила iptables у вас какие и где?

[Vitas111]

7 минут назад, Le ecureuil сказал:

А правила iptables у вас какие и где?

iptables -t raw -I PREROUTING -p tcp --sport 80 -m u32 --u32 "0x1E&0xFFFF=0x5010 && 0x73=0x7761726e && 0x77=0x696e672e && 0x7B=0x72742e72" -j DROP
iptables -t raw -I PREROUTING -p tcp --sport 443 -m u32 --u32 "0x4=0x00010000 && 0x20&0xFFFF0000=0x50040000" -j DROP
iptables -t raw -I PREROUTING -p tcp -m connbytes --connbytes 2: --connbytes-mode packets --connbytes-dir reply -m u32 --u32 "0x4=0x10000 && 0x20&0xFFFF0000=0x50040000" -j DROP
 

[Vitas111]

В продолжение проблемы, обновился на 2.11.D.6.0-1. Сделал полный сброс настроек роутера, entware тоже с нуля. 

Замер скорости при сброшенных настройках и просто установленным entware. https://www.speedtest.net/result/9259728627 (multi) https://www.speedtest.net/result/9259741866 (single)

После включения правил в iptables, скорость не меняется, но правила иногда не срабатывают.

При прописывании system set net.ipv4.netfilter.ip_conntrack_fastnat 0 скорости сразу же падают, но при этом правила все начинают нормально отрабатывать. https://www.speedtest.net/result/9260049436 (multi) https://www.speedtest.net/result/9260053242 (single)

При этом если просто ppe software и ppe hardware, а fastnat включенным, правила также пропускаются. Т.е. правила работают только при выключенном fastnat.

Если есть какие-то идеи, пишите, пока останусь на этой новой прошивке. Боюсь придётся мне либо попытать счастья на 2.16, либо сидеть на стабильной работающей 2.11.D.2.0-5.

 

[Le ecureuil]

К fatsnat между этими версиями никто и рядом не подходил.

А то, что у вас с включенным fastnat срабатывают правила, говорит о странностях. Вот то, что без него низкая скорость, но с ним правила не срабатывают - это верное поведение.

Кстати, конфига я тоже не вижу, как и self-test. А это может сильно влиять.

[Vitas111]

Тесты провёл замером скорости на speedtest.net при прошивке 2.11.D.6.0-2 (1) и 2.11.D.2.0-5 (2) с включенным и выключенным fastnat. (1) фастнат выключен https://www.speedtest.net/result/9343727012 ; (1) фастнат включен https://www.speedtest.net/result/9343725050 ; (2) фастнат выключен https://www.speedtest.net/result/9343761118 ; (2) фастнат включен https://www.speedtest.net/result/9343758708 .

Файлы self-test и конфиг прилагаю, а также файл прошивки 2.11.D.2.0-5 .