VladOst Опубликовано 15 февраля (изменено) · Жалоба Сразу скажу, что proxy-ARP не только на интерфейсе, а на всём MT не применяется, везде только enabled - проверил! CCR1009-7G-1C-1S+ (v7.13.4). В SFP порт (отдельный, не комбо) вставлен модуль, и по ВОЛС в него приходит Инет от провайдера. Белый IP. При сёрфе все публичные IP, к которым обращаются пользователи локалки, оседают в ARP таблице. Пробовал её всю почистить, естественно, не помогло - тут же оседают снова. Обратите внимание, в ARP таблице для всех "этих внешних" IP один MAC, и это не MAC моего интерфейса sfp-sfpplus1. Полагаю, что это MAC порта на стороне провайдера. В таблице так же есть и мои локальные IP, со своими корректными MAC, по ним вопросов нет. Есть мысли? Уже весь мозг сломал... Изменено 15 февраля пользователем VladOst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 15 февраля · Жалоба У всех один MAC. Проверьте, это MAC совпадает с mac-адресом IP шлюза провайдера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VladOst Опубликовано 15 февраля (изменено) · Жалоба Да, MAC у этих "чужих" IP совпадает с MAC-ом порта провайдера. Ещё нашёл интересный момент - если заметили, у меня в качестве шлюза указан интерфейс, а не IP. И в ARP таблице обнаружил, что на этот MAC зарегистрировано 5 IP из сети провайдера... При том, с разными третьими октетами в адресе! 193.***.XXX.2 193.***.YYY.1 193.***.YYY.32 193.***.ZZZ.40 193.***.ZZZ.197 PS Пробил эти IP - первые 3 принадлежат провайдеру. Последние два кому-то из Польши. Т.ч. как минимум 3 адреса из разных октетов провайдерские... Изменено 15 февраля пользователем VladOst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 15 февраля · Жалоба @VladOst, то что вы видите как раз следствие того, что в качестве шлюза у вас указан интерфейс. А у провайдера скорее всего на интерфейсе proxy arp. Никогда не указывайте в качестве шлюза интерфейс, если точно не знаете зачем это вам нужно. А лучше вообще никогда. У меня был клиент ровно с такой же проблемой. Спохватились когда на микроте было несколько тысяч arp записей и ему стало плохо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VladOst Опубликовано 16 февраля · Жалоба Ну я так и подумал. Я правильно понимаю, что в качестве шлюза указывать интерфейс нужно, только если он динамический (SSTP, PPPoE и т.п.)? А если Ethernet, то IP с маской? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 16 февраля · Жалоба В качестве шлюза можно указывать любой p2p-интерфейс, не обязательно динамический. Но если это интерфейс ethernet, то вам нужен mac-адрес получателя, чтобы знать, куда отправлять пакет. Этим ARP и занимается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 16 февраля · Жалоба 14 часов назад, [anp/hsw] сказал: В качестве шлюза можно указывать любой p2p-интерфейс, не обязательно динамический. Но если это интерфейс ethernet, то вам нужен mac-адрес получателя, чтобы знать, куда отправлять пакет. Этим ARP и занимается. Уж простите за сарказм, это не к вам сарказм, ваш ответ точен. «сети для самых маленьких» Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 17 февраля · Жалоба В 15.02.2024 в 22:10, VladOst сказал: у меня в качестве шлюза указан интерфейс, а не IP Это режим предназначен для туннельных интерфейсов (PPP, etc) и подразумевает, что на другой стороне работает proxy-arp. Фактически, роутер шлёт в интерфейс ARP-запросы на все IP, к которым хочет обратиться (к которым нет других маршрутов в таблице маршрутизации), а с другой стороны всегда отвечают своим MAC. Так что вы видите в таблице ARP результаты запросов к внешке из вашей сети. Если же это не туннель, а широковещательная сеть, то в роутер прилетают все ответы на ARP-запросы от всех узлов сети, и роутер их берет, потому что его интерфейс вынужден работать почти в promiscuous mode, ведь роутер не представляет, кто может ответить на его запросы. Ну и в такой сети очень хорошо зайдет ARP-poisoning. Никогда не используйте не-туннельный интерфейс как gateway для 0.0.0.0/0, а если так говорит делать провайдер - то: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 февраля · Жалоба В 17.02.2024 в 09:13, jffulcrum сказал: Никогда не используйте не-туннельный интерфейс как gateway для 0.0.0.0/0 Так развелось в интернете инструкций по настройке=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...