bodyam Опубликовано 19 июля, 2017 · Жалоба Здраствуйте! Давненько к вам не обращался за помощью. Есть железка, на ней поднят РРРоЕ сервер( на 20 VLAN), клиенты подключаются по оптике через BDCOM p3310b©, но вот заметил странные записи в таблице ARP, пропинговав адрес из таблицы, получил доступ к клиентскому роутеру Netis, как такое возможно, роутер одновременно поднимает РРРоЕ и я вижу его локальный адрес? Ето первое, и второе не могу понять записи в логах. Клиенты жалуются что очень часто обрывает связь и им нужно перегружать свои роутеры. Скрины додаю. Просьба помочь советом, разобратся в чем проблема. Спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 19 июля, 2017 (изменено) · Жалоба 169.254.0.0 ------ 169.254.255.255 (APIPA only) По видимому - клиентский роутер(ы) не получает ИП. ------------- Или клиент намудрил с настройками своего роутера, кабель сунул не туда. ИП не получает по какой то причине, а МАС отображаетсячв АRP таблице с приватним ИР. Етот ИП даже не его сеть. Изменено 19 июля, 2017 пользователем mafijs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bodyam Опубликовано 19 июля, 2017 · Жалоба 169.254.0.0 ------ 169.254.255.255 (APIPA only) По видимому - клиентский роутер(ы) не получает ИП. ------------- Или клиент намудрил с настройками своего роутера, кабель сунул не туда. ИП не получает по какой то причине, а МАС отображаетсячв АRP таблице с приватним ИР. Етот ИП даже не его сеть. хм, а как с ним боротся? как снять эти записи, есть предложения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 19 июля, 2017 · Жалоба Настройте arp во влане как reply-only. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mafijs Опубликовано 20 июля, 2017 · Жалоба хм, а как с ним боротся? как снять эти записи, есть предложения? вариант - Выловить виновника и навести порядок у клиента в роутере. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 20 июля, 2017 · Жалоба Вариант не очень, борьба с последствиями, сиречь ветряными мельницами, прокатит разве что при большом количестве бесплатного времени и маленьком числе клиентов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 24 июля, 2017 (изменено) · Жалоба bodyam, у вас на вашем интерфейсе vlan20 висит IP-адрес? Если да, то зачем? Для работы PPPoE, IP-адреса на ethernet-интерфейсах не нужны. В целях безопасности, на ethernet-интерфейсах опорной сети для PPPoE рекомендуется удалять дефолтные IP-адреса при наличии таковых. P.S. уже дофига народу взломали именно таким путем, но тропа не зарастает. Изменено 24 июля, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 24 июля, 2017 · Жалоба 5 копеек Почему на интерфейсам не режите через ACL клиентский трафик? для DGS config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny для Cisco like mac access-list extende pppoe permit any any 8863 0000 permit any any 8864 0000 deny any any И абоны не могут друг другу трафик раздавать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bodyam Опубликовано 14 августа, 2017 · Жалоба bodyam, у вас на вашем интерфейсе vlan20 висит IP-адрес? Если да, то зачем? Для работы PPPoE, IP-адреса на ethernet-интерфейсах не нужны. В целях безопасности, на ethernet-интерфейсах опорной сети для PPPoE рекомендуется удалять дефолтные IP-адреса при наличии таковых. P.S. уже дофига народу взломали именно таким путем, но тропа не зарастает. висит, но потому как там у меня 192.168.0.2 - это адрес шлюз для клиентов которые на WiFi - и у них всех статика записана на СХТ к кторой доступа у клиента нет. конечно у меня есть еще несколько Вланов для других РРРоЕ серверов, на них нет IP адреса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bodyam Опубликовано 14 августа, 2017 · Жалоба хм, а как с ним боротся? как снять эти записи, есть предложения? вариант - Выловить виновника и навести порядок у клиента в роутере. ну вот, нашел виновника. точнее их несколько, у всех стоит роутер Netis и подключен он верно у WAN порт, поскольку набирает соединение к серверу, но также он и светит свой DHCP. Пробовал обяснить людям что их роутер сломался и им нужен другой - пока не очень понимают. Наверно буду с ними поодному боротся, выключать на время. 5 копеек Почему на интерфейсам не режите через ACL клиентский трафик? для DGS config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny И абоны не могут друг другу трафик раздавать. Честно говоря, я не супер профи, если можно пример конкретнее?? Спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bodyam Опубликовано 14 августа, 2017 · Жалоба Друзья, появилась новая проблема. Непонятно почему идет ребут роутера. У меня стоит ИБП (акум+инвертор+стабик) все новое а ребутится почти через день-три. Да и еще непонятные логи появились, раньше никогда ничего подобного не встречал, может это прошывка? Всем спасибо за советы! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 15 августа, 2017 · Жалоба хм, а как с ним боротся? как снять эти записи, есть предложения? вариант - Выловить виновника и навести порядок у клиента в роутере. ну вот, нашел виновника. точнее их несколько, у всех стоит роутер Netis и подключен он верно у WAN порт, поскольку набирает соединение к серверу, но также он и светит свой DHCP. Пробовал обяснить людям что их роутер сломался и им нужен другой - пока не очень понимают. Наверно буду с ними поодному боротся, выключать на время. 5 копеек Почему на интерфейсам не режите через ACL клиентский трафик? для DGS config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny И абоны не могут друг другу трафик раздавать. Честно говоря, я не супер профи, если можно пример конкретнее?? Спасибо! Коммутаторы на доступе какие? Профи не нужно быть, нужно почитать про PPPoE. В кадре есть заголовки вот эти значения отвечают за карды PPPoE 8863 8864, все остальные кадры будут дропатся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 15 августа, 2017 · Жалоба Да и еще непонятные логи появились, раньше никогда ничего подобного не встречал, может это прошывка? Это активный компонент ipv6 (System->Packages), а зачем он у вас включен - вам видней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bodyam Опубликовано 29 сентября, 2017 · Жалоба Здраствуйте! Помогите понять проблему с pppoe! вот часть логов... 10:47:37 memory: pppoe,ppp,info <pppoe-u777>: terminating... 10:47:37 memory: pppoe,ppp,info,account u777 logged out, 134 3506 54 51 3 10:47:37 memory: pppoe,ppp,info <pppoe-u777>: disconnected [mik@mikrotik] > 10:47:38 memory: pppoe,ppp,info <pppoe-u888>: terminating... 10:47:38 memory: pppoe,ppp,info,account u888 logged out, 134 3446 54 50 3 10:47:38 memory: pppoe,ppp,info <pppoe-u888>: disconnected но проблема не у всех клиентов, некоторые подключены по несколько часов-дней, а есть несколько что практически колбасит их постоянно.. вот еще фрагмент лога 13:15:55 memory: pppoe,ppp,info <pppoe-u999>: terminating... - link inactive 13:15:55 memory: pppoe,ppp,info,account u999 logged out, 1200 76 101 7 7 13:15:55 memory: pppoe,ppp,info <pppoe-u999>: disconnected может у кого случалось что то подобное??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korsakik Опубликовано 29 сентября, 2017 · Жалоба включите логирование pppoe в настройках логирования (system logging), у вас сводка преимущественно по ppp сейчас идёт без инфы какой-либо важной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...