Kolvan Posted August 6, 2013 Posted August 6, 2013 (edited) Суть проблемы такова. Решил делать аутентификацию по хот-споту без пароля. Авторизация проходит по МАКу клиентской SXT. Сама SXT в свою очередь получает айпи через dhсp-client по радио и вещает айпи в ethernet своим dhcp сервером. Все клиенты по ethernet сидят за NATом. В итоге на корневом роутере во вкладке hotspot hosts вижу такую картину: Помимо правильного wlan ip адреса sxt с её МАКом вылезает айпишник клиента, который находится за НАТом с таким же точно МАКом как у SXT. Т.е. например у SXT айпи 192.168.5.24, а у клиента за НАТом 192.168.1.253. MAC Address Address To Address C2:AB:B7:12:C4:AE 192.168.5.24 192.168.5.24 C2:AB:B7:12:C4:AE 192.168.1.253 192.168.5.24 На корневом роутере подсеть 192.168.1.0 вообще не используется. В настройках хотспот сервера стоит 1 айпи на МАК, и зачастую на роль этого айпи влезает клиентский айпи, который за NATом. Вследствии чего клиент остается без интернета. Либо клиент авторизуется с правильным айпи, но лог корневого роутера загажен сообщениями о том, что клиент с МАКом SXT и IP клиента за НАТом пытается авторизоваться по МАК адресу... Как я понимаю такая проблема не только у меня. Она сама то появляется то пропадает. Конкретно у меня во время этого глюка перестаёт работать динамическая маршрутизация между интерфейсами, как ни странно, достучаться не могу только до микротиков. Из IP Routes она никогда никуда не исчезает, просто перестаёт работать. Например межинтерфейсная динамическая маршрутизация до биллинг-сервера работает всегда. Кто сталкивался с такой проблемой и нашел на неё решение, отпишитесь пожалуйста. На всякий случай выкладываю скрипт настройки SXT для версии 6.2 с настройками по-умолчанию. Может я там чего накосячил. 123.zip Edited August 6, 2013 by Kolvan Вставить ник Quote
megadron Posted August 6, 2013 Posted August 6, 2013 аналогичная проблема, тоже на микротике - сидит куча клиентов. авторизация так же по маку. периодически клиенты, сидящие за роутерами (производители разные), появляются в таблице активных хостов под одним маком с разными IP. причем первый авторизованный - сам роутер с нормальным адресом, а второй - чаще всего клиентский комп - с таким же маком но уже почему то со своим внутренним адресом. как вообще внутренний адрес клиента может проходить сквозь NAT на роутере? Вставить ник Quote
rmika Posted August 6, 2013 Posted August 6, 2013 А на клиентской точке фаервол пустой? Наверное это последствия "helper'a" http://wiki.mikrotik.com/wiki/Manual:IP/Services Вставить ник Quote
Kolvan Posted August 6, 2013 Author Posted August 6, 2013 На клиентской точке файервол не пустой. Впринципе все правила отображены в 123.rsc. Из них ничего провоцирующего такую катаклизму я не заприметил. Вставить ник Quote
rmika Posted August 6, 2013 Posted August 6, 2013 А ты пробовал зарезать сеть 192.168.1.0/24 на радио? /ip firewall filter add action=drop chain=output dst-address=192.168.1.0/24 out-interface=wlan1 Вставить ник Quote
Kolvan Posted August 7, 2013 Author Posted August 7, 2013 (edited) WDS включен? Кстати да... А ещё в DHCP-Server в закладке Leases в столбцах Active Mac Address и Active host name на некоторых клиентах высвечиваются маки и имена не микротиков, а машин за NATом. Edited August 7, 2013 by Kolvan Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.