SashaGub Опубликовано 2 июня, 2012 · Жалоба Здравствуйте, есть устройство MikroTik RB 1200. Настройки стандартные для роутера DHCP, NAT, DNS и т.д. С такими настройками (ну понятно что разные IP) работает еще в другой сети RB450 там такого не наблюдается. Так вот в ARP таблице много IP адресов из диапазона 169.254.0.0. все за одним MAC адресом, это NBM5 (NanoBridge M5). Подскажите, что это такое, заранее спасибо? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 2 июня, 2012 · Жалоба эти адреса винда назначает себе при неполучении адреса по дхцп. Отмаршрутизируйте эту сеть в /dev/null, полезности от нее никакой в вашем случае Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SashaGub Опубликовано 2 июня, 2012 · Жалоба То что кто-то назначает себе IP это ясно, но почему все айпишники за одним MAC адресом которой принадлежит устройству, что не имеет OS Windows и по каким причинам этот кто-то не получает IP по DHCP? Как средствами WinBox отмаршрутизировать сеть 169.254.0.0 , извините может не правильно Вас понял? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 2 июня, 2012 · Жалоба Это APIPA сеть, хотят и назначают, автоматом. Не получают ответ от вашего дхцп или он им не нравится. RTFM! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 2 июня, 2012 · Жалоба почему все айпишники за одним MAC адресом которой принадлежит устройству Например, если это устройство работает как ARP Proxy. по каким причинам этот кто-то не получает IP по DHCP? Либо DHCP сервер отсутствует в их сегменте, либо какое-то устройство 2 уровня между клиентом и dhcp-сервером блокирует dhcp-запросы или ответы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SashaGub Опубликовано 2 июня, 2012 · Жалоба Спасибо Вам большое, Ilya Evseev именно Ваш ответ меня натолкнул на причину, вопрос решен, всем спасибо, причина была именно в ARP Proxy. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Faust_nv Опубликовано 16 августа, 2013 · Жалоба Спасибо Вам большое, Ilya Evseev именно Ваш ответ меня натолкнул на причину, вопрос решен, всем спасибо, причина была именно в ARP Proxy. Добрый день! Имею почти такую же причину, только IP-адреса из глобального адресного пространства. Если отключить маршрут на этот гейт (пустить трафик по другому маршруту) - ARP-таблица чистится от мусора, который там есть, если включить маршрут и пустить трафик через этот гейт (провайдер) - ARP-таблица наполняется этим мусором. Proxy-ARP проверил на всех интерфейсах, отключен. Что еще может быть? RB951G-2HnD, прошивка 5.25 (то же самое и на 5.22, 6.2 итд). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 августа, 2013 · Жалоба Заблокируйте входящие пакеты с этого мак адреса, может в сети провайдера кто-то прокси-арп включил. Что бы заблокировать добавьте этот порт в бридж, и в фильтрах создайте правило блокировки этого мака. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Faust_nv Опубликовано 16 августа, 2013 · Жалоба Заблокируйте входящие пакеты с этого мак адреса, может в сети провайдера кто-то прокси-арп включил. Что бы заблокировать добавьте этот порт в бридж, и в фильтрах создайте правило блокировки этого мака. Этот мак-адрес - шлюз провайдера, через который я интернет получаю. И еще раз повторюсь, когда я пускаю трафик через другой шлюз - arp-лист пустеет. Может быть это все таки мой микротик "мусорит"? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Faust_nv Опубликовано 16 августа, 2013 (изменено) · Жалоба Сейчас посниффил и посмотрел wireshark'ом что происходит в процессе заполнения арп-листа мусором. Роутерборд спрашивает broadcast-запросами "who has 109.200.153.98? tell 37.1.1.1". При этом 109.200.153.98 - это например пир с торрента, а 37.1.1.1 - сам роутерборд. И так подряд несколько раз разные айпишники спрашивает, затем железяка провайдера начинает роутерборде отвечать, что 109.200.153.98 - это, типа, я (циска провайдера, b2:72:00). Как-то так: Изменено 16 августа, 2013 пользователем Faust_nv Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Faust_nv Опубликовано 17 августа, 2013 · Жалоба Что,нет вариантов, что это может быть?.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Faust_nv Опубликовано 18 августа, 2013 · Жалоба Или это нормально, такое поведение Микротика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adron2 Опубликовано 18 августа, 2013 · Жалоба proxy-arp включен на железке провайдера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Faust_nv Опубликовано 19 августа, 2013 · Жалоба proxy-arp включен на железке провайдера? Я сам это могу выяснить? Если да, подскажите как. Сейчас напишу в саппорт провайдеру. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adron2 Опубликовано 19 августа, 2013 · Жалоба ну просто выглядит так как будто proxy-arp включен ))) вот по таким симптомам как у вас это и выясняется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 19 августа, 2013 · Жалоба 2 Faust_nv : ну а зачем Ваш рутерборд спрашивает who has на нелокальный адрес ? У Вас шлюз на провайдера верно стоит ? В сеть/маску на интерфейсе попадает ? Иначе арпрокси у првайдера Вам мешать то не должен ни разу. Я так думаю, что если пров вырубит арппрокси то интернет на этом канале просто кончится, ибо шлюз не находится, а сейчас все, что надо находится через арп. В нормальной жизни проксиарп не мешает и к таким симптомам не приводит :) От железки 1 арп запрос оттуда 1 ответ и время от времени повтор. Фигурирует 1 IP, Ваш и Вашего аплинка. Ваша же, что то все время спрашивает и спрашивает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Faust_nv Опубликовано 19 августа, 2013 · Жалоба Вот в "обычном" режиме у меня в арпах кроме машин в локальной сети был еще шлюз и (вроде) днс провайдера. И все работало. А сейчас (тоже, конечно, работает, но через жоп*) кроме локальных машин - овер9000 таких арп-запросов и стабильность похуже стала (нет-нет, да и проскочит таймаут до сайта провайдера или его днса, если пингами замерять). Т.е. такой арп-лист однозначно указывает на прокси-арп у провайдера или что? 2st_re: шлюз получает роутерборд по DHCP, значит правильно. в сеть попадает. раньше не мешал, а теперь мешает, стало быть? После замены оборудования у провайдера после грозы. ведь я ниче не менял. и пока выяснял почему у меня ДОМА на таком же роутере (rb951g) арп-лист забит, а на работе (буквально через 300 метров) ТОТ же роутер на ТОМ же провайдере держит свой арп-лист чистым... не прошло и полгода, "заморосил" рабочий роутер. или железяка на стороне провайдера... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 20 августа, 2013 · Жалоба Так /ip ad pr что говорит на болеющей рутерборде? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Faust_nv Опубликовано 20 августа, 2013 · Жалоба Так /ip ad pr что говорит на болеющей рутерборде? Вот что говорит: [XXX@XXX] > /ip ad pr Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK INTERFACE 0 192.168.1.2/24 192.168.1.0 bridge-local ------- рабочая локальная сеть 1 10.10.10.1/24 10.10.10.0 ether5-slave-local --- отдельная подсеть под клиентский вайфай, на название не смотрите, что slave 2 192.168.222.1/24 192.168.222.0 ether2-master-local -- сервер пптп на микротике 3 192.168.206.2/24 192.168.206.0 ether2-master-local -- технологическое оборудованиев своей подсетке (физически - в рабочей локальной сети) 4 D 178.208.222.111/19 178.208.224.0 ether1-gateway ------- шлюз основного провайдера (IPoE, DHCP) - в которой arp-лист забит "мусором" 5 D 10.82.2.80/16 10.82.0.0 ether4-slave-local --- локальная сеть резервного провайдера (IPoE, DHCP) 6 D 192.168.1.230/32 192.168.1.222 MeXXXX --------------- клиент vpn из другого города, соединяется и шлет данные в рабочую локальную сеть 7 D 10.0.63.109/32 46.38.0.98 XXXXXX_PPPoE --------- шлюз резервного провайдера (PPPoE), при отсутствии связи на ether1, дистанция этого шлюза становится меньше 8 D 192.168.222.1/32 192.168.222.251 Nikolay -------------- клиент пптп. 9 192.168.111.0/24 192.168.111.0 ether2-master-local -- вайфай для сотрудников [XXX@XXX] > Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 21 августа, 2013 · Жалоба /ip ro pr тоже, если не сложно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Faust_nv Опубликовано 21 августа, 2013 · Жалоба /ip ro pr тоже, если не сложно Не сложно. Проблему бы только решить! [xxx@xxx] > /ip ro pr Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 A S ;;; Default Route 0.0.0.0/0 ether1-gateway 2 1 S 0.0.0.0/0 DANCER_PPPoE 3 2 ADC 10.10.10.0/24 10.10.10.1 ether5-slave-local 0 3 ADC 10.82.0.0/16 10.82.2.80 ether4-slave-local 0 4 A S ;;; Static route Metroset 37.60.17.164/32 ether1-gateway 1 5 ADC 46.38.0.98/32 10.0.63.109 DANCER_PPPoE 0 6 ADC 178.208.224.0/19 178.208.222.111 ether1-gateway 0 7 ADC 192.168.1.0/24 192.168.1.2 bridge-local 0 8 ADC 192.168.1.222/32 192.168.1.230 MeXXXX 0 9 A S 192.168.100.0/24 192.168.1.92 1 10 ADC 192.168.111.0/24 192.168.111.0 bridge-local 0 11 A S 192.168.152.0/24 MeXXXX 2 12 ADC 192.168.206.0/24 192.168.206.2 bridge-local 0 13 ADC 192.168.222.0/24 192.168.222.1 bridge-local 0 14 ADC 192.168.222.250/32 192.168.222.1 Nikolay 0 [xxx@xxx] > Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GateKeeper Опубликовано 21 августа, 2013 · Жалоба > /ip ro pr Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 172.31.0.1 1 Вот у тебя я не увидел GATEWAY. Может, ты пропустил этот момент? PS. А не, увидел. У тебя GATEWAY - интерфейс. А должен быть, по идее IP шлюза. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Faust_nv Опубликовано 21 августа, 2013 · Жалоба > /ip ro pr Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 172.31.0.1 1 Вот у тебя я не увидел GATEWAY. Может, ты пропустил этот момент? PS. А не, увидел. У тебя GATEWAY - интерфейс. А должен быть, по идее IP шлюза. Почему? Интерфейс gateway получает по DHCP и IP шлюза, и ДНСы. Можно вполне ставить шлюзом gateway, он все "разрулит" (иногда бывает, что адрес шлюза провайдер поменял и интернет "встрял", а так - все автоматически поднимется). Но ради эксперимента только что поменял роут с интерфейса на IP шлюза - и в ARP листе мусор исчез... СПАСИБО! Однако, разве это нормально? Жестко привязывать адрес шлюза к IP? Ведь по DHCP и так "само" должно все настраиваться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
st_re Опубликовано 21 августа, 2013 · Жалоба Если у Вас дей гейтвей = интерфейсу, значит оно работало ПРАВИЛЬНО. Оно на каждый новый IP спрашивало arp. Весь интернет direct connected, так сказать. То что все IP вели на 1 мак, ну так получилось, этого софт предвидеть не мог. И каждый раз спрашивал. И ответ запоминал. А DHCP само обычно IP шлюза отдает.. А аплинк поменял IP шлюза.. Это откудато из теории заговора. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 22 августа, 2013 · Жалоба Роутерборд спрашивает broadcast-запросами "who has 109.200.153.98? tell 37.1.1.1". При этом 109.200.153.98 - это например пир с торрента, а 37.1.1.1 - сам роутерборд. И так подряд несколько раз разные айпишники спрашивает, затем железяка провайдера начинает роутерборде отвечать, что 109.200.153.98 - это, типа, я (циска провайдера, b2:72:00). Версия: 1) у клиента вирус или p2p с кривым discovery ищет пиров в своём сегменте и генерирует ARP-флуд 2) proxy-arp на Микротике транслирует их Циске 3) proxy-arp (или какой-нить хитровыделанный поглотитель арп-флуда) на Циске отвечает "это я" и возможно транслирует их куда-то ещё Читайте http://wiki.mikrotik.com/wiki/Manual:IP/ARP#Proxy_ARP Что говорит "/int eth pr", есть интерфейсы с включенным прокси-арп? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...