Jump to content

BGP на Mikrotik

sevan
 Share

Recommended Posts

AciDSAS

AciDSAS

Posted
Posted

Снова я с mikrotikom.

В общем вопрос в чем может быть проблема?

Откуда левый трафик в инет???

 

Скорее всего идут запросы на ваши реальные ip, которые в данный момент offline. свой блок реальников отправьте в blackhole или unreachable.

morf

morf

Posted
Posted

Скорее всего идут запросы на ваши реальные ip, которые в данный момент offline. свой блок реальников отправьте в blackhole или unreachable.

+

Уже проходил через этого.

AciDSAS

AciDSAS

Posted
Posted
Уже проходил через этого.

подскажите пожалуйста как что-бы не искать. :)

 

Если для MT, то

/ip route add distance=1 dst-address=10.10.10.0/23 type=unreachable

10.10.10.0/23 заменить на свой диапазон. Вместо unreachable можно поставить blackhole.

 

sevan

sevan

Posted
  • Author
Posted
Уже проходил через этого.

подскажите пожалуйста как что-бы не искать. :)

 

Если для MT, то

/ip route add distance=1 dst-address=10.10.10.0/23 type=unreachable

10.10.10.0/23 заменить на свой диапазон. Вместо unreachable можно поставить blackhole.

 

Спасибо за подсказку.

Sonne

Sonne

Posted
Posted

Для блекхол маршрутов дистанция должна быть минимальная например 250. Иначе запись может перебить по весу информацию из роутинговых протоколов.

 

Unreacheable ставить не нужно, это означает что на каждый запрос из интернета будет отсылаться ICMP ответ о недоступности, нужно ставить blackhole.

AciDSAS

AciDSAS

Posted
Posted

Для блекхол маршрутов дистанция должна быть минимальная например 250. Иначе запись может перебить по весу информацию из роутинговых протоколов.

 

Unreacheable ставить не нужно, это означает что на каждый запрос из интернета будет отсылаться ICMP ответ о недоступности, нужно ставить blackhole.

 

Теоретически с дистанцией правильно. Но на практике полезные маршруты имееют меньший размер (вместо /22 роутится с меньшими масками), а меньшая маска имеет приоритет над бОльшей. Проблем с distance меньше 250 не возникало.

 

Иногда полезно отправить icmp dest unreachable, а не молча откинуть пакет. Помогает от прилета еще 30 таких же пакетов.

saaremaa

saaremaa

Posted
Posted

Если для MT, то

/ip route add distance=1 dst-address=10.10.10.0/23 type=unreachable

10.10.10.0/23 заменить на свой диапазон. Вместо unreachable можно поставить blackhole.

Вот огромное Вам человеческое СПАСИБО! Я эту проблему решил менее элегантным способом → костыль с выборкой из /ip firewall address-list и правила в /ip firewall filter, но это решение откушивало CPU серьезно.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.