Jump to content

Mikrotik CCR1009, dhcp flood

bodyam
 Share

Recommended Posts

bodyam

bodyam

Posted
Posted

Здраствуйте!

Давненько к вам не обращался за помощью.

Есть железка, на ней поднят РРРоЕ сервер( на 20 VLAN), клиенты подключаются по оптике через BDCOM p3310b©, но вот заметил странные записи в таблице ARP, пропинговав адрес из таблицы, получил доступ к клиентскому роутеру Netis, как такое возможно, роутер одновременно поднимает РРРоЕ и я вижу его локальный адрес?

mik_240.jpgi.gif

 

Ето первое, и второе не могу понять записи в логах. Клиенты жалуются что очень часто обрывает связь и им нужно перегружать свои роутеры.

Скрины додаю. Просьба помочь советом, разобратся в чем проблема. Спасибо

 

log_240.jpgi.gif

mafijs

mafijs

Posted
Posted (edited)

169.254.0.0 ------ 169.254.255.255 (APIPA only)

По видимому - клиентский роутер(ы) не получает ИП.

-------------

Или клиент намудрил с настройками своего роутера, кабель сунул не туда. ИП не получает по какой то причине, а МАС отображаетсячв АRP таблице с приватним ИР. Етот ИП даже не его сеть.

Edited by mafijs
bodyam

bodyam

Posted
  • Author
Posted

169.254.0.0 ------ 169.254.255.255 (APIPA only)

По видимому - клиентский роутер(ы) не получает ИП.

-------------

Или клиент намудрил с настройками своего роутера, кабель сунул не туда. ИП не получает по какой то причине, а МАС отображаетсячв АRP таблице с приватним ИР. Етот ИП даже не его сеть.

хм, а как с ним боротся? как снять эти записи, есть предложения?

mafijs

mafijs

Posted
Posted

хм, а как с ним боротся? как снять эти записи, есть предложения?

вариант - Выловить виновника и навести порядок у клиента в роутере.

DRiVen

DRiVen

Posted
Posted

Вариант не очень, борьба с последствиями, сиречь ветряными мельницами, прокатит разве что при большом количестве бесплатного времени и маленьком числе клиентов.

nkusnetsov

nkusnetsov

Posted
Posted (edited)

bodyam, у вас на вашем интерфейсе vlan20 висит IP-адрес? Если да, то зачем?

Для работы PPPoE, IP-адреса на ethernet-интерфейсах не нужны. В целях безопасности, на ethernet-интерфейсах опорной сети для PPPoE рекомендуется удалять дефолтные IP-адреса при наличии таковых.

 

P.S. уже дофига народу взломали именно таким путем, но тропа не зарастает.

Edited by nkusnetsov
pingz

pingz

Posted
Posted

5 копеек

Почему на интерфейсам не режите через ACL клиентский трафик?

для DGS

config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit 
config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit 
config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny

 

для Cisco like

mac access-list extende pppoe
permit any any 8863 0000
permit any any 8864 0000
deny any any

 

И абоны не могут друг другу трафик раздавать.

  • 3 weeks later...
bodyam

bodyam

Posted
  • Author
Posted

bodyam, у вас на вашем интерфейсе vlan20 висит IP-адрес? Если да, то зачем?

Для работы PPPoE, IP-адреса на ethernet-интерфейсах не нужны. В целях безопасности, на ethernet-интерфейсах опорной сети для PPPoE рекомендуется удалять дефолтные IP-адреса при наличии таковых.

 

P.S. уже дофига народу взломали именно таким путем, но тропа не зарастает.

висит, но потому как там у меня 192.168.0.2 - это адрес шлюз для клиентов которые на WiFi - и у них всех статика записана на СХТ к кторой доступа у клиента нет.

конечно у меня есть еще несколько Вланов для других РРРоЕ серверов, на них нет IP адреса.

bodyam

bodyam

Posted
  • Author
Posted

хм, а как с ним боротся? как снять эти записи, есть предложения?

вариант - Выловить виновника и навести порядок у клиента в роутере.

ну вот, нашел виновника. точнее их несколько, у всех стоит роутер Netis и подключен он верно у WAN порт, поскольку набирает соединение к серверу, но также он и светит свой DHCP. Пробовал обяснить людям что их роутер сломался и им нужен другой - пока не очень понимают. Наверно буду с ними поодному боротся, выключать на время.

 

5 копеек

Почему на интерфейсам не режите через ACL клиентский трафик?

для DGS

config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit 
config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit 
config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny

 

И абоны не могут друг другу трафик раздавать.

 

Честно говоря, я не супер профи, если можно пример конкретнее?? Спасибо!

bodyam

bodyam

Posted
  • Author
Posted

Друзья, появилась новая проблема. Непонятно почему идет ребут роутера. У меня стоит ИБП (акум+инвертор+стабик) все новое а ребутится почти через день-три. Да и еще непонятные логи появились, раньше никогда ничего подобного не встречал, может это прошывка?

 

1009_500.jpgi.gif

 

 

Всем спасибо за советы!

pingz

pingz

Posted
Posted

хм, а как с ним боротся? как снять эти записи, есть предложения?

вариант - Выловить виновника и навести порядок у клиента в роутере.

ну вот, нашел виновника. точнее их несколько, у всех стоит роутер Netis и подключен он верно у WAN порт, поскольку набирает соединение к серверу, но также он и светит свой DHCP. Пробовал обяснить людям что их роутер сломался и им нужен другой - пока не очень понимают. Наверно буду с ними поодному боротся, выключать на время.

 

5 копеек

Почему на интерфейсам не режите через ACL клиентский трафик?

для DGS

config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit 
config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit 
config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny

 

И абоны не могут друг другу трафик раздавать.

 

Честно говоря, я не супер профи, если можно пример конкретнее?? Спасибо!

Коммутаторы на доступе какие?

Профи не нужно быть, нужно почитать про PPPoE. В кадре есть заголовки вот эти значения отвечают за карды PPPoE 8863 8864, все остальные кадры будут дропатся.

DRiVen

DRiVen

Posted
Posted
Да и еще непонятные логи появились, раньше никогда ничего подобного не встречал, может это прошывка?

Это активный компонент ipv6 (System->Packages), а зачем он у вас включен - вам видней.

  • 1 month later...
bodyam

bodyam

Posted
  • Author
Posted

Здраствуйте!

 

Помогите понять проблему с pppoe! 

 

вот часть логов... 

 

10:47:37 memory: pppoe,ppp,info <pppoe-u777>: terminating...
10:47:37 memory: pppoe,ppp,info,account u777 logged out, 134 3506 54 51 3
10:47:37 memory: pppoe,ppp,info <pppoe-u777>: disconnected
[mik@mikrotik] > 
10:47:38 memory: pppoe,ppp,info <pppoe-u888>: terminating...
10:47:38 memory: pppoe,ppp,info,account u888 logged out, 134 3446 54 50 3
10:47:38 memory: pppoe,ppp,info <pppoe-u888>: disconnected

 

 

но проблема не у всех клиентов, некоторые подключены по несколько часов-дней, а есть  несколько что практически колбасит их постоянно.. 

 

вот еще фрагмент лога  

 

 

13:15:55 memory: pppoe,ppp,info <pppoe-u999>: terminating... - link inactive
13:15:55 memory: pppoe,ppp,info,account u999 logged out, 1200 76 101 7 7
13:15:55 memory: pppoe,ppp,info <pppoe-u999>: disconnected

 

 

может у кого случалось что то подобное???
 

 

korsakik

korsakik

Posted
Posted

включите логирование pppoe в настройках логирования (system logging), у вас сводка преимущественно по ppp сейчас идёт без инфы какой-либо важной.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.