Urs_ak Posted January 11, 2018 Posted January 11, 2018 Подскажите, пожалуйста, кто хорошо в этой теме разбирается. В выгрузке NetFlow с микротика реально увидеть SRC MAC абонента? Может я что-то не так делаю? Я снимаю с bridge_lan и вижу только MACи микротика Напротив "Src. MAC Address" стоит галочка, т.е. выгружается Вот что приходит на сервер сбора NetFlow: # nfdump -R /opt/mikrotik/2018/01/11/nfcapd.201801111055 -o raw Flow Record: Flags = 0x06 FLOW, Unsampled export sysid = 1 size = 112 first = 1515657576 [2018-01-11 10:59:36] last = 1515657578 [2018-01-11 10:59:38] msec_first = 830 msec_last = 990 src addr = 10.111.255.254 dst addr = 74.125.131.139 src port = 61261 dst port = 443 fwd status = 0 tcp flags = 0x00 ...... proto = 17 UDP (src)tos = 0 (in)packets = 11 (in)bytes = 4485 input = 19 output = 16 src mask = 0 /0 dst mask = 0 /0 dst tos = 0 direction = 0 ip next hop = xx.xx.xx.2 in dst mac = 6c:3b:6b:57:7d:4a out src mac = 6c:3b:6b:57:7d:4f ip router = 172.q6.0.37 received at = 1515657596129 [2018-01-11 10:59:56.129] src xlt port = 61261 dst xlt port = 443 src xlt ip = xx.xx.xx.240 dst xlt ip = 74.125.131.139 NFDump умеет такие поля: %ismc Input Src Mac Addr %odmc Output Dst Mac Addr %idmc Input Dst Mac Addr %osmc Output Src Mac Addr Микротик планируется использовать для публичного WiFi и конечно хотелось бы в NetFlow видеть MAC абонента и его NAT трансляции Вставить ник Quote
pingz Posted January 11, 2018 Posted January 11, 2018 WDS не не слышал. Может стоит одну часть записывать через авторизацию?(radius), а вторую часть писать через NetFlow? Вставить ник Quote
Urs_ak Posted January 11, 2018 Author Posted January 11, 2018 Авторизация WiFi не на микротике и она отдельно пишется. Микротик планируется взять под роутер+нат, т.к. уже не хочется давать абонентам публичного WiFi реальный ip (их количество растёт). Хотелось бы всё видеть в netflow с этого микротика, но видимо остановлюсь на журналировании firewall/srcnat, т.к. там есть src-mac абонента и куда он соединялся. Я так понимаю, что в netflow src mac абонента не увидеть. Если поставить ether1 (физический) - то вообще пусто. Ну ладно. Вставить ник Quote
pingz Posted January 11, 2018 Posted January 11, 2018 WDS включен на микротике? Пример похожий у меня клиенты авторизуются на микротике(сервер авторизации) через radius в билинге проходит авторизация, где уже записан мак абонента и серый ip Сам микротик шлет на коллектор NetFlow, коллектор от билинга поэтому он сразу же привязывает флоу к сессий, но это не важно, важно то, что в NetFlow есть какой серый ip на какой ip в интернете ходил. Да же если одна железка будет авторизировать, а другая будет натить и слать флоу, то можно найти мак клиента по серому IP. Вставить ник Quote
Urs_ak Posted January 11, 2018 Author Posted January 11, 2018 54 минуты назад, pingz сказал: WDS включен на микротике? Я чё-то не понимаю - зачем WDS (Wireless Distribution System) в этой теме? У меня микротик - это роутер без WiFi 58 минут назад, pingz сказал: важно то, что в NetFlow есть какой серый ip на какой ip в интернете ходил. Информация об NAT трансляции в netflow есть, тут всё хорошо. А я соблазнился тем, что в netflow будет ещё src-mac как в логе firewall/srcnat и не придётся смотреть в трёх местах. В любом случае - спасибо. Вставить ник Quote
pingz Posted January 12, 2018 Posted January 12, 2018 15 часов назад, Urs_ak сказал: Авторизация WiFi Как я понял есть Wi-Fi и там нужно включить WDS, чтобы мак клиента пролазил 13 часов назад, Urs_ak сказал: Я чё-то не понимаю - зачем WDS (Wireless Distribution System) в этой теме? У меня микротик - это роутер без WiFi У меня то же есть клиенты UBNT 5 ГГц, а авторизация уже на микротике, вот там и включен WDS в противном случае до микратика прилетит мак базовки. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.