[Urs_ak]

Подскажите, пожалуйста, кто хорошо в этой теме разбирается.

 

В выгрузке NetFlow с микротика реально увидеть SRC MAC абонента?

Может я что-то не так делаю?

 

Я снимаю с bridge_lan и вижу только MACи микротика

Напротив "Src. MAC Address" стоит галочка, т.е. выгружается

 

Вот что приходит на сервер сбора NetFlow:

# nfdump -R /opt/mikrotik/2018/01/11/nfcapd.201801111055  -o raw

Flow Record: 
  Flags        =              0x06 FLOW, Unsampled
  export sysid =                 1
  size         =               112
  first        =        1515657576 [2018-01-11 10:59:36]
  last         =        1515657578 [2018-01-11 10:59:38]
  msec_first   =               830
  msec_last    =               990
  src addr     =    10.111.255.254
  dst addr     =    74.125.131.139
  src port     =             61261
  dst port     =               443
  fwd status   =                 0
  tcp flags    =              0x00 ......
  proto        =                17 UDP  
  (src)tos     =                 0
  (in)packets  =                11
  (in)bytes    =              4485
  input        =                19
  output       =                16
  src mask     =                 0 /0
  dst mask     =                 0 /0
  dst tos      =                 0
  direction    =                 0
  ip next hop  =        xx.xx.xx.2
  in dst mac   = 6c:3b:6b:57:7d:4a
  out src mac  = 6c:3b:6b:57:7d:4f
  ip router    =       172.q6.0.37
  received at  =     1515657596129 [2018-01-11 10:59:56.129]
  src xlt port =             61261
  dst xlt port =               443
  src xlt ip   =      xx.xx.xx.240
  dst xlt ip   =    74.125.131.139

 

NFDump умеет такие поля:

          %ismc     Input Src Mac Addr
          %odmc     Output Dst Mac Addr
          %idmc     Input Dst Mac Addr
          %osmc     Output Src Mac Addr

 

Микротик планируется использовать для публичного WiFi и конечно хотелось бы в NetFlow видеть MAC абонента и его NAT трансляции

 

[pingz]

WDS не не слышал.

 

Может стоит одну часть записывать через авторизацию?(radius), а вторую часть писать через NetFlow? 

[Urs_ak]

Авторизация WiFi не на микротике и она отдельно пишется. Микротик планируется взять под роутер+нат, т.к. уже не хочется давать абонентам публичного WiFi реальный ip (их количество растёт).

 

Хотелось бы всё видеть в netflow с этого микротика, но видимо остановлюсь на журналировании firewall/srcnat, т.к. там есть src-mac абонента и куда он соединялся.

 

Я так понимаю, что в netflow src mac абонента не увидеть. Если поставить ether1 (физический) - то вообще пусто. Ну ладно.

[pingz]

WDS включен на микротике? 

 

Пример похожий у меня клиенты авторизуются на микротике(сервер авторизации) через radius в билинге проходит авторизация, где уже записан мак абонента и серый ip 

 

Сам микротик шлет на коллектор NetFlow, коллектор от билинга поэтому он сразу же привязывает флоу к сессий, но это не важно, важно то, что в NetFlow есть какой серый ip на какой ip в интернете ходил.

 

Да же если одна железка будет авторизировать, а другая будет натить и слать флоу, то можно найти мак клиента по серому IP.

 

 

[Urs_ak]

54 минуты назад, pingz сказал:

WDS включен на микротике? 

Я чё-то не понимаю - зачем WDS (Wireless Distribution System) в этой теме? У меня микротик - это роутер без WiFi

 

58 минут назад, pingz сказал:

важно то, что в NetFlow есть какой серый ip на какой ip в интернете ходил.

Информация об NAT трансляции в netflow есть, тут всё хорошо.

А я соблазнился тем, что в netflow будет ещё src-mac как в логе firewall/srcnat и не придётся смотреть в трёх местах.

 

В любом случае - спасибо.

[pingz]

15 часов назад, Urs_ak сказал:

Авторизация WiFi

Как я понял есть Wi-Fi и там нужно включить WDS, чтобы мак клиента пролазил

 

13 часов назад, Urs_ak сказал:

Я чё-то не понимаю - зачем WDS (Wireless Distribution System) в этой теме? У меня микротик - это роутер без WiFi

У меня то же есть клиенты UBNT 5 ГГц, а авторизация уже на микротике, вот там и включен WDS в противном случае до микратика прилетит мак базовки.