vlagilen
Пользователи-
Публикации
30 -
Зарегистрирован
-
Посещение
О vlagilen
-
Звание
Абитуриент
-
DHCP атаки со стороны Mikrotik'a
тему добавил vlagilen в Mikrotik Wireless
Имеется железка MIkrotik 951 + des dlink L3 коммутатор(от провайдера). Есть две проблемы, которые не могу решить уже долгое время, а точнее не пойму в чем суть. 1) Провайдер выделяет управляемый коммутатор dlink. В этот коммутатор втыкается множество приставок от провайдера для IPTV. Так же в один из портов воткнут Mikrotik (для интернета, IPoE). Все работает, но Mikrotik цепляет странный трафик от приставок и этот трафик крутится только на одном порту (ether1), получается что он как бы сканирует свич. Если запустить утилиту "Torch", то явно видны адреса приставок и сервера куда они ходят. Жить не мешает. Как заблокировать этот трафик, чтобы он не отображался на микротике? 2) Второй момент, пожалуй самый важный. Переодически провайдер рубит соединение, ссылаясь на то что микротик флудит (что то вроде dhcp атак со стороны микротика) и пытается не получить адрес у провайдера а назначить свой. Предположим что на бридже(в локалке) у микротика прописан адрес 192.168.0.1, вот его он и пытается подсунуть свичу, хотя бридж никак не связан с портом через который ходит в интернет. Это происходит в хаотичном порядке, может месяц без проблем работать, а может в день по несколько раз, что приводит к блокировке учетки на неопределенное время. По городу у меня несколько учеток и везде стоят микротики, где то этой проблемы не вылазило ниразу, а где то жить не дает, полагаю что это зависит от настроек провайдерского свича, но если поставить обычный маршрутик (dlink, tplink), то этих проблем нет. Как с этим бороться и что это может быть? -
RouterOS 1 port + коммутатор и 3 провайдера.
тему ответил в vlagilen пользователя vlagilen в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Все получилось, bridge + vlan. Спасибо. По итогу получил все 3-и dhcp адреса от провайдера. -
RouterOS 1 port + коммутатор и 3 провайдера.
тему ответил в vlagilen пользователя vlagilen в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
24 порт служит для связи свича и routeros RouterOs -> D-Link Switch (все работает) На RouterOS создаю нужные vlan вешаю на них dhcp сервер(а), далее такие же в vlan прописываю на d-link и назначаю порты на которых раздавать ту или иную сеть. vlan 400 - 192.168.101.0/24 (на свиче раздаются по 4,5 порты) vlan 600 - 192.168.102.0/24 (на свиче раздаются на 7-й порт) D-Link Switch -> RouterOS (не работает) Делаю все тоже самое наоборот На первый порт свича приходит шнурок от провайдера, адрес от которого мне нужно получить на vlan 500 RouterOS. Создаю dhcp-Client и указываю vlan500 - тишина. Может я не правильно себе все это представляю? На первом порту(как и на остальных) свича по идее должен же бить какой-то mac-address ? Используя его RouterOS на своей стороне должна получить dhcp адрес от провайдера? Или нет? RouterOS [admin@MikroTik] > ip dhcp-client print Flags: X - disabled, I - invalid # INTERFACE USE-PEER-DNS ADD-DEFAULT-ROUTE STATUS ADDRESS 0 X vlan500 yes no [admin@MikroTik] > interface vlan print Flags: X - disabled, R - running, S - slave # NAME MTU ARP VLAN-ID INTERFACE 0 R vlan400 1500 enabled 400 ether1 1 R vlan500 1500 enabled 500 ether1 2 R vlan600 1500 enabled 600 ether1 -
RouterOS 1 port + коммутатор и 3 провайдера.
тему ответил в vlagilen пользователя vlagilen в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Взял dlink dgs1224t. Если на порту выставляю tag то до свича не достучаться. У вас же наоборот на 25 порту стоит routeros. Если ставлю untag то все нормально. Получить dhcp адреса так же не выходит, а если и выходит то регистрируется адрес routeros, а нужно dlink mac. -
RouterOS 1 port + коммутатор и 3 провайдера.
тему ответил в vlagilen пользователя vlagilen в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
С микротиком не получается с tag, untag. Если и регистрируется, то только со своего mac адреса (routeros). Возьму попробую с dlink. Со стороны routeros у вас какие настройки? Я так понимаю получить dhcp адрес не стоит у вас такой задачи. -
RouterOS 1 port + коммутатор и 3 провайдера.
тему ответил в vlagilen пользователя vlagilen в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Пробовал отдельно вешать dhcp client на vlan и так же этот vlan в бридж и уже бриджу dhcp-client, не хочет получать адрес. Еще не ясно что должно отвечать за dhcp? Сервер с RouterOS или switch (пока mikrotik) ? У микротика есть возможность dhcp (но не хочет получать на vlan), но вот есть ли dhcp на dlink свиче? По идее должен dhcp адреса получать сам сервер с RouterOS, но как ему это передать? Mikrotik switch [admin@MikroTik] > interface vlan print Flags: X - disabled, R - running, S - slave # NAME MTU ARP VLAN-ID INTERFACE 0 R vlan1 1500 enabled 100 ether1 # Провайдер 1 (dhcp) 1 R vlan2 1500 enabled 200 ether2 # Провайдер 2 (dhcp) 2 R vlan3 1500 enabled 300 ether3 # Провайдер 3 (dhcp) 3 R vlan4 1500 enabled 400 ether4 # Связь switch - server с RouterOS Server x86 RouterOS [admin@MikroTik] > interface vlan print Flags: X - disabled, R - running, S - slave # NAME MTU ARP VLAN-ID INTERFACE 0 R vlan1 1500 enabled 100 ether1 1 R vlan2 1500 enabled 200 ether1 2 R vlan3 1500 enabled 300 ether1 3 R vlan4 1500 enabled 400 ether1 В таком виде ничего не работает. Как мне получить dhcp адреса на vlan(1,2,3) интерфейсах на стороне RouterOS сервера, используя mac адреса switch железки. Получалось получить один адрес на vlan 3 RouterOS. Но в этом случае использовался mac адрес самой RouterOS, он он у нее один. В каких случаях использовать "Use service tag"? -
Подскажите как реализовать связь. Стоит сервер(x86) с RouterOS к нему подключен маршрутизатор mikrotik(951) 5-и портовый выступающий в роли свича (потом, если все получится, заменю на многопортовый d-link управляемый L2). С улицы приходит 3 канала интернета (1 провайдер). Интернет получаю посредством dhcp IPoE. Все эти три шнурка втыкаю в mikrotik (1, 2, 3 порты) На сервере где крутится routeros всего один физический порт(1гб), через который я все это дело и хочу гонять и отдавать обратно на свитч локальным клиентам. Раньше vlan если и использовал, то только чтобы отделить одну группу портов от другой. Сейчас нужно создать кучу виртуальных портов и все это дело завязать на сервере. Ума не приложу как все это сделать, перечитал кучу статей, но так ничего и не выходит. На сервере должно получится что то вроде: vlan 1 - (dhcp адрес от первого провайдера(шнурка)) vlan 2 - (dhcp адрес от второго шнурка) vlan 3 - (dhcp адрес от 3-го шнурка) vlan 4 - связь между сервером и свичем Ну и видимо vlan 5 - dhcp сервер уже собственный который будет раздавать локальные адреса в локальную сеть на самом свиче, в данном случае на mikrotik. В примерах приводится статические адреса, т.е. с обоих сторон я создаю vlan интерфейсы со статическими адресами, а у меня 3 шнурка с dhcp и привязкой по mac адресу. Свич не может получать dhcp, это нужно делать серверу, которому в свою очередь нужно правильно расписать vlan и задать на каждый отдельный mac. В голове каша.
-
Asterisk на Mikrotik. Какое железо?
тему ответил в vlagilen пользователя vlagilen в Телефония: классическая, IP-телефония (VoIP), NGN сети
На атоме freepbx + asterisk + запись не тянуло более 5 одновременных, вернее тянуло, но лаги были ощутимые. Загрузка ЦП подскакивала. Атомы разные бывают, но не думаю что настолько, мой был жутко лагающим. В целом понял, спасибо. Оставлю как есть, но маршрутизатор нужно менять :) -
Есть действующий сервер(i5) на котором крутится asterisk. Хочу обновить железо и прикупить более дорогую железку от Mikrotik. 1) Mikrotik Cloud Core Router 1016-12G 2) Либо попроще RB1100AHx2 Пробовал запускать образ для mips с asterisk через metarouter на 951 модели, но особо не ковырял, создал учетки, побаловался и все. Идея реализации мне понравилась, но пишут что в таком виде больше 5-10 клиентов стабильной работы врядли потянет. Да и на самой железке помимо asterisk еще будет крутиться куча всего. Собственно вопрос, может кто пробовал данную схему? Задачи касательно asterisk: 1) Число трубок порядка ~30 2) Порядка 5-8 транков. 3) Возможность писать аудио записи на внешний носитель (usb flash как вариант) Сейчас все это крутится на i5, пробовал первое время на atom, celeron... не тянут, нагрузка на ЦП и потом все это дело загибается. На данный момент для моих задач хватило бы RB1100AHx2, но если его не будет хватать для Asterisk, то есть смысл прикупить модель дороже и крутить все на одной железке, отказавшись от i5. Но есть подозрения, что ни та ни другая не потянет :)
-
Mikrotik входищий и исходящий траффик (2 провайдера)
тему ответил в vlagilen пользователя vlagilen в Mikrotik коммутаторы и маршрутизаторы
Еще столкнулся с такой проблемой как отказоустойчивость. Если комп находится в сети и на него прописать все эти манглы и маршруты, то все работает. Потом через какое-то время маршрут route mark перестает работать, пока я не отключу в маршрутах route mark (или маршрут целиком) и заного не включу. -
Mikrotik входищий и исходящий траффик (2 провайдера)
тему ответил в vlagilen пользователя vlagilen в Mikrotik коммутаторы и маршрутизаторы
Нужно выходить через VPN клиенту MT, а попадать на клиента MT нужно через физический интерфейс (по схеме 1.1.1.1) VPN туннель поднимается посредством внешний адресов выданным провайдером №1 (1.1.1.1 <-VPN-> 2.2.2.2). Так же со стороны сервера 2.2.2.2 приходит второй провайдер 3.3.3.3 и наш микротик посредством VPN канала получает со своей стороны выход через 3.3.3.3, а следовательно клиент микротика тоже ходит через 3.3.3.3, собственно что нам и нужно было. Если клиент MT будет ходить через 1.1.1.1, то проблем с перенаправлением портов нет. ---- - выход клиента MT в интернет ---- - доступ на клиента MT на порт 8443 ------------------------------ В итоге вроде все получилось. direct указал на основном канале, статическом. В mark connection убрал dst.port и убрал правило mangle rule (за что оно отвечает ?) и с ними и без них все завелось. Если мне нужны не только TCP ? Если я создам еще mark connection + mark route, но уже для UDP соединений и пропишу все это еще одним маршрутом, будет работать? Огромное Спасибо! -
Mikrotik входищий и исходящий траффик (2 провайдера)
тему ответил в vlagilen пользователя vlagilen в Mikrotik коммутаторы и маршрутизаторы
Я list оставляю пустым. У меня статический адрес так же является и локальным для провайдера, нет распределения на локальный и внешний. Сделал все как вы описали(вроде): [admin@MikroTik] /ip firewall mangle> print # x.x.x.x - статический внешний ip через который необходимо попадать из вне 0 chain=prerouting action=mark-connection new-connection-mark=uni passthrough=yes protocol=tcp dst-address=x.x.x.x dst-port=8443 1 chain=prerouting action=mark-routing new-routing-mark=direct passthrough=yes src-address=192.168.7.5 connection-mark=uni [admin@MikroTik] /ip firewall nat> print Flags: X - disabled, I - invalid, D - dynamic # pptp-connect - vpn подключение через которое необходимо ходить # ether1 - статический канал от провайдера 0 chain=srcnat action=masquerade out-interface=pptp-connect 1 chain=srcnat action=masquerade out-interface=ether1 2 chain=dstnat action=dst-nat to-addresses=192.168.7.5 protocol=tcp dst-address=x.x.x.x dst-port=8443 Далее таблица маршрутов. Где 172.17.10.1 это шлюз vpn подключения(сервера). При поднятии VPN я не получаю внешнего адреса как такогого, а только локальный который выдает сервер "172.17.10.5". Собственно поэтому со внехи через шлюз vpn доступа нет т.к. нет адреса, он плавающий(адрес) и крутится со стороны сервера. Необходимо чтобы локальный компьютер "192.168.7.5" использовал для выхода в интернет VPN шлюз, а доступ из вне был через ether1. Зайти на железку используя внешний адрес ether1 на порты 80, 8291 получается без проблем, но вот на порт 8443 локального устройста(192.168.7.5) нет. И правильно ли я сделал Route rule? Что не так? -
Mikrotik входищий и исходящий траффик (2 провайдера)
тему ответил в vlagilen пользователя vlagilen в Mikrotik коммутаторы и маршрутизаторы
В routing mark в таблице маршрутов вы указываете direct? Какие адреса содержатся в "tomsk" ? И почему вы указываете отрицательное значение? Единственное что в "src-address-list" я указал тот самый единственный локальный адрес. Интернет на локальный комп ,при указании маршрута с маркировкой, идет с vpn как и должно, но вот со статики на этот локальный так и не заходит. Железка нормально ведь отвечает со статики и порты работают ее родные (80, 8291), а в локалку ни в какую не перенаправляет. Бред. -
Mikrotik входищий и исходящий траффик (2 провайдера)
тему ответил в vlagilen пользователя vlagilen в Mikrotik коммутаторы и маршрутизаторы
Сделал как у вас, не работает. Немного разобрался почему не хочет работать. Суть в том что физически в маршрутик входиь только ОДИН кабель, на этом порту прописываем статику которую предоставляет провайдер и получаем доступ в просторы интернета с узким каналом и внутри провайдерскую сеть. Внутри этой сети поднимаю vpn (так называемый ранее широкий канал). Следовательно что шлюз у статики и vpn разный. Доступ из вне необходимо имень через "узкую" статику". Если маршруты прописаны со статики то все работает, но вот если прописать маршрут с vpn, до доступа на статику нет потому что маршрут будет резервным. Если физически два кабеля будут заходить в железку, то проблем нет(проверял). Так все таботает. # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 1 A S 0.0.0.0/0 127.0.0.1 1 pptp_connect "Routing mark: mark_ip" в этом случае сам маршрутизатор доступен, но перенаправлять порты отказывается на локальный компьютер # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S 0.0.0.0/0 pptp_connect 1 1 A S 0.0.0.0/0 127.0.0.1 1 -
Mikrotik входищий и исходящий траффик (2 провайдера)
тему ответил в vlagilen пользователя vlagilen в Mikrotik коммутаторы и маршрутизаторы
Не понятна логика данного маршрутизатора. До этого был DFL как ему объясняешь так он и делает. А микротик при активном подключении даже если приоритет у канала стоит меньше он же доступен со внехи и зайти на него можно, но он ни в какую не хочет принимать перенаправление портов на локальные железки до тех пор пока эти железки не будут пользовать этим же маршрутом. Печаль