Jump to content
Калькуляторы

маршрутизация отзеркаленного трафика accounting для СОРМа

Добрый день!

 

Есть задача подать поток accounting на СОРМ вышестоящего провайдера (ТТК)

 

Мне выдали влан, посадили на него /30 и сказали, что мой ip 192.168.10.2 а их 192.168.10.1

И на 192.168.10.1 надо подать accounting (UDP 1813)

 

С чего я начал:

- отзеркалил порт, по которому идет accounting

- подал этот трафик на mikrotik ether2

- снифером посмотрел трафик - пакеты есть. [src=10.10.10.2 dst=10.10.10.1 UDP dsp-port=1813]

- меняю мас на ether2, чтоб он был равен мас-у которому предназначен пакет [src=10.10.10.2 dst=10.10.10.1 UDP dsp-port=1813]

- ставлю на ether2 ip=10.10.10.1/30

- создаю правило chain=dstnat action=dst-nat to-addresses=192.168.10.1 protocol=udp dst-address=10.10.10.1 in-interface=ether2 dst-port=1813

 

и под счетчик правила ничего не попадает.

 

-меняю правило chain=dstnat action=dst-nat to-addresses=192.168.10.1 in-interface=ether2

 

и счетчик начинает тикать, но на удалённом интерфейсе с ip 192.168.10.1 ни одного пакета (пинг между 192.168.10.2 и 192.168.10.1 ходит исправно)

 

добавляю что нибудь одно (dst-ip, port, protoсol) и счетчик правила nat перестаёт тикать.

 

Делал все тоже самое на cisco 3620 - эфект такой же.

В чем ошибка?

Edited by Yaten

Share this post


Link to post
Share on other sites

Неаверное, дело в том, что от вас хотят не весь трафик в сыром виде а netflow ?

Edited by sol

Share this post


Link to post
Share on other sites

netflow тут абсолютно не при чем, речь идет об accounting трафике.

и подать его надо на 192.168.10.1

Edited by Yaten

Share this post


Link to post
Share on other sites

Ваш NAS не поддерживает указание нескольких серверов для аккаунтинга?

Share this post


Link to post
Share on other sites

Вот конфиг

 

/interface ethernet
set 0 arp=enabled auto-negotiation=yes cable-settings=default disable-running-check=yes disabled=no full-duplex=yes mac-address=00:13:20:BD:AF:BB mtu=1500 name=ether1 speed=100Mbps
set 1 arp=enabled auto-negotiation=no cable-settings=default disable-running-check=yes disabled=no full-duplex=yes mac-address=00:13:20:BD:AF:BC mtu=1500 name=ether2 speed=100Mbps

/interface vlan
add arp=enabled disabled=no interface=ether1 mtu=1500 name=vlan78 use-service-tag=no vlan-id=78

/interface bridge settings
set use-ip-firewall=no use-ip-firewall-for-pppoe=no use-ip-firewall-for-vlan=no

/ip accounting
set account-local-traffic=no enabled=no threshold=256

/ip accounting web-access
set accessible-via-web=no address=0.0.0.0/0

/ip address
add address=172.16.0.78/24 disabled=no interface=ether1 network=172.16.0.0
add address=192.168.10.2/29 disabled=no interface=vlan78 network=192.168.10.0
add address=10.10.10.1/28 disabled=no interface=ether2 network=10.10.10.0

/ip arp
add address=10.10.10.2 disabled=no interface=ether2 mac-address=00:23:7D:D5:38:C4

/ip firewall connection tracking
set enabled=yes generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s \
   tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s

/ip firewall mangle

/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-address=10.10.10.1 dst-port=1813 in-interface=ether2 protocol=udp to-addresses=192.168.10.1

/ip firewall service-port
set ftp disabled=no ports=21
set tftp disabled=no ports=69
set irc disabled=no ports=6667
set h323 disabled=no
set sip disabled=no ports=5060,5061
set pptp disabled=no

/ip proxy
set always-from-cache=no cache-administrator=webmaster cache-hit-dscp=4 cache-on-disk=no enabled=no max-cache-size=none max-client-connections=600 max-fresh-time=3d \
   max-server-connections=600 parent-proxy=0.0.0.0 parent-proxy-port=0 port=8080 serialize-connections=no src-address=0.0.0.0

/ip route
add disabled=no distance=1 dst-address=8.8.8.8/32 gateway=192.168.168.3 scope=30 target-scope=10

/ip service
set telnet disabled=no port=23
set ftp disabled=no port=21
set www disabled=no port=80
set ssh disabled=no port=22
set www-ssl certificate=none disabled=yes port=443
set api disabled=yes port=8728
set winbox disabled=no port=8291

/ip socks
set connection-idle-timeout=2m enabled=no max-connections=200 port=1080

/ip ssh
set forwarding-enabled=no

/ip traffic-flow
set active-flow-timeout=30m cache-entries=4k enabled=no inactive-flow-timeout=15s interfaces=all

/ip upnp
set allow-disable-external-interface=yes enabled=no show-dummy-rule=yes

/mpls
set dynamic-label-range=16-1048575 propagate-ttl=yes

/mpls interface
add disabled=no interface=all mpls-mtu=1508

/mpls ldp
set distribute-for-default-route=no enabled=no hop-limit=255 loop-detect=no lsr-id=0.0.0.0 path-vector-limit=255 transport-address=0.0.0.0 use-explicit-null=no

/port firmware
set directory=firmware

/ppp aaa
set accounting=yes interim-update=0s use-radius=no

/queue interface
set ether1 queue=ethernet-default
set ether2 queue=ethernet-default

/radius incoming
set accept=no port=3799

/routing bfd interface
set all disabled=no interface=all interval=0.2sec min-rx=0.2sec multiplier=5

/routing mme
set bidirectional-timeout=2 gateway-class=none gateway-keepalive=1m gateway-selection=no-gateway origination-interval=5s preferred-gateway=0.0.0.0 timeout=1m ttl=50

/routing rip
set distribute-default=never garbage-timer=2m metric-bgp=1 metric-connected=1 metric-default=1 metric-ospf=1 metric-static=1 redistribute-bgp=no redistribute-connected=no \
   redistribute-ospf=no redistribute-static=no routing-table=main timeout-timer=3m update-timer=30s

/store
add disabled=no disk=sata1 name=web-proxy1 type=web-proxy

/system clock
set time-zone-name=manual

/system clock manual
set dst-delta=+00:00 dst-end="jan/01/1970 00:00:00" dst-start="jan/01/1970 00:00:00" time-zone=+00:00

/system console
add disabled=no port=serial0 term=vt102
set [ find vcno=1 ] disabled=no term=linux
set [ find vcno=2 ] disabled=no term=linux
set [ find vcno=3 ] disabled=no term=linux
set [ find vcno=4 ] disabled=no term=linux
set [ find vcno=5 ] disabled=no term=linux
set [ find vcno=6 ] disabled=no term=linux
set [ find vcno=7 ] disabled=no term=linux
set [ find vcno=8 ] disabled=no term=linux

/system console screen
set line-count=25

/system hardware
set multi-cpu=yes

/system health
set state-after-reboot=enabled

/system identity
set name=MikroTik

/system logging
add action=memory disabled=no prefix="" topics=info
add action=memory disabled=no prefix="" topics=error
add action=memory disabled=no prefix="" topics=warning
add action=echo disabled=no prefix="" topics=critical

/system note
set note="" show-at-login=yes

/system ntp client
set enabled=no mode=broadcast primary-ntp=0.0.0.0 secondary-ntp=0.0.0.0

/system resource irq
set 0 cpu=auto
set 1 cpu=auto
set 2 cpu=auto
set 3 cpu=auto
set 4 cpu=auto
set 5 cpu=auto
set 6 cpu=auto
set 7 cpu=auto
set 8 cpu=auto
set 9 cpu=auto
set 10 cpu=auto

/system resource irq rps
set ether1 disabled=no
set ether2 disabled=no

/system routerboard bios
set

/system upgrade mirror
set check-interval=1d enabled=no primary-server=0.0.0.0 secondary-server=0.0.0.0 user=""

/system watchdog
set auto-send-supout=no automatic-supout=yes no-ping-delay=5m watch-address=none watchdog-timer=yes

/tool bandwidth-server
set allocate-udp-ports-from=2000 authenticate=yes enabled=yes max-sessions=100

/tool e-mail
set address=0.0.0.0 from=<> password="" port=25 username=""

/tool graphing
set page-refresh=300 store-every=5min

/tool mac-server
add disabled=no interface=all

/tool mac-server ping
set enabled=yes

/tool sms
set allowed-number="" channel=0 keep-max-sms=0 receive-enabled=no secret=""

/tool sniffer
set file-limit=10 file-name="" filter-address1=0.0.0.0/0:0-65535 filter-address2=0.0.0.0/0:0-65535 filter-protocol=all-frames filter-stream=yes interface=ether2 memory-limit=100 \
   memory-scroll=yes only-headers=no streaming-enabled=no streaming-server=0.0.0.0

/tool traffic-monitor
add disabled=yes interface=ether2 name=tmon1 on-event="" threshold=0 traffic=received trigger=above

/user aaa
set accounting=yes default-group=read interim-update=0s use-radius=no

 

Ваш NAS не поддерживает указание нескольких серверов для аккаунтинга?

 

у меня НАС на pppd, раздаёт pppoe.

pppd умеет указывать несколько серверов аккаунтинга?

Share this post


Link to post
Share on other sites

у меня НАС на pppd, раздаёт pppoe.

pppd умеет указывать несколько серверов аккаунтинга?

Этим занимается не pppd, а radiusclient.

Share this post


Link to post
Share on other sites

RADIUS какой?

Edited by [S]

Share this post


Link to post
Share on other sites

dpkg -l |grep radius

ii libradius1 0.3.2-11.1 /bin/login replacement with RADIUS. Shared lib to used by prog

ii radiusclient1 0.3.2-11.1 /bin/login replacement which uses the RADIUS protocol for auth

 

вот

 

а к машине с радиусом не имею доступа...

Share this post


Link to post
Share on other sites

Попробуйте в radiusclient.conf указать несколько серверов аккаунтинга, вторым тот, который для сорма. Естесственно сделайте так, чтоб на эту сетку был маршрут.

С линухом я давно не связывался, но возможно такое и заработает, по крайней мере хуже не будет.

Share this post


Link to post
Share on other sites

в radiusclient.conf есть параметр acctserver пришу значения через запятую, через пробел - данные не отсылаются.

 

как его правильно писать?

Share this post


Link to post
Share on other sites

вопрос решился.

указал через запятую адреса

accserver fsb,nas

 

hosts указал кто такой fsb

и в /etc/radiusclient/server указал ключ такой же как у НАСа

Share this post


Link to post
Share on other sites

надо сделать замечание.

трафик начинает идти минут через 10.

Share this post


Link to post
Share on other sites

Надо тему снова поднять.

 

выплыл косяк, логи завалены сообщениями типа

 

rc_send_server: no reply from RADIUS server fsb:1813

 

т.е. ждем отклика от несуществующего сервера и не дожидаемся.

Можно как то radiusclient объяснить, чтоб он не ждал отклика?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this