Mikrotik получает чужой трафик?

[XoHoL]

Всех приветствую.

Помогите разобраться в чём проблема в провайдере или в микротике.

Суть проблемы: Провайдер выделил внутренний айпи адрес для своей локальной сети(город у нас маленький, с торентов качать дорого), свой RB951Ui-2HnD настроил сам, но заметил спустя время что скорость скачки с локальной сети провайдера периодично падает до 10-20 Мбит из выделеных мне провайдером 100Мбит. И вот что наковырял при поиске проблемы: сосед, подключённый к тому же провайдеру и той же локальной сети, приходя домой с работы ставит на скачку фильмы в dc++, но его трафик летит и к нему и ко мне.

Вопрос: Это у меня руки из ж... что я микротик не по феншую настроил, или провайдер сэкономил на оборудовании?

Может кто из гуру подскажет куда именно копать. Заранее спасибо!

[Constantin]

проблемма у прова, сами прошли такое у ттк ( полгода доказывали этим тупым козам и козлам на кал центре)

 

решили только после того как нашли личный выход на местных админов.

 

 

трафик с моего порта зеркалировался на 4 клиентов )))))

[XoHoL]

Понял, Благодарю.

[XoHoL]

Провайдер говорит оборудование может быть настроено в режиме сниффера... Но где это поглядеть в микротике я ума не приложу.

[Negator]

у провайдера хаб?

[XoHoL]

у провайдера хаб?

А вот тут история умалчивает. Сам посмотреть не могу, под замком оборудование, а провайдер на отрез отказывается говорить что за оборудование стоит.

[pingz]

Установи на пк Wireshark подключись к провайдеру на прямую без пппое скинь им пару гигов лога пусть чешут репу.

[aytishnikcom]

Попробуйте вот этот конфиг

(New Terminal):

 

/ip firewall filter

# Фильтруем полезный ICMP
add chain=icmp protocol=icmp icmp-options=0:0 action=accept comment="ICMP echo reply"
add chain=icmp protocol=icmp icmp-options=3:0 action=accept comment="ICMP net unreachable"
add chain=icmp protocol=icmp icmp-options=3:1 action=accept comment="ICMP host unreachable"
add chain=icmp protocol=icmp icmp-options=3:4 action=accept comment="ICMP host unreachable fragmentation required"
add chain=icmp protocol=icmp icmp-options=4:0 action=accept comment="ICMP allow source quench"
add chain=icmp protocol=icmp icmp-options=8:0 action=accept comment="ICMP allow echo request"
add chain=icmp protocol=icmp icmp-options=11:0 action=accept comment="ICMP allow time exceed"
add chain=icmp protocol=icmp icmp-options=12:0 action=accept comment="ICMP allow parameter bad"
add chain=icmp action=drop comment="ICMP deny all other types"

# Блокируем Bogon
add action=drop chain=forward comment="Block Bogon IP Address" src-address=127.0.0.0/8
add action=drop chain=forward dst-address=127.0.0.0/8
add action=drop chain=forward src-address=224.0.0.0/3
add action=drop chain=forward dst-address=224.0.0.0/3

# Блокируем DNS запросы на внешний интерфейс
add action=drop chain=input comment="Drop DNS" dst-port=53 in-interface=WAN protocol=udp
add action=drop chain=input dst-port=53 in-interface=WAN protocol=tcp

# Разрешаем уже установленные подключения и связанные
add chain=input connection-state=established action=accept comment="Allow Established connections"
add chain=input connection-state=related action=accept comment="Allow Related connections"

# Разрешаем внешние подключения для собственных нужд
add action=accept chain=input dst-port=80 in-interface=WAN protocol=tcp comment="Allow HTTP"
add action=accept chain=input dst-port=161 in-interface=WAN protocol=udp comment="Allow SNMP"
add action=accept chain=input dst-port=443 in-interface=WAN protocol=tcp comment="Allow HTTPS"

# Запрет всех входящих на маршрутизатор
add chain=input in-interface=WAN action=drop comment="Drop everything else"

# Разрешаем уже установленные подключения и связанные
add chain=forward connection-state=established action=accept comment="Allow Established connections"
add chain=forward connection-state=related action=accept comment="Allow Related connections"

# Запрет транзита '''битых''' и '''неправильных''' пакетов
add chain=forward connection-state=invalid action=drop comment="Drop Invalid connections"

# Заперт установки новых транзитных входящих соединений на WAN порту
add action=drop chain=forward comment="Drop new forward WAN" connection-state=new in-interface=WAN

 

Где-то была уже тема, тоже прилетал чужой трафик.

Edited December 7, 2015 by aytishnikcom

[Constantin]

Попробуйте вот этот конфиг

 

Бугага, думать когда будем? и как это защитит от трафика который УЖЕ прилетел на порт и занял его емкость? ну оставите его без ответа, который ему в принципе и не нужен...

 

о боже ....

[KDmitrii]

Для чистоты эксперимента:

1) подключить нотник\ПК на прямую в соску провайдера. Без участяю роутеров\микротиков и т.д.

2) на нотнике запустить WireShark и слушать что приходит на порт.

 

Вот что выловите, выложите сюда. Если виноват провайдер, то с этим логом к админам (ВАЖНО не в тех.под.!)

 

Может Ваш сосед чаго мутит с МАК адресами, или Вы поставили его МАК адрес?

Edited December 9, 2015 by KDmitrii

[XoHoL]

Для чистоты эксперимента:

1) подключить нотник\ПК на прямую в соску провайдера. Без участяю роутеров\микротиков и т.д.

2) на нотнике запустить WireShark и слушать что приходит на порт.

 

Вот что выловите, выложите сюда. Если виноват провайдер, то с этим логом к админам (ВАЖНО не в тех.под.!)

 

Может Ваш сосед чаго мутит с МАК адресами, или Вы поставили его МАК адрес?

Спасибо, уже не нужно, разобрался, проблема была в провайдере. После поста на форуме тех поддержки провайдер устранил проблему.