Перейти к содержимому
Калькуляторы

Maksel

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    4

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем Maksel

  1. Опубликовано · Изменено пользователем Maksel · Жалоба на ответ

    Добавлю еще информации:

    У абонента флудит роутер ipv6 multicast 

    22:49:10.029208 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
22:49:10.043079 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
22:49:10.058325 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
22:49:10.074276 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
22:49:10.089977 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
22:49:10.105564 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
22:49:10.120958 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
22:49:10.137882 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
22:49:10.152060 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
22:49:10.168015 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit
22:49:10.183501 c4:a8:1d:44:2c:0b > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 161: fe80::c6a8:1dff:fe44:2c0b.546 > ff02::1:2.547: dhcp6 solicit

    Последствие - нагрузка CPU до 50%, свитч иногда не отвечает на ping.

    Решение

    Коммутатор D-Link DES-3200 rev C1

    Обычные ACL не сработают, т.к. ipv6 multicast забирается процессором, потому используем:

      

    сreate cpu access_profile profile_id 1 ethernet ethernet_type
config cpu access_profile profile_id 1 add access_id auto_assign ethernet ethernet_type 0x86DD port 1-16 deny
enable cpu_interface_filtering

    и обязательно: 

    config multicast vlan_filtering_mode all filter_unregistered_groups

     

  2. Опубликовано · Жалоба на ответ

    К слову, в последнем срезе при указанном в конфиге service name абоны с пустым service name игнорятся - неплохо было бы это сделать опциональным.

     

     

    Просмотрел посление посты, не увидел решения.

    Это очень актуально, к примеру в сети несколько серверов pppoe, для проверок нужно подключаться к конкретному.

    Раньше было довольео просто при service-name=pr102, сервер принимал и конекты с пустым service name и pr102.

    Теперь чтобы сервер начал принимать конекты абоненто, а у них как правили в пусто service name, приходится писать pppoe set Service-Name *,

    но теперь теряется возможность проверяь другие сервера, т.е мне надо подключиться к pr101, но конекты все ловит этот сервер где прописано *.

    Возвращаю pppoe set Service-Name pr102 - абоненты перестают подключаться.

     

    Надо или вернуть как было, или сделать вкл-выкл. принимать сессия с пустым service name или нет?

  3. Опубликовано · Жалоба на ответ

    Разобрался.

    Надаже такое. как чувствовал что где чего-то нехватает. От нечего делать открыл в WinBox ip-firewall-connections и включил Tracking. Думаю дай хоть посмотрю что это такое. И о чудо все все заработало.

    Так что обидно, что в доках микротика, в нат раделе про то что обязательно нужно включить Tracking ничего несказано.

    Всем спасибо.

  4. Опубликовано · Жалоба на ответ

    Народ помогите.

    Есть две OS 2.9.27(crack) на обычном компе и 3.23 на RouteBoard 433AH (лиц. 5 level).

    Активировал VPN сервер и хочу или занатить или замаскарадить трафик - и не получается. В разделе Firewall создаю единственное правило

    3.23: /ip firewall nat add chain=srcnat src-address=10.0.0.0/20 action=masquerade

    и ничего, пробовал и через WinBox и в версии 2.9.27 не работает.

    если создать правило в 3.23: /ip firewall filter add chain=forward то смотрю в WinBox пакеты через это павило проходят, а вот через nat нехотят.

    В доках вычитал:

    Packages required: system

    License required: Level1 (number of rules limited to 1) , Level3

    Пакет system активный, и вот мысля такая, может nat не работает на Level 5 и 6.

    И еще заметил, что когда захожу через WinBox в ip-firewall-nat и нажимаю создать правило, появляется окошко New NAT Rule и подвисет все на 10-20 сек.

     

    Что я делаю не так ?