Jump to content

MikroTik RB1200 непонтяка с ARP

SashaGub
 Share

Recommended Posts

SashaGub

SashaGub

Posted
Posted

Здравствуйте, есть устройство MikroTik RB 1200. Настройки стандартные для роутера DHCP, NAT, DNS и т.д. С такими настройками (ну понятно что разные IP) работает еще в другой сети RB450 там такого не наблюдается.

Так вот в ARP таблице много IP адресов из диапазона 169.254.0.0. все за одним MAC адресом, это NBM5 (NanoBridge M5).

Подскажите, что это такое, заранее спасибо?

martin74

martin74

Posted
Posted

эти адреса винда назначает себе при неполучении адреса по дхцп.

Отмаршрутизируйте эту сеть в /dev/null, полезности от нее никакой в вашем случае

SashaGub

SashaGub

Posted
  • Author
Posted

То что кто-то назначает себе IP это ясно, но почему все айпишники за одним MAC адресом которой принадлежит устройству, что не имеет OS Windows и по каким причинам этот кто-то не получает IP по DHCP?

post-90119-090314000 1338633282_thumb.jpg

 

Как средствами WinBox отмаршрутизировать сеть 169.254.0.0 , извините может не правильно Вас понял?

Ilya Evseev

Ilya Evseev

Posted
Posted

почему все айпишники за одним MAC адресом которой принадлежит устройству

Например, если это устройство работает как ARP Proxy.

 

по каким причинам этот кто-то не получает IP по DHCP?

Либо DHCP сервер отсутствует в их сегменте, либо какое-то устройство 2 уровня между клиентом и dhcp-сервером блокирует dhcp-запросы или ответы.

SashaGub

SashaGub

Posted
  • Author
Posted

Спасибо Вам большое, Ilya Evseev именно Ваш ответ меня натолкнул на причину, вопрос решен, всем спасибо, причина была именно в ARP Proxy.

  • 1 year later...
Faust_nv

Faust_nv

Posted
Posted

Спасибо Вам большое, Ilya Evseev именно Ваш ответ меня натолкнул на причину, вопрос решен, всем спасибо, причина была именно в ARP Proxy.

 

Добрый день!

 

Имею почти такую же причину, только IP-адреса из глобального адресного пространства.

Если отключить маршрут на этот гейт (пустить трафик по другому маршруту) - ARP-таблица чистится от мусора, который там есть, если включить маршрут и пустить трафик через этот гейт (провайдер) - ARP-таблица наполняется этим мусором. Proxy-ARP проверил на всех интерфейсах, отключен.

Что еще может быть?

RB951G-2HnD, прошивка 5.25 (то же самое и на 5.22, 6.2 итд).

post-112184-078245300 1376651666_thumb.jpg

Saab95

Saab95

Posted
Posted

Заблокируйте входящие пакеты с этого мак адреса, может в сети провайдера кто-то прокси-арп включил. Что бы заблокировать добавьте этот порт в бридж, и в фильтрах создайте правило блокировки этого мака.

Faust_nv

Faust_nv

Posted
Posted

Заблокируйте входящие пакеты с этого мак адреса, может в сети провайдера кто-то прокси-арп включил. Что бы заблокировать добавьте этот порт в бридж, и в фильтрах создайте правило блокировки этого мака.

 

 

Этот мак-адрес - шлюз провайдера, через который я интернет получаю.

И еще раз повторюсь, когда я пускаю трафик через другой шлюз - arp-лист пустеет. Может быть это все таки мой микротик "мусорит"?

Faust_nv

Faust_nv

Posted
Posted (edited)

Сейчас посниффил и посмотрел wireshark'ом что происходит в процессе заполнения арп-листа мусором.

Роутерборд спрашивает broadcast-запросами "who has 109.200.153.98? tell 37.1.1.1".

 

При этом 109.200.153.98 - это например пир с торрента, а 37.1.1.1 - сам роутерборд.

 

И так подряд несколько раз разные айпишники спрашивает, затем железяка провайдера начинает роутерборде отвечать, что 109.200.153.98 - это, типа, я (циска провайдера, b2:72:00).

 

Как-то так:

 

post-112184-051670200 1376653668_thumb.jpg

Edited by Faust_nv
adron2

adron2

Posted
Posted

ну просто выглядит так как будто proxy-arp включен )))

вот по таким симптомам как у вас это и выясняется.

st_re

st_re

Posted
Posted

2 Faust_nv : ну а зачем Ваш рутерборд спрашивает who has на нелокальный адрес ? У Вас шлюз на провайдера верно стоит ? В сеть/маску на интерфейсе попадает ? Иначе арпрокси у првайдера Вам мешать то не должен ни разу. Я так думаю, что если пров вырубит арппрокси то интернет на этом канале просто кончится, ибо шлюз не находится, а сейчас все, что надо находится через арп. В нормальной жизни проксиарп не мешает и к таким симптомам не приводит :) От железки 1 арп запрос оттуда 1 ответ и время от времени повтор. Фигурирует 1 IP, Ваш и Вашего аплинка. Ваша же, что то все время спрашивает и спрашивает...

Faust_nv

Faust_nv

Posted
Posted

Вот в "обычном" режиме у меня в арпах кроме машин в локальной сети был еще шлюз и (вроде) днс провайдера. И все работало. А сейчас (тоже, конечно, работает, но через жоп*) кроме локальных машин - овер9000 таких арп-запросов и стабильность похуже стала (нет-нет, да и проскочит таймаут до сайта провайдера или его днса, если пингами замерять). Т.е. такой арп-лист однозначно указывает на прокси-арп у провайдера или что?

 

2st_re: шлюз получает роутерборд по DHCP, значит правильно. в сеть попадает. раньше не мешал, а теперь мешает, стало быть? После замены оборудования у провайдера после грозы. ведь я ниче не менял. и пока выяснял почему у меня ДОМА на таком же роутере (rb951g) арп-лист забит, а на работе (буквально через 300 метров) ТОТ же роутер на ТОМ же провайдере держит свой арп-лист чистым... не прошло и полгода, "заморосил" рабочий роутер. или железяка на стороне провайдера...

Faust_nv

Faust_nv

Posted
Posted

Так /ip ad pr что говорит на болеющей рутерборде?

 

Вот что говорит:

 

[XXX@XXX] > /ip ad pr

Flags: X - disabled, I - invalid, D - dynamic

# ADDRESS NETWORK INTERFACE

0 192.168.1.2/24 192.168.1.0 bridge-local ------- рабочая локальная сеть

1 10.10.10.1/24 10.10.10.0 ether5-slave-local --- отдельная подсеть под клиентский вайфай, на название не смотрите, что slave

2 192.168.222.1/24 192.168.222.0 ether2-master-local -- сервер пптп на микротике

3 192.168.206.2/24 192.168.206.0 ether2-master-local -- технологическое оборудованиев своей подсетке (физически - в рабочей локальной сети)

4 D 178.208.222.111/19 178.208.224.0 ether1-gateway ------- шлюз основного провайдера (IPoE, DHCP) - в которой arp-лист забит "мусором"

5 D 10.82.2.80/16 10.82.0.0 ether4-slave-local --- локальная сеть резервного провайдера (IPoE, DHCP)

6 D 192.168.1.230/32 192.168.1.222 MeXXXX --------------- клиент vpn из другого города, соединяется и шлет данные в рабочую локальную сеть

7 D 10.0.63.109/32 46.38.0.98 XXXXXX_PPPoE --------- шлюз резервного провайдера (PPPoE), при отсутствии связи на ether1, дистанция этого шлюза становится меньше

8 D 192.168.222.1/32 192.168.222.251 Nikolay -------------- клиент пптп.

9 192.168.111.0/24 192.168.111.0 ether2-master-local -- вайфай для сотрудников

[XXX@XXX] >

Faust_nv

Faust_nv

Posted
Posted

/ip ro pr тоже, если не сложно

 

Не сложно. Проблему бы только решить!

 

[xxx@xxx] > /ip ro pr

Flags: X - disabled, A - active, D - dynamic,

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S ;;; Default Route

0.0.0.0/0 ether1-gateway 2

1 S 0.0.0.0/0 DANCER_PPPoE 3

2 ADC 10.10.10.0/24 10.10.10.1 ether5-slave-local 0

3 ADC 10.82.0.0/16 10.82.2.80 ether4-slave-local 0

4 A S ;;; Static route Metroset

37.60.17.164/32 ether1-gateway 1

5 ADC 46.38.0.98/32 10.0.63.109 DANCER_PPPoE 0

6 ADC 178.208.224.0/19 178.208.222.111 ether1-gateway 0

7 ADC 192.168.1.0/24 192.168.1.2 bridge-local 0

8 ADC 192.168.1.222/32 192.168.1.230 MeXXXX 0

9 A S 192.168.100.0/24 192.168.1.92 1

10 ADC 192.168.111.0/24 192.168.111.0 bridge-local 0

11 A S 192.168.152.0/24 MeXXXX 2

12 ADC 192.168.206.0/24 192.168.206.2 bridge-local 0

13 ADC 192.168.222.0/24 192.168.222.1 bridge-local 0

14 ADC 192.168.222.250/32 192.168.222.1 Nikolay 0

[xxx@xxx] >

GateKeeper

GateKeeper

Posted
Posted 

> /ip ro pr
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS  0.0.0.0/0                          172.31.0.1                1

 

Вот у тебя я не увидел GATEWAY. Может, ты пропустил этот момент?

 

PS. А не, увидел. У тебя GATEWAY - интерфейс. А должен быть, по идее IP шлюза.

Faust_nv

Faust_nv

Posted
Posted 

> /ip ro pr
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS  0.0.0.0/0                          172.31.0.1                1

 

Вот у тебя я не увидел GATEWAY. Может, ты пропустил этот момент?

 

PS. А не, увидел. У тебя GATEWAY - интерфейс. А должен быть, по идее IP шлюза.

 

Почему? Интерфейс gateway получает по DHCP и IP шлюза, и ДНСы. Можно вполне ставить шлюзом gateway, он все "разрулит" (иногда бывает, что адрес шлюза провайдер поменял и интернет "встрял", а так - все автоматически поднимется). Но ради эксперимента только что поменял роут с интерфейса на IP шлюза - и в ARP листе мусор исчез...

СПАСИБО!

 

Однако, разве это нормально? Жестко привязывать адрес шлюза к IP? Ведь по DHCP и так "само" должно все настраиваться.

st_re

st_re

Posted
Posted

Если у Вас дей гейтвей = интерфейсу, значит оно работало ПРАВИЛЬНО. Оно на каждый новый IP спрашивало arp. Весь интернет direct connected, так сказать. То что все IP вели на 1 мак, ну так получилось, этого софт предвидеть не мог. И каждый раз спрашивал. И ответ запоминал.

 

 

А DHCP само обычно IP шлюза отдает..

 

А аплинк поменял IP шлюза.. Это откудато из теории заговора. :)

Ilya Evseev

Ilya Evseev

Posted
Posted

Роутерборд спрашивает broadcast-запросами "who has 109.200.153.98? tell 37.1.1.1".

При этом 109.200.153.98 - это например пир с торрента, а 37.1.1.1 - сам роутерборд.

И так подряд несколько раз разные айпишники спрашивает, затем железяка провайдера начинает роутерборде отвечать, что 109.200.153.98 - это, типа, я (циска провайдера, b2:72:00).

Версия:

1) у клиента вирус или p2p с кривым discovery ищет пиров в своём сегменте и генерирует ARP-флуд

2) proxy-arp на Микротике транслирует их Циске

3) proxy-arp (или какой-нить хитровыделанный поглотитель арп-флуда) на Циске отвечает "это я" и возможно транслирует их куда-то ещё

 

Читайте http://wiki.mikrotik.com/wiki/Manual:IP/ARP#Proxy_ARP

Что говорит "/int eth pr", есть интерфейсы с включенным прокси-арп?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.