Fasttrack
to funkcja dodana od RouterOS w wersji 6.29. Pozwala ona na przekazywanie pakietów w taki sposób, że omijają one reguły firewall co znaczenie poprawia przepustowość i zmniejsza obciążenie CPU routera. Oczywiście dotyczy to tylko pakietów w połączeniach o statusie Established
albo Related
czyli takich, które już przeszły przez reguły firewall, więc powinny być bezpieczne.
Zauważyłem że jest problem ze współpracą Fasttrack
i połączeniami IPsec. Zdarza się, że po dodaniu reguły Fasttrack
, połączenia IPsec stają się niestabilne lub spada ich wydajność. Rozwiązaniem jest:
a) Dodanie reguł oznaczających ruch (pakiety i połączenia) IPsec:
/ip firewall mangle add action=mark-packet chain=prerouting ipsec-policy=in,ipsec new-packet-mark=ipsec-packet-mark-in passthrough=yes
/ip firewall mangle add action=mark-packet chain=forward ipsec-policy=out,ipsec new-packet-mark=ipsec-packet-mark-out passthrough=yes
/ip firewall mangle add action=mark-connection chain=prerouting ipsec-policy=in,ipsec new-connection-mark=ipsec packet-mark=ipsec-packet-mark-in passthrough=yes
/ip firewall mangle add action=mark-connection chain=forward ipsec-policy=out,ipsec new-connection-mark=ipsec packet-mark=ipsec-packet-mark-out passthrough=yes
b) Wykluczenie ruchu IPsec z Fasttrack
i NAT masquerade:
UWAGA! Jeżeli istnieje już reguła Fasttrack
, to nie dodajemy jej za pomocą polecenia poniżej, tylko edutujemy istniejącą. Tak by ustawić wartość connection-mark=!ipsec
.
/ip firewall filter add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-mark=!ipsec connection-state=established,related
Analogicznie postępujemy z regułą na zakładce IP/Firewall/NAT z tą różnicą, że dodatkowo określamy interfejs WAN w sekcji out-interface=lte1
.
/ip firewall nat add action=masquerade chain=srcnat connection-mark=!ipsec out-interface=lte1
Po tej operacji nasz IPSec powinien znacznie przyśpieszyć.
Koniec 🙂
Jeżeli pomogłem to ,a będę miał więcej energii na pisanie kolejnych ciekawych wpisów.