Jump to content
Калькуляторы

Mikrotik нещадно жрёт трафик 3G MTS

доброго дня!

 

Mikrotik RB751G

модем USB - 822FT

 

в детализации расходов МТС записывает примерно каждые 10 минут по сотне-две мегабайт

поддержка МТС ничего сказать не может, округление по описанию интернет опции - покилобайтное

 

самое интересное, что когда втыкаю этот же модем в ноут - траф не улетает...

 

что и кому надо запретить, подскажите плиз )

Share this post


Link to post
Share on other sites

На микротике DNS/"Allow remote requests" не включён, случаем?

 

А так, воткните модем в микротик, и torch'ем с на модемном интерфейсе посмотрите, что там летает. В торче поставьте "entry timeout" в 10 минут, чтобы история сохранялась. Если не верите торчу, то Tools -> Packet Sniffer -> Streaming, и транслируйте в какой-нибудь свой wireshark.

Share this post


Link to post
Share on other sites

На микротике DNS/"Allow remote requests" не включён, случаем?

 

А так, воткните модем в микротик, и torch'ем с на модемном интерфейсе посмотрите, что там летает. В торче поставьте "entry timeout" в 10 минут, чтобы история сохранялась. Если не верите торчу, то Tools -> Packet Sniffer -> Streaming, и транслируйте в какой-нибудь свой wireshark.

 

У меня аналогичная проблема как интернет включишь весь трафик кончается через несколько часов. думал что комп со старым виндоусом чудит. но увидел в теме что микротик трафик качает. На микротике DNS/"Allow remote requests" у меня включен. Как эта настройка может влиять на потреблени трафика? она же для того чтобы микротик выступал в роли DNS сервера.

Share this post


Link to post
Share on other sites

На микротике DNS/"Allow remote requests" у меня включен

 

Ну дак посмотрите в трафик, вы может давно часть ботнета для DNS Amplification Attack ;) Надо файрволом закрывать DNS от внешней сети. (В дефолтовой конфигурации, емнип, входящий трафик на eth1-gateway дропается, но вряд ли это происходит на интерфейсе, которым USB-модем смотрит)

Share this post


Link to post
Share on other sites

На микротике DNS/"Allow remote requests" не включён, случаем?

 

А так, воткните модем в микротик, и torch'ем с на модемном интерфейсе посмотрите, что там летает. В торче поставьте "entry timeout" в 10 минут, чтобы история сохранялась. Если не верите торчу, то Tools -> Packet Sniffer -> Streaming, и транслируйте в какой-нибудь свой wireshark.

 

У меня аналогичная проблема как интернет включишь весь трафик кончается через несколько часов. думал что комп со старым виндоусом чудит. но увидел в теме что микротик трафик качает. На микротике DNS/"Allow remote requests" у меня включен. Как эта настройка может влиять на потреблени трафика? она же для того чтобы микротик выступал в роли DNS сервера.

Это старый баг, выключите и проблема уйдет.

Share this post


Link to post
Share on other sites

Ну дак посмотрите в трафик, вы может давно часть ботнета для DNS Amplification Attack ;) Надо файрволом закрывать DNS от внешней сети. (В дефолтовой конфигурации, емнип, входящий трафик на eth1-gateway дропается, но вряд ли это происходит на интерфейсе, которым USB-модем смотрит)

 

В таких случаях ставят два микротика - первый пускает всех в интернет, на нем DNS отключен. Второй микротик подключен к первому и работает через его НАТ, на нем включаете DNS, т.к. он работает по серым адресам, то никто на него извне не попадет, а первый микротик не потребуется закрывать файрволами.

Share this post


Link to post
Share on other sites

Ну дак посмотрите в трафик, вы может давно часть ботнета для DNS Amplification Attack ;) Надо файрволом закрывать DNS от внешней сети. (В дефолтовой конфигурации, емнип, входящий трафик на eth1-gateway дропается, но вряд ли это происходит на интерфейсе, которым USB-модем смотрит)

 

В таких случаях ставят два микротика - первый пускает всех в интернет, на нем DNS отключен. Второй микротик подключен к первому и работает через его НАТ, на нем включаете DNS, т.к. он работает по серым адресам, то никто на него извне не попадет, а первый микротик не потребуется закрывать файрволами.

Ты забыл про третий микротик который будет ребутить первые два если вдруг зависнут.

Share this post


Link to post
Share on other sites

В таких случаях ставят два микротика - первый пускает всех в интернет, на нем DNS отключен. Второй микротик подключен к первому и работает через его НАТ, на нем включаете DNS, т.к. он работает по серым адресам, то никто на него извне не попадет, а первый микротик не потребуется закрывать файрволами.

 

"Нужно больше микротиков", лишь бы не усложнять конфигурацию двумя строчками в файрволе. Oh wait, это же анекдот, да? Про "надеть презерватив, смазать йодом, сверху второй, смазать зелёнкой, сверху третий, загипсовать, сверху четвёртый, забетонировать, а главное - никаких половых связей".

 

Ты забыл про третий микротик который будет ребутить первые два если вдруг зависнут.

 

Ну точно анекдот. Третий микротик должен будет следить за первыми двумя интеллигентами.

Share this post


Link to post
Share on other sites

В таких случаях ставят два микротика - первый пускает всех в интернет, на нем DNS отключен. Второй микротик подключен к первому и работает через его НАТ, на нем включаете DNS, т.к. он работает по серым адресам, то никто на него извне не попадет, а первый микротик не потребуется закрывать файрволами.

 

"Нужно больше микротиков", лишь бы не усложнять конфигурацию двумя строчками в файрволе. Oh wait, это же анекдот, да? Про "надеть презерватив, смазать йодом, сверху второй, смазать зелёнкой, сверху третий, загипсовать, сверху четвёртый, забетонировать, а главное - никаких половых связей".

 

Ты забыл про третий микротик который будет ребутить первые два если вдруг зависнут.

 

Ну точно анекдот. Третий микротик должен будет следить за первыми двумя интеллигентами.

Нет анекдота, один микротик сам по себе не рабочий, во и сует их саб пачкам в каждую дырку.:))

Share this post


Link to post
Share on other sites

Как выглядит строчка в Firewall чтобы блокировать доступ к DNS из интернета? нужно только 53 порт блокировать или что-то еще?

И если я модем цепляю к микротику, он висит на внутренних IP провайдера и к нему только из сети провайдера могут ведь подключиться

А вообще нужна ли функция Allow remote requests внутри обычной сети? можно ведь раздавать DNS от провайдера или 8.8.8.8 например.

Я раньше всегда включал эту галочку...

 

у меня есть 3 микротика ... буду пробовать:)

Share this post


Link to post
Share on other sites

На МТС-е обычно серый IP и трафик даже внутри МТС-а не ходит по серым сетям.

Если у вас корпоративный тариф и подключена услуга static IP или real IP то да может быть бага с DNS-ом.

 

А вам тик случаем не saab95 настраивал?

Он недавно хвастался что ботнет учинил из тиков по всей стране.

Share this post


Link to post
Share on other sites

Как выглядит строчка в Firewall чтобы блокировать доступ к DNS из интернета? нужно только 53 порт блокировать или что-то еще?

У меня выглядит так:

 

/ip firewall filter
add action=drop chain=input comment="Drop external DNS" dst-port=53 in-interface=!bridge-local log-prefix=DNS protocol=udp
add action=drop chain=input comment="Drop external DNS" dst-port=53 in-interface=!bridge-local log-prefix=DNS protocol=tcp

 

А вообще нужна ли функция Allow remote requests внутри обычной сети? можно ведь раздавать DNS от провайдера или 8.8.8.8 например.

Когда пинг дикий до ближайшего DNS, имеет смысл кешировать локально -- мне разница через 100мс туннель чувствуется. Через мобильный интернет наверяка тоже будет чувствоваться.

Edited by shipilev

Share this post


Link to post
Share on other sites

В таких случаях ставят два микротика - первый пускает всех в интернет, на нем DNS отключен.

Вот с одной стороны я тоже микротикнут наглухо и пихаю их куда возможно не стоит, но вот нафига давать идиотские советы?

 

По хорошему, как уже говорили выше дропайте весь ненужный input на интерфейс модема, оставляете себе ssh, оставляете icmp.

И так же дропайте к чертям весь лишний трафик из вашей же сети, выпускайте наружу только коннекты по нужным портам/протоколам.

А вообще нужна ли функция Allow remote requests внутри обычной сети?

Нужна. Т.к. как минимум есть кеш и возможность писать свои статичные записи.

Как выглядит строчка в Firewall чтобы блокировать доступ к DNS из интернета?

подсказываю 2 последних строки - дроп на input и forward без указания интерфейсов/портов/etc. Выше нужное количество строчек разрешающих.

Share this post


Link to post
Share on other sites

У меня выглядит так:

 

/ip firewall filter
add action=drop chain=input comment="Drop external DNS" dst-port=53 in-interface=!bridge-local log-prefix=DNS protocol=udp
add action=drop chain=input comment="Drop external DNS" dst-port=53 in-interface=!bridge-local log-prefix=DNS protocol=tcp

 

DNS работает по UDP, поэтому если у вас нет счетчиков по второму правилу, то его следует удалить. Кроме всего проверять нужно не по входному интерфейсу абонентов, а по входному от провайдера. А еще лучше проверять по IP, например указав ! 192.168.0.0/16 как вариант.

Share this post


Link to post
Share on other sites

Вот с одной стороны я тоже микротикнут наглухо и пихаю их куда возможно не стоит, но вот нафига давать идиотские советы?

 

Вы образование какое-то получали по сетевым технологиям? Там четко на всех картинках было указано, что отдельно стоит файрвол, отдельно стоит НАТ, отдельно стоит ДНС сервер, да не один, отдельно ФТП сервер, отдельно файловый сервер и так далее. На практике, все почему-то пихают все на одну железку, обвешав ее совершенно не нужными правилами файрвола. Применительно к микротику - поставьте внутри локальной сети микротик для DNS, тогда на него никто доступ извне не получит. Если у вас через маршрутизаторы не один гигабит трафика ходит, лишние блокировки там ни к чему.

 

По хорошему, как уже говорили выше дропайте весь ненужный input на интерфейс модема, оставляете себе ssh, оставляете icmp.

И так же дропайте к чертям весь лишний трафик из вашей же сети, выпускайте наружу только коннекты по нужным портам/протоколам.

 

Зачем? Что бы потом создать тему - "микротик затыкается на 200мбит трафика, хочу заменить его на линукс"? На микротике не требуется установка никаких файрволов, т.к. по создаваемой нагрузке нет разницы, придет пакет и будет отброшен фильтром, или просто придет на интерфейс и будет так же отброшен. Изнутри сети так же не надо ничего блокировать. Есть такие любители, мак-телнет отключать на микротике для безопасности, только когда, по какой-то причине, до него теряется доступ по IP, приходится ехать и сбрасывать.

Share this post


Link to post
Share on other sites

DNS работает по UDP

 

"Вы образование какое-то получали по сетевым технологиям?" (с)

Ничего, что (в т.ч. на микротиках) dns-сервер слушает на обоих 53/udp и 53/tcp?

Раз никто ещё не атаковал, то не надо и защищаться?

 

Starting Nmap 6.40 ( http://nmap.org ) at 2015-06-11 17:24 MSK
Nmap scan report for 192.168.79.1
Host is up (0.00030s latency).
Not shown: 995 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
53/tcp   open  domain <---!
80/tcp   open  http
MAC Address: xx:xx:xx:xx:xx:xx (Routerboard.com)

 

Кроме всего проверять нужно не по входному интерфейсу абонентов, а по входному от провайдера.

 

Да-да, чтобы через месяц после настройки динамический интерфейс от USB-модема продолбать.

Share this post


Link to post
Share on other sites

Второй микротик подключен к первому и работает через его НАТ, на нем включаете DNS, т.к. он работает по серым адресам, то никто на него извне не попадет, а первый микротик не потребуется закрывать файрволами.
Вы образование какое-то получали по сетевым технологиям?
Применительно к микротику - поставьте внутри локальной сети микротик для DNS
Изнутри сети так же не надо ничего блокировать.

Выдыхай!)

1) костыль костылем костылим

2) а вы?

3) если у меня есть возможность поставить еще что-то внутри сети в роли dns сервера, то это будет точно не тик. Его dns убог и есть для галочки.

4) ну-ну, вы мне еще upnp предложите включить. Бест блин практикс - дроп любого трафика, который так или иначе может проходить через интерфейсы маршрутизатора, а потом разрешаем нужное. Если в вашем образовании(доброкачественном?) по сетевым технологиям как то иначе, ну печаль-беда.

Share this post


Link to post
Share on other sites

1) костыль костылем костылим

 

Это в вашем понимании костыль, в нашем вполне рабочий инструмент.

 

2) а вы?

 

Да получал, и не одно.

 

3) если у меня есть возможность поставить еще что-то внутри сети в роли dns сервера, то это будет точно не тик. Его dns убог и есть для галочки.

 

Какие еще возможности от DNS сервера требуются, которые не дает микротик?

 

4) ну-ну, вы мне еще upnp предложите включить. Бест блин практикс - дроп любого трафика, который так или иначе может проходить через интерфейсы маршрутизатора, а потом разрешаем нужное. Если в вашем образовании(доброкачественном?) по сетевым технологиям как то иначе, ну печаль-беда.

 

Это плохое решение дропать весь трафик, а после разрешать прохождение некоторого. Тем самым повышается нагрузка на процессор, появляются проблемы вида отсутствия связи, потому что случайно разрешающее правило убрали. Кроме всего усложняется типовой конфиг устройства, и во многих случаях конфиги становятся разными, что не удобно.

 

Есть такие операторы, которые дропают весь трафик от абонентов, а после пускают тех, у которых разрешающее правило есть. У них часто бывают проблемы вида клиент оплатил, а разрешающее правило почему-то потерялось.

Есть другие, которые не дропают весь трафик, а дропают только от тех абонентов, которые не должны работать. Если несколько правил потеряются, несколько абонентов получат халяву, но жаловаться никто не будет. Сейчас напишут что мол абоненты сами поставят себе чужие адреса и будут сидеть нахаляву - в L3 сети такого не бывает.

Share this post


Link to post
Share on other sites

Какие еще возможности от DNS сервера требуются, которые не дает микротик?

Йомлин. DNS на тике есть форвардер и кеш. Все.

Это плохое решение дропать весь трафик, а после разрешать прохождение некоторого.....У них часто бывают проблемы вида клиент оплатил, а разрешающее правило почему-то потерялось.....

Причем тут операторы связи? У человека 3г!!!

Какие абоненты?

 

Дальнейшая дискуссия видимо смысла не имеет. У вас "Смешались в кучу кони, люди, И залпы тысячи орудий".

Share this post


Link to post
Share on other sites

Йомлин. DNS на тике есть форвардер и кеш. Все.

И статик энтрис. На роутерах разве что-то еще бывает?

 

С этим микротик вполне успешно справляется.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.