Fast track mikrotik что это

FastTrack – это механизм RouterOS, который изменяет стандартный путь прохождения пакетов, переводя часть соединений в ускоренную обработку на уровне connection tracking. При активном FastTrack пакеты, относящиеся к уже установленным соединениям, минуют большую часть цепочек firewall, включая повторную проверку правил фильтрации и очередей, что снижает нагрузку на CPU маршрутизатора и увеличивает пропускную способность при том же оборудовании.

FastTrack применяется только к состояниям established и related, поэтому его включение начинается не с «ускоряющего» правила, а с корректной логики фильтрации новых соединений. Практика показывает, что правило fasttrack-connection должно располагаться выше правил drop, но ниже обязательных правил accept для сервисного трафика, VPN-туннелей и управляемых подсетей. Неправильное расположение приводит к пропуску контроля или к отсутствию ускорения вообще.

Механизм напрямую связан с connection tracking и NAT. При активном FastTrack повторная трансляция адресов и портов выполняется без полного прохода через firewall, что меняет поведение очередей simple queue и queue tree: ограничение скорости, приоритезация и маркировка пакетов перестают применяться к ускоренному трафику. Это требует заранее определить, какие сети и типы соединений можно переводить в ускоренный режим, а какие должны оставаться в стандартном пути обработки.

Перед включением FastTrack необходимо проверить, используются ли в конфигурации сложные схемы QoS, маркировка пакетов для биллинга, детальный контроль VPN-клиентов и межвлановый фильтринг. Для провайдерских маршрутизаторов FastTrack подходит для массового интернет-трафика абонентов, но не должен затрагивать управляемые сервисные сети, L2TP, PPTP, IPsec и трафик с ограничениями по скорости. Такой подход позволяет увеличить пропускную способность без потери управляемости сети.

FastTrack MikroTik: что это и как работает

Механизм действует только для состояний established и related. Первые пакеты новых соединений проходят полный цикл проверки, поэтому FastTrack не ослабляет начальный контроль доступа. Для активации используется правило fasttrack-connection в цепочке forward, которое должно располагаться выше правил drop и выше правил, отвечающих за контроль транзитного трафика между VLAN и WAN-интерфейсами.

FastTrack тесно связан с NAT. После первичной трансляции адресов и портов соединение сохраняет сопоставление в connection tracking, и повторная трансляция выполняется без обращения к полному стеку firewall. Это позволяет увеличивать фактическую пропускную способность маршрутизаторов серий hEX, RB3011, CCR1009 и аналогичных моделей в 1,5–3 раза при массовом интернет-трафике.

Очереди simple queue и queue tree не применяются к fasttrack-соединениям. Это означает, что любые ограничения скорости, приоритеты и маркировка пакетов перестают действовать для ускоренного трафика. Поэтому FastTrack следует использовать только для сетей и сервисов, не требующих управления полосой пропускания и детального учёта.

Исключение соединений из FastTrack выполняется через дополнительные правила accept с условием connection-state=new, либо через mangle с пометкой connection-mark и добавлением параметра connection-mark=!no-fasttrack в fasttrack-правиле. Такой подход позволяет оставить стандартную обработку для VPN-туннелей, IPsec, VoIP, биллингового трафика и управляемых VLAN.

Контроль работы FastTrack выполняется через /ip firewall connection print, где fasttrack-соединения имеют флаг F. При росте трафика без увеличения загрузки CPU это подтверждает, что ускоренный путь обработки используется корректно.

Какие типы соединений FastTrack обрабатывает без прохождения через firewall

FastTrack применяется только к соединениям, которые уже прошли полную фильтрацию и получили состояния established или related. После первого пакета RouterOS помечает такие соединения и переводит последующий трафик в ускоренный путь, при котором не выполняются проверки в цепочках filter, mangle и queue.

Под ускоренную обработку попадает транзитный трафик между LAN и WAN, если он не требует дополнительной логики управления полосой, маркировки или нестандартных проверок. В типовых абонентских сетях это основной объём TCP- и UDP-сессий.

• TCP-соединения в состоянии established, включая HTTPS, HTTP, SMTP, IMAP, POP3 и другие прикладные сервисы без ограничений скорости.
• UDP-сессии, распознанные connection tracking как related к уже установленным соединениям.
• Трафик с корректно отработавшим NAT, где трансляция адресов и портов уже сохранена в таблице соединений.
• Соединения между внутренними сегментами и интернетом при отсутствии правил queue tree и simple queue.
• Массовые клиентские сессии, не участвующие в биллинговой маркировке и не попадающие под policy routing.

FastTrack не применяется к новым соединениям и к трафику, который должен проходить через дополнительные механизмы контроля. Для сохранения стандартной обработки следует явно исключать такие сессии из fasttrack-правила через условия connection-mark и адресные списки.

1. VPN-туннели L2TP, PPTP и IPsec, где важна стабильная обработка и корректная работа шифрования.
2. VoIP и другие сервисы с приоритетной доставкой и управлением задержками.
3. Внутренние VLAN с активным QoS и учётом трафика.
4. Трафик с policy routing и множественными таблицами маршрутизации.

Такой подход позволяет использовать FastTrack для основной массы пользовательского интернет-трафика, сохраняя стандартный путь обработки для соединений, требующих контроля, учёта и управления полосой пропускания.

Как FastTrack меняет путь пакета внутри цепочек RouterOS

При стандартной обработке каждый пакет проходит через цепочки prerouting, input или forward, затем через postrouting, при этом на каждом этапе применяются правила filter, mangle, NAT и очередей. FastTrack вмешивается в этот процесс на уровне connection tracking, изменяя маршрут уже установленных соединений и исключая их из повторной проверки правил.

После того как первый пакет нового соединения прошёл полный цикл фильтрации и получил состояние established, правило fasttrack-connection помечает его специальным флагом. С этого момента последующие пакеты этого же соединения обрабатываются напрямую через ядро connection tracking, минуя цепочки filter, mangle и подсистему очередей.

В ускоренном режиме пакет не проходит через пользовательские правила forward и не проверяется на соответствие условиям drop или accept. Выполняется только обязательная трансляция адресов, сохранённая в таблице соединений, и проверка на принадлежность к существующему состоянию. Это сокращает количество операций на каждый пакет и снижает загрузку CPU.

FastTrack не изменяет маршрут новых соединений. Первый пакет всегда проходит стандартный путь: проверяется в mangle, затем в filter, после чего попадает в NAT. Только после подтверждения состояния established соединение переводится в ускоренный режим. Такой подход позволяет сохранять контроль доступа, но исключает избыточные проверки для повторяющихся пакетов.

При необходимости вернуть отдельные соединения в стандартный путь используется исключение по connection-mark или адресным спискам. Это позволяет управлять тем, какие потоки продолжают проходить через цепочки RouterOS, а какие обрабатываются напрямую через connection tracking.

Какие правила firewall обязательны для включения FastTrack

FastTrack активируется только через правила в цепочке forward, поэтому конфигурация firewall должна быть выстроена в строгой последовательности. В начале цепочки размещаются правила accept для управляемых сетей, VPN-туннелей и сервисных VLAN, чтобы этот трафик не был ускорен и продолжал проходить стандартный путь обработки.

Сразу после них добавляется правило fasttrack-connection с условиями connection-state=established,related и действием fasttrack-connection. Оно должно находиться выше всех правил drop и выше любых ограничивающих правил, иначе соединения либо не попадут под ускоренную обработку, либо будут заблокированы до применения FastTrack.

Следующим обязательным элементом является правило accept с теми же состояниями established,related. Оно гарантирует, что соединения, которые не попали под FastTrack из-за исключений, всё равно будут разрешены и корректно обрабатываться стандартным способом.

В конфигурациях с NAT требуется наличие правил masquerade или src-nat в postrouting для соответствующих интерфейсов. Без корректной трансляции адресов соединения не будут сохраняться в connection tracking и не смогут перейти в ускоренный режим.

Для управляемых потоков рекомендуется добавить отдельные правила accept с условиями по адресным спискам или connection-mark выше fasttrack-правила. Это позволяет исключить из ускоренного пути VPN, VoIP, биллинговый трафик и любые соединения, где необходим контроль очередей и маркировка пакетов.

Какие соединения не попадают под FastTrack и почему

FastTrack применяется только к установленным соединениям, поэтому любые потоки, требующие дополнительной логики обработки или не поддерживающие стандартный путь connection tracking, остаются в обычном режиме. Это необходимо для сохранения корректной маршрутизации, учёта трафика и работы сетевых сервисов.

• Новые соединения в состоянии new, так как они должны пройти полный цикл фильтрации и NAT до подтверждения состояния.
• IPsec-потоки, где шифрование и аутентификация требуют стабильного прохождения через стек firewall.
• VPN-туннели L2TP и PPTP, использующие дополнительные механизмы контроля и учёта сессий.
• Трафик с policy routing и несколькими таблицами маршрутизации.
• Соединения с маркировкой пакетов в mangle для биллинга и QoS.
• Потоки, попадающие под queue tree и simple queue.
• Межвлановый трафик, где требуется фильтрация по адресным спискам и портам.

Не участвуют в FastTrack также соединения, явно исключённые через connection-mark или адресные списки в правилах firewall. Это используется для сохранения стандартной обработки VoIP, управляемых VLAN и сервисных сетей.

1. Создаётся правило mangle с пометкой connection-mark для управляемых сетей.
2. В fasttrack-правиле добавляется условие connection-mark=!no-fasttrack.
3. Отдельные правила accept размещаются выше fasttrack-правила.

Такой подход позволяет использовать ускоренную обработку только для пользовательского интернет-трафика, не затрагивая соединения, где требуется контроль полосы, задержек и учёта.

Как FastTrack влияет на работу очередей, simple queue и queue tree

FastTrack полностью исключает ускоренные соединения из подсистемы очередей RouterOS. После перевода соединения в состояние fasttracked пакеты перестают проходить через правила simple queue и queue tree, поэтому любые ограничения скорости, приоритеты и распределение полосы на них не распространяются.

Это означает, что установленный лимит, например 50 Мбит/с в simple queue, будет применяться только к новым и исключённым из FastTrack соединениям. Все ускоренные TCP- и UDP-сессии будут использовать доступную полосу без участия очередей, что может привести к неконтролируемому росту нагрузки на канал.

Queue tree, основанный на маркировке пакетов в mangle, также не участвует в обработке fasttracked-трафика. Маркировка выполняется только для первых пакетов соединения, после чего последующие пакеты минуют mangle, и правила tree не получают данных для расчёта приоритетов и лимитов.

Для сохранения управления полосой необходимо заранее выделять управляемые потоки и исключать их из FastTrack. Это выполняется через отдельные правила mangle с пометкой connection-mark и добавлением условия connection-mark=!no-fasttrack в fasttrack-правиле. В результате ускорение применяется только к тем соединениям, где не требуется ограничение скорости и приоритезация.

В провайдерских сетях FastTrack используется для массового интернет-трафика абонентов, а queue tree и simple queue сохраняются для сервисных VLAN, VoIP, VPN и биллинговых потоков, где контроль полосы и задержек остаётся обязательным.

Как FastTrack взаимодействует с NAT и connection tracking

FastTrack работает поверх connection tracking и не может функционировать без активной таблицы соединений. Первый пакет нового соединения всегда проходит стандартный путь обработки: определяется состояние, создаётся запись в conntrack и выполняется NAT. Только после этого соединение может быть переведено в ускоренный режим.

При включённом FastTrack трансляция адресов и портов для установленных соединений выполняется напрямую по сохранённым данным из connection tracking. Пакеты больше не проходят через цепочки mangle и filter, но продолжают использовать записи src-nat и dst-nat, что сохраняет корректность маршрутизации и возврата трафика.

Если NAT настроен некорректно или отсутствуют правила masquerade в postrouting, соединения не фиксируются в conntrack и не получают статус established. В этом случае FastTrack не активируется, а трафик продолжает обрабатываться стандартным способом с повышенной нагрузкой на процессор.

Для сетей с несколькими WAN-интерфейсами и policy routing необходимо учитывать, что FastTrack использует сохранённый маршрут из таблицы соединений. Изменение маршрута после перевода соединения в fasttracked не применяется, поэтому для управляемых потоков следует исключать такие соединения из ускоренной обработки.

Контроль корректной работы выполняется через команды просмотра connection tracking, где fasttracked-сессии отображаются с соответствующим флагом. При росте объёма трафика без увеличения нагрузки CPU это подтверждает, что NAT и FastTrack взаимодействуют корректно.

Какие параметры RouterOS нужно проверить перед активацией FastTrack

Перед включением FastTrack необходимо убедиться, что в системе активирован connection tracking. В разделе /ip firewall connection tracking параметр enabled должен быть установлен в значение yes, иначе соединения не будут получать состояния established и related, а ускоренная обработка не будет применяться.

Следующий обязательный пункт – корректность NAT. В /ip firewall nat должны присутствовать правила masquerade или src-nat для всех WAN-интерфейсов. Без этого таблица соединений не сможет корректно фиксировать обратный трафик, и FastTrack не сможет перевести соединения в ускоренный режим.

Необходимо проверить конфигурацию очередей. При наличии активных simple queue или queue tree нужно заранее определить, какие сети и адресные списки должны оставаться в стандартном пути обработки. Управляемые VLAN, VoIP, VPN и биллинговые потоки должны быть исключены из FastTrack через connection-mark или отдельные правила accept.

В сетях с несколькими маршрутами следует проверить наличие policy routing и правил mangle, влияющих на выбор таблицы маршрутизации. Соединения, маршруты которых могут меняться, не должны попадать под FastTrack, иначе трафик будет закреплён за первым выбранным шлюзом.

Также требуется убедиться, что в цепочке forward firewall отсутствуют правила drop, расположенные выше будущего fasttrack-правила. Такие правила будут блокировать соединения до их перевода в ускоренный режим и сведут использование FastTrack к нулю.

Как диагностировать, что FastTrack реально используется в текущем трафике

Основной способ проверки – анализ таблицы соединений. В разделе /ip firewall connection print fasttracked-сессии помечаются флагом F. Наличие этого флага у активных TCP- и UDP-соединений подтверждает, что трафик переведён в ускоренный путь и минует стандартные цепочки firewall.

Дополнительно следует проверить счётчики самого fasttrack-правила в цепочке forward. Рост значений packets и bytes означает, что правило действительно отрабатывает и применяется к текущему потоку данных.

При высокой загрузке канала полезно сравнить показатели CPU до и после включения FastTrack. Если объём трафика увеличился, а загрузка процессора осталась на прежнем уровне или снизилась, это указывает на сокращение количества операций на каждый пакет.

Ещё один признак – отсутствие попаданий трафика в очереди. В simple queue и queue tree для ускоренных соединений счётчики не растут, так как пакеты не проходят через подсистему очередей. Это позволяет быстро определить, какие потоки обрабатываются напрямую через connection tracking.

Для детальной диагностики можно временно отключить fasttrack-правило и сравнить скорость передачи и нагрузку на CPU. Резкое увеличение использования процессора при тех же объёмах трафика подтверждает, что ранее соединения обрабатывались в ускоренном режиме.

Вопрос-ответ:

Почему после включения FastTrack перестал работать лимит скорости в simple queue?

FastTrack переводит соединения в сокращённый путь обработки, при котором пакеты не проходят через подсистему очередей RouterOS. Simple queue продолжает существовать, но ускоренные TCP- и UDP-сессии обходят её полностью. Чтобы сохранить лимиты, нужно исключить нужные адреса или connection-mark из fasttrack-правила и оставить их в стандартном пути обработки.

Можно ли использовать FastTrack при двух интернет-провайдерах и policy routing?

Можно, но только для потоков с фиксированным маршрутом. FastTrack закрепляет маршрут за соединением в момент его установления и не реагирует на последующие изменения таблиц маршрутизации. Потоки, которые могут переключаться между шлюзами, лучше исключить из ускоренной обработки через mangle и connection-mark.

Как понять, что FastTrack реально работает, а не просто включён?

В таблице /ip firewall connection у ускоренных соединений появляется флаг F. Также растут счётчики packets и bytes у fasttrack-правила в цепочке forward. При высокой нагрузке канал пропускает больше трафика без роста CPU, что подтверждает сокращённый путь обработки.

Почему VPN-клиенты теряют стабильность после добавления FastTrack?

FastTrack исключает соединения из стандартной обработки и очередей, что влияет на работу туннелей, шифрования и контроля сессий. Для L2TP, PPTP и IPsec такие потоки следует выводить из ускоренного режима через отдельные правила accept или connection-mark.

Можно ли ускорить только интернет-трафик абонентов, не затрагивая внутренние VLAN?

Да. Для внутренних VLAN создаётся правило mangle с пометкой connection-mark, затем в fasttrack-правиле добавляется условие, исключающее такие соединения. В результате ускорение применяется только к абонентским сессиям, а внутренние сети продолжают обрабатываться через стандартные цепочки RouterOS.