Jump to content

Левые IP адреса в хот споте микротика

Fint
 Share

Recommended Posts

Fint

Fint

Posted
Posted

Перешли на авторизацию абонентов через хот спот микротика + радиус по мас. И периодически наблюдаю такую картину:

​http://joxi.ru/1A5xQW8hKa5eb2​

​http://joxi.ru/brR5EYwsQPpK3A​

При отключение порта смотрящего в сторону абонента, в хот споте остаётся только ip выданный нашим dhcp wan порту роутера.

С чем связано такое поведение?

Fint

Fint

Posted
  • Author
Posted (edited)

У клиента в это время обновлялся вартандер. Попросил отключить обновление, левые хосты исчезли после перелогина. Кто нибуть знает как с этим бороться?

Edited by Fint
AKim

AKim

Posted
Posted

У клиента в это время обновлялся вартандер. Попросил отключить обновление, левые хосты исчезли после перелогина. Кто нибуть знает как с этим бороться?

 

У клиента роутер?

 

Бороться никак. Забить и чистить списки хотспота скриптом раз в минуту или по усмотрению. У меня раз в минуту.

/system logging disable 0
:foreach i in [ /ip hotspot host find where authorized =no and bypassed =no ] do={
/ip hotspot host remove $i
}
/system logging enable 0

EShirokiy

EShirokiy

Posted
Posted

В настройках хотспота настраиваете ip binding и никаких проблем, работает отлично вместе со скриптом

/system logging disable 0
:foreach i in [ /ip hotspot host find where idle-time>00:01:00 ] do={
/ip hotspot host remove $i
}
:foreach i in [ /ip hotspot host find where authorized =no and bypassed =no ] do={
/ip hotspot host remove $i
}
/system logging enable 0

Надо его добавить в планировщик на исполнение раз в 3-5 минут.

 

В биндинг добавляйте проблемные подсети.

хотспот.JPG

Fint

Fint

Posted
  • Author
Posted (edited)

В настройках хотспота настраиваете ip binding и никаких проблем, работает отлично вместе со скриптом

/system logging disable 0
:foreach i in [ /ip hotspot host find where idle-time>00:01:00 ] do={
/ip hotspot host remove $i
}
:foreach i in [ /ip hotspot host find where authorized =no and bypassed =no ] do={
/ip hotspot host remove $i
}
/system logging enable 0

Надо его добавить в планировщик на исполнение раз в 3-5 минут.

 

В биндинг добавляйте проблемные подсети.

Именно так и сделал, спасибо.

/ip hotspot ip-binding

add address=10.1.0.0/24 disabled=no server=hotspot1

add address=0.0.0.0/0 disabled=no server=hotspot1 type=blocked

 

 

 

Кстати. Сегодня переделал разрешающее правило на сеть /16. Что бы 2-мя правилами все хот споты прикрыть. Но вот что заметил еще в хостах хот спота, некоторые клиентские роутеры(именно клиентские роутеры wifi, которые находятся за НАТом наших роутеров стоящих на доступе), с 1м иногда с 2мя левыми IP из 0й подсети. И бывает попадается с адресом шлюза, при этом конфликтов ip нет, в arp таблице тоже нет этих ip. Получается что 2мя общиими правилами для всех хот спотов не обойтись, лучше сделать отдельные правила с диапазоном адресов например /26, что бы шлюз сети не занимался?

Edited by Fint
Fint

Fint

Posted
  • Author
Posted

У клиента в это время обновлялся вартандер. Попросил отключить обновление, левые хосты исчезли после перелогина. Кто нибуть знает как с этим бороться?

 

У клиента роутер?

 

 

Схема сети такова, что у каждого клиента на доступе роутер с НАТ, которые получает наш адрес, а от него уже провод идет к клиенту. Так вот за нашим устройством доступа стоит его обычный wifi роутер, видимо с arp-proxy... После добавления правил в IP => Hotspot => IP Bindings левые хосты пропали.

EShirokiy

EShirokiy

Posted
Posted

 

Кстати. Сегодня переделал разрешающее правило на сеть /16. Что бы 2-мя правилами все хот споты прикрыть. Но вот что заметил еще в хостах хот спота, некоторые клиентские роутеры(именно клиентские роутеры wifi, которые находятся за НАТом наших роутеров стоящих на доступе), с 1м иногда с 2мя левыми IP из 0й подсети. И бывает попадается с адресом шлюза, при этом конфликтов ip нет, в arp таблице тоже нет этих ip. Получается что 2мя общиими правилами для всех хот спотов не обойтись, лучше сделать отдельные правила с диапазоном адресов например /26, что бы шлюз сети не занимался?

Не надо разрешать валидные подсети, а запрещать все остальное. Абоненты могут прекрасно работать с другим IP, лишь бы на один мак был один IP.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.