Jump to content
Калькуляторы

Mikrotik CCR1009, dhcp flood сторонние DHCP в локальной сети

Здраствуйте!

Давненько к вам не обращался за помощью.

Есть железка, на ней поднят РРРоЕ сервер( на 20 VLAN), клиенты подключаются по оптике через BDCOM p3310b©, но вот заметил странные записи в таблице ARP, пропинговав адрес из таблицы, получил доступ к клиентскому роутеру Netis, как такое возможно, роутер одновременно поднимает РРРоЕ и я вижу его локальный адрес?

mik_240.jpgi.gif

 

Ето первое, и второе не могу понять записи в логах. Клиенты жалуются что очень часто обрывает связь и им нужно перегружать свои роутеры.

Скрины додаю. Просьба помочь советом, разобратся в чем проблема. Спасибо

 

log_240.jpgi.gif

Share this post


Link to post
Share on other sites

169.254.0.0 ------ 169.254.255.255 (APIPA only)

По видимому - клиентский роутер(ы) не получает ИП.

-------------

Или клиент намудрил с настройками своего роутера, кабель сунул не туда. ИП не получает по какой то причине, а МАС отображаетсячв АRP таблице с приватним ИР. Етот ИП даже не его сеть.

Edited by mafijs

Share this post


Link to post
Share on other sites

169.254.0.0 ------ 169.254.255.255 (APIPA only)

По видимому - клиентский роутер(ы) не получает ИП.

-------------

Или клиент намудрил с настройками своего роутера, кабель сунул не туда. ИП не получает по какой то причине, а МАС отображаетсячв АRP таблице с приватним ИР. Етот ИП даже не его сеть.

хм, а как с ним боротся? как снять эти записи, есть предложения?

Share this post


Link to post
Share on other sites

хм, а как с ним боротся? как снять эти записи, есть предложения?

вариант - Выловить виновника и навести порядок у клиента в роутере.

Share this post


Link to post
Share on other sites

Вариант не очень, борьба с последствиями, сиречь ветряными мельницами, прокатит разве что при большом количестве бесплатного времени и маленьком числе клиентов.

Share this post


Link to post
Share on other sites

bodyam, у вас на вашем интерфейсе vlan20 висит IP-адрес? Если да, то зачем?

Для работы PPPoE, IP-адреса на ethernet-интерфейсах не нужны. В целях безопасности, на ethernet-интерфейсах опорной сети для PPPoE рекомендуется удалять дефолтные IP-адреса при наличии таковых.

 

P.S. уже дофига народу взломали именно таким путем, но тропа не зарастает.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

5 копеек

Почему на интерфейсам не режите через ACL клиентский трафик?

для DGS

config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit 
config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit 
config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny

 

для Cisco like

mac access-list extende pppoe
permit any any 8863 0000
permit any any 8864 0000
deny any any

 

И абоны не могут друг другу трафик раздавать.

Share this post


Link to post
Share on other sites

bodyam, у вас на вашем интерфейсе vlan20 висит IP-адрес? Если да, то зачем?

Для работы PPPoE, IP-адреса на ethernet-интерфейсах не нужны. В целях безопасности, на ethernet-интерфейсах опорной сети для PPPoE рекомендуется удалять дефолтные IP-адреса при наличии таковых.

 

P.S. уже дофига народу взломали именно таким путем, но тропа не зарастает.

висит, но потому как там у меня 192.168.0.2 - это адрес шлюз для клиентов которые на WiFi - и у них всех статика записана на СХТ к кторой доступа у клиента нет.

конечно у меня есть еще несколько Вланов для других РРРоЕ серверов, на них нет IP адреса.

Share this post


Link to post
Share on other sites

хм, а как с ним боротся? как снять эти записи, есть предложения?

вариант - Выловить виновника и навести порядок у клиента в роутере.

ну вот, нашел виновника. точнее их несколько, у всех стоит роутер Netis и подключен он верно у WAN порт, поскольку набирает соединение к серверу, но также он и светит свой DHCP. Пробовал обяснить людям что их роутер сломался и им нужен другой - пока не очень понимают. Наверно буду с ними поодному боротся, выключать на время.

 

5 копеек

Почему на интерфейсам не режите через ACL клиентский трафик?

для DGS

config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit 
config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit 
config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny

 

И абоны не могут друг другу трафик раздавать.

 

Честно говоря, я не супер профи, если можно пример конкретнее?? Спасибо!

Share this post


Link to post
Share on other sites

Друзья, появилась новая проблема. Непонятно почему идет ребут роутера. У меня стоит ИБП (акум+инвертор+стабик) все новое а ребутится почти через день-три. Да и еще непонятные логи появились, раньше никогда ничего подобного не встречал, может это прошывка?

 

1009_500.jpgi.gif

 

 

Всем спасибо за советы!

Share this post


Link to post
Share on other sites

хм, а как с ним боротся? как снять эти записи, есть предложения?

вариант - Выловить виновника и навести порядок у клиента в роутере.

ну вот, нашел виновника. точнее их несколько, у всех стоит роутер Netis и подключен он верно у WAN порт, поскольку набирает соединение к серверу, но также он и светит свой DHCP. Пробовал обяснить людям что их роутер сломался и им нужен другой - пока не очень понимают. Наверно буду с ними поодному боротся, выключать на время.

 

5 копеек

Почему на интерфейсам не режите через ACL клиентский трафик?

для DGS

config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit 
config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit 
config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny

 

И абоны не могут друг другу трафик раздавать.

 

Честно говоря, я не супер профи, если можно пример конкретнее?? Спасибо!

Коммутаторы на доступе какие?

Профи не нужно быть, нужно почитать про PPPoE. В кадре есть заголовки вот эти значения отвечают за карды PPPoE 8863 8864, все остальные кадры будут дропатся.

Share this post


Link to post
Share on other sites
Да и еще непонятные логи появились, раньше никогда ничего подобного не встречал, может это прошывка?

Это активный компонент ipv6 (System->Packages), а зачем он у вас включен - вам видней.

Share this post


Link to post
Share on other sites

Здраствуйте!

 

Помогите понять проблему с pppoe! 

 

вот часть логов... 

 

10:47:37 memory: pppoe,ppp,info <pppoe-u777>: terminating...
10:47:37 memory: pppoe,ppp,info,account u777 logged out, 134 3506 54 51 3
10:47:37 memory: pppoe,ppp,info <pppoe-u777>: disconnected
[mik@mikrotik] > 
10:47:38 memory: pppoe,ppp,info <pppoe-u888>: terminating...
10:47:38 memory: pppoe,ppp,info,account u888 logged out, 134 3446 54 50 3
10:47:38 memory: pppoe,ppp,info <pppoe-u888>: disconnected

 

 

но проблема не у всех клиентов, некоторые подключены по несколько часов-дней, а есть  несколько что практически колбасит их постоянно.. 

 

вот еще фрагмент лога  

 

 

13:15:55 memory: pppoe,ppp,info <pppoe-u999>: terminating... - link inactive
13:15:55 memory: pppoe,ppp,info,account u999 logged out, 1200 76 101 7 7
13:15:55 memory: pppoe,ppp,info <pppoe-u999>: disconnected

 

 

может у кого случалось что то подобное???
 

 

Share this post


Link to post
Share on other sites

включите логирование pppoe в настройках логирования (system logging), у вас сводка преимущественно по ppp сейчас идёт без инфы какой-либо важной.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this