[SashaGub]

Здравствуйте, есть устройство MikroTik RB 1200. Настройки стандартные для роутера DHCP, NAT, DNS и т.д. С такими настройками (ну понятно что разные IP) работает еще в другой сети RB450 там такого не наблюдается.

Так вот в ARP таблице много IP адресов из диапазона 169.254.0.0. все за одним MAC адресом, это NBM5 (NanoBridge M5).

Подскажите, что это такое, заранее спасибо?

[martin74]

эти адреса винда назначает себе при неполучении адреса по дхцп.

Отмаршрутизируйте эту сеть в /dev/null, полезности от нее никакой в вашем случае

[SashaGub]

То что кто-то назначает себе IP это ясно, но почему все айпишники за одним MAC адресом которой принадлежит устройству, что не имеет OS Windows и по каким причинам этот кто-то не получает IP по DHCP?

 

Как средствами WinBox отмаршрутизировать сеть 169.254.0.0 , извините может не правильно Вас понял?

[Ivan_83]

Это APIPA сеть, хотят и назначают, автоматом.

Не получают ответ от вашего дхцп или он им не нравится.

RTFM!

[Ilya Evseev]

почему все айпишники за одним MAC адресом которой принадлежит устройству

Например, если это устройство работает как ARP Proxy.

 

по каким причинам этот кто-то не получает IP по DHCP?

Либо DHCP сервер отсутствует в их сегменте, либо какое-то устройство 2 уровня между клиентом и dhcp-сервером блокирует dhcp-запросы или ответы.

[SashaGub]

Спасибо Вам большое, Ilya Evseev именно Ваш ответ меня натолкнул на причину, вопрос решен, всем спасибо, причина была именно в ARP Proxy.

[Faust_nv]

Спасибо Вам большое, Ilya Evseev именно Ваш ответ меня натолкнул на причину, вопрос решен, всем спасибо, причина была именно в ARP Proxy.

 

Добрый день!

 

Имею почти такую же причину, только IP-адреса из глобального адресного пространства.

Если отключить маршрут на этот гейт (пустить трафик по другому маршруту) - ARP-таблица чистится от мусора, который там есть, если включить маршрут и пустить трафик через этот гейт (провайдер) - ARP-таблица наполняется этим мусором. Proxy-ARP проверил на всех интерфейсах, отключен.

Что еще может быть?

RB951G-2HnD, прошивка 5.25 (то же самое и на 5.22, 6.2 итд).

[Saab95]

Заблокируйте входящие пакеты с этого мак адреса, может в сети провайдера кто-то прокси-арп включил. Что бы заблокировать добавьте этот порт в бридж, и в фильтрах создайте правило блокировки этого мака.

[Faust_nv]

Заблокируйте входящие пакеты с этого мак адреса, может в сети провайдера кто-то прокси-арп включил. Что бы заблокировать добавьте этот порт в бридж, и в фильтрах создайте правило блокировки этого мака.

 

 

Этот мак-адрес - шлюз провайдера, через который я интернет получаю.

И еще раз повторюсь, когда я пускаю трафик через другой шлюз - arp-лист пустеет. Может быть это все таки мой микротик "мусорит"?

[Faust_nv]

Сейчас посниффил и посмотрел wireshark'ом что происходит в процессе заполнения арп-листа мусором.

Роутерборд спрашивает broadcast-запросами "who has 109.200.153.98? tell 37.1.1.1".

 

При этом 109.200.153.98 - это например пир с торрента, а 37.1.1.1 - сам роутерборд.

 

И так подряд несколько раз разные айпишники спрашивает, затем железяка провайдера начинает роутерборде отвечать, что 109.200.153.98 - это, типа, я (циска провайдера, b2:72:00).

 

Как-то так:

 

Изменено 16 августа, 2013 пользователем Faust_nv

[Faust_nv]

Что,нет вариантов, что это может быть?..

[Faust_nv]

Или это нормально, такое поведение Микротика?

[adron2]

proxy-arp включен на железке провайдера?

[Faust_nv]

proxy-arp включен на железке провайдера?

 

Я сам это могу выяснить? Если да, подскажите как.

Сейчас напишу в саппорт провайдеру.

[adron2]

ну просто выглядит так как будто proxy-arp включен )))

вот по таким симптомам как у вас это и выясняется.

[st_re]

2 Faust_nv : ну а зачем Ваш рутерборд спрашивает who has на нелокальный адрес ? У Вас шлюз на провайдера верно стоит ? В сеть/маску на интерфейсе попадает ? Иначе арпрокси у првайдера Вам мешать то не должен ни разу. Я так думаю, что если пров вырубит арппрокси то интернет на этом канале просто кончится, ибо шлюз не находится, а сейчас все, что надо находится через арп. В нормальной жизни проксиарп не мешает и к таким симптомам не приводит :) От железки 1 арп запрос оттуда 1 ответ и время от времени повтор. Фигурирует 1 IP, Ваш и Вашего аплинка. Ваша же, что то все время спрашивает и спрашивает...

[Faust_nv]

Вот в "обычном" режиме у меня в арпах кроме машин в локальной сети был еще шлюз и (вроде) днс провайдера. И все работало. А сейчас (тоже, конечно, работает, но через жоп*) кроме локальных машин - овер9000 таких арп-запросов и стабильность похуже стала (нет-нет, да и проскочит таймаут до сайта провайдера или его днса, если пингами замерять). Т.е. такой арп-лист однозначно указывает на прокси-арп у провайдера или что?

 

2st_re: шлюз получает роутерборд по DHCP, значит правильно. в сеть попадает. раньше не мешал, а теперь мешает, стало быть? После замены оборудования у провайдера после грозы. ведь я ниче не менял. и пока выяснял почему у меня ДОМА на таком же роутере (rb951g) арп-лист забит, а на работе (буквально через 300 метров) ТОТ же роутер на ТОМ же провайдере держит свой арп-лист чистым... не прошло и полгода, "заморосил" рабочий роутер. или железяка на стороне провайдера...

[GateKeeper]

Так /ip ad pr что говорит на болеющей рутерборде?

[Faust_nv]

Так /ip ad pr что говорит на болеющей рутерборде?

 

Вот что говорит:

 

[XXX@XXX] > /ip ad pr

Flags: X - disabled, I - invalid, D - dynamic

# ADDRESS NETWORK INTERFACE

0 192.168.1.2/24 192.168.1.0 bridge-local ------- рабочая локальная сеть

1 10.10.10.1/24 10.10.10.0 ether5-slave-local --- отдельная подсеть под клиентский вайфай, на название не смотрите, что slave

2 192.168.222.1/24 192.168.222.0 ether2-master-local -- сервер пптп на микротике

3 192.168.206.2/24 192.168.206.0 ether2-master-local -- технологическое оборудованиев своей подсетке (физически - в рабочей локальной сети)

4 D 178.208.222.111/19 178.208.224.0 ether1-gateway ------- шлюз основного провайдера (IPoE, DHCP) - в которой arp-лист забит "мусором"

5 D 10.82.2.80/16 10.82.0.0 ether4-slave-local --- локальная сеть резервного провайдера (IPoE, DHCP)

6 D 192.168.1.230/32 192.168.1.222 MeXXXX --------------- клиент vpn из другого города, соединяется и шлет данные в рабочую локальную сеть

7 D 10.0.63.109/32 46.38.0.98 XXXXXX_PPPoE --------- шлюз резервного провайдера (PPPoE), при отсутствии связи на ether1, дистанция этого шлюза становится меньше

8 D 192.168.222.1/32 192.168.222.251 Nikolay -------------- клиент пптп.

9 192.168.111.0/24 192.168.111.0 ether2-master-local -- вайфай для сотрудников

[XXX@XXX] >

[GateKeeper]

/ip ro pr тоже, если не сложно

[Faust_nv]

/ip ro pr тоже, если не сложно

 

Не сложно. Проблему бы только решить!

 

[xxx@xxx] > /ip ro pr

Flags: X - disabled, A - active, D - dynamic,

C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,

B - blackhole, U - unreachable, P - prohibit

# DST-ADDRESS PREF-SRC GATEWAY DISTANCE

0 A S ;;; Default Route

0.0.0.0/0 ether1-gateway 2

1 S 0.0.0.0/0 DANCER_PPPoE 3

2 ADC 10.10.10.0/24 10.10.10.1 ether5-slave-local 0

3 ADC 10.82.0.0/16 10.82.2.80 ether4-slave-local 0

4 A S ;;; Static route Metroset

37.60.17.164/32 ether1-gateway 1

5 ADC 46.38.0.98/32 10.0.63.109 DANCER_PPPoE 0

6 ADC 178.208.224.0/19 178.208.222.111 ether1-gateway 0

7 ADC 192.168.1.0/24 192.168.1.2 bridge-local 0

8 ADC 192.168.1.222/32 192.168.1.230 MeXXXX 0

9 A S 192.168.100.0/24 192.168.1.92 1

10 ADC 192.168.111.0/24 192.168.111.0 bridge-local 0

11 A S 192.168.152.0/24 MeXXXX 2

12 ADC 192.168.206.0/24 192.168.206.2 bridge-local 0

13 ADC 192.168.222.0/24 192.168.222.1 bridge-local 0

14 ADC 192.168.222.250/32 192.168.222.1 Nikolay 0

[xxx@xxx] >

[GateKeeper]

> /ip ro pr
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS  0.0.0.0/0                          172.31.0.1                1

 

Вот у тебя я не увидел GATEWAY. Может, ты пропустил этот момент?

 

PS. А не, увидел. У тебя GATEWAY - интерфейс. А должен быть, по идее IP шлюза.

[Faust_nv]

> /ip ro pr
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit 
#      DST-ADDRESS        PREF-SRC        GATEWAY            DISTANCE
0 ADS  0.0.0.0/0                          172.31.0.1                1

 

Вот у тебя я не увидел GATEWAY. Может, ты пропустил этот момент?

 

PS. А не, увидел. У тебя GATEWAY - интерфейс. А должен быть, по идее IP шлюза.

 

Почему? Интерфейс gateway получает по DHCP и IP шлюза, и ДНСы. Можно вполне ставить шлюзом gateway, он все "разрулит" (иногда бывает, что адрес шлюза провайдер поменял и интернет "встрял", а так - все автоматически поднимется). Но ради эксперимента только что поменял роут с интерфейса на IP шлюза - и в ARP листе мусор исчез...

СПАСИБО!

 

Однако, разве это нормально? Жестко привязывать адрес шлюза к IP? Ведь по DHCP и так "само" должно все настраиваться.

[st_re]

Если у Вас дей гейтвей = интерфейсу, значит оно работало ПРАВИЛЬНО. Оно на каждый новый IP спрашивало arp. Весь интернет direct connected, так сказать. То что все IP вели на 1 мак, ну так получилось, этого софт предвидеть не мог. И каждый раз спрашивал. И ответ запоминал.

 

 

А DHCP само обычно IP шлюза отдает..

 

А аплинк поменял IP шлюза.. Это откудато из теории заговора. :)

[Ilya Evseev]

Роутерборд спрашивает broadcast-запросами "who has 109.200.153.98? tell 37.1.1.1".

При этом 109.200.153.98 - это например пир с торрента, а 37.1.1.1 - сам роутерборд.

И так подряд несколько раз разные айпишники спрашивает, затем железяка провайдера начинает роутерборде отвечать, что 109.200.153.98 - это, типа, я (циска провайдера, b2:72:00).

Версия:

1) у клиента вирус или p2p с кривым discovery ищет пиров в своём сегменте и генерирует ARP-флуд

2) proxy-arp на Микротике транслирует их Циске

3) proxy-arp (или какой-нить хитровыделанный поглотитель арп-флуда) на Циске отвечает "это я" и возможно транслирует их куда-то ещё

 

Читайте http://wiki.mikrotik.com/wiki/Manual:IP/ARP#Proxy_ARP

Что говорит "/int eth pr", есть интерфейсы с включенным прокси-арп?