[VladOst]

Сразу скажу, что proxy-ARP не только на интерфейсе, а на всём MT не применяется, везде только enabled - проверил!

CCR1009-7G-1C-1S+ (v7.13.4). В SFP порт (отдельный, не комбо) вставлен модуль, и по ВОЛС в него приходит Инет от провайдера. Белый IP. При сёрфе все публичные IP, к которым обращаются пользователи локалки, оседают в ARP таблице. Пробовал её всю почистить, естественно, не помогло - тут же оседают снова. Обратите внимание, в ARP таблице для всех "этих внешних" IP один MAC, и это не MAC моего интерфейса sfp-sfpplus1. Полагаю, что это MAC порта на стороне провайдера. В таблице так же есть и мои локальные IP, со своими корректными MAC, по ним вопросов нет. Есть мысли? Уже весь мозг сломал...

Изменено 15 февраля пользователем VladOst

[jffulcrum]

У всех один MAC. Проверьте, это MAC совпадает с mac-адресом IP шлюза провайдера?

[VladOst]

Да, MAC у этих "чужих" IP совпадает с MAC-ом порта провайдера. Ещё нашёл интересный момент - если заметили, у меня в качестве шлюза указан интерфейс, а не IP. И в ARP таблице обнаружил, что на этот MAC зарегистрировано 5 IP из сети провайдера... При том, с разными третьими октетами в адресе!

193.***.XXX.2

193.***.YYY.1

193.***.YYY.32

193.***.ZZZ.40

193.***.ZZZ.197

PS Пробил эти IP - первые 3 принадлежат провайдеру. Последние два кому-то из Польши. Т.ч. как минимум 3 адреса из разных октетов провайдерские...

Изменено 15 февраля пользователем VladOst

[StSphinx]

@VladOst, то что вы видите как раз следствие того, что в качестве шлюза у вас указан интерфейс. А у провайдера скорее всего на интерфейсе proxy arp.

Никогда не указывайте в качестве шлюза интерфейс, если точно не знаете зачем это вам нужно. А лучше вообще никогда. 

У меня был клиент ровно с такой же проблемой. Спохватились когда на микроте было несколько тысяч arp записей и ему стало плохо.

[VladOst]

Ну я так и подумал.

Я правильно понимаю, что в качестве шлюза указывать интерфейс нужно, только если он динамический (SSTP, PPPoE и т.п.)? А если Ethernet, то IP с маской?

[[anp/hsw]]

В качестве шлюза можно указывать любой p2p-интерфейс, не обязательно динамический.

Но если это интерфейс ethernet, то вам нужен mac-адрес получателя, чтобы знать, куда отправлять пакет. Этим ARP и занимается.

[sirmax]

14 часов назад, [anp/hsw] сказал:

В качестве шлюза можно указывать любой p2p-интерфейс, не обязательно динамический.

Но если это интерфейс ethernet, то вам нужен mac-адрес получателя, чтобы знать, куда отправлять пакет. Этим ARP и занимается.

Уж простите за сарказм, это не к вам сарказм, ваш ответ точен. 

 

«сети для самых маленьких»

 

[jffulcrum]

В 15.02.2024 в 22:10, VladOst сказал:

у меня в качестве шлюза указан интерфейс, а не IP

Это режим предназначен для туннельных интерфейсов (PPP, etc) и подразумевает, что на другой стороне работает proxy-arp. Фактически, роутер шлёт в интерфейс ARP-запросы на все IP, к которым хочет обратиться (к которым нет других маршрутов в таблице маршрутизации), а с другой стороны всегда отвечают своим MAC. Так что вы видите в таблице ARP результаты запросов к внешке из вашей сети. Если же это не туннель, а широковещательная сеть, то в роутер прилетают все ответы на ARP-запросы от всех узлов сети, и роутер их берет, потому что его интерфейс вынужден работать почти в promiscuous  mode, ведь роутер не представляет, кто может ответить на его запросы. Ну и в такой сети очень хорошо зайдет ARP-poisoning. Никогда не используйте не-туннельный интерфейс как gateway для 0.0.0.0/0, а если так говорит делать  провайдер - то:

 

[Saab95]

В 17.02.2024 в 09:13, jffulcrum сказал:

Никогда не используйте не-туннельный интерфейс как gateway для 0.0.0.0/0

Так развелось в интернете инструкций по настройке=)