man781 Posted September 30, 2014 · Report post Доброго времени суток, наг-сообщество. Есть юзеры в одном влане Есть арп инспекшн и дхцп снупинг на юзерских портах Внимание - какой такой протокол/служба/трафик некоторых обычных юзеров с вендой (без роутера) может вызывать у некоторых соседей по влану с роутерами следующую ситуацию: с wan фейса роутеров на свич провайдера начинают идти пакеты с src адресом 192.168.1.1 (именно этот одинаковый адрес и именно одновременно несколько соседей и именно после включения ноута плохого юзера) и соответственно хорошие юзеры попадают в бан (банит арп инспекшн свича доступа что логично ибо юзер получил с дхцп сервера провайдера совсем другой адрес) Как только потушить порт плохого юзера - все становится ок Понятно - что нужно сегментировать юзеров - хотя бы порт изолейшн + влан на свич (хотя тогда не будет связности в пределах свича - локал прокси арп нету на терминирующем вланы свиче) а еще лучше влан на юзера - но вот просто интересно (ipv6 ipx netbios ssdp заблочил на свиче - не помогло) (пока нет возможности и времени получить дамп трафика со свича - но ребята смотрели ноут плохого юзера и ничего подозрительного не нашли Есть версии ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted September 30, 2014 · Report post Без дампа траффика - это гадание на кофейной гуще. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
andryas Posted September 30, 2014 · Report post Есть версии ? port-security, ограничить до 2-3 маков на порт, вклчить фильтрацию штормов, урезать левый трафик. Роутер - это фактически тупой свич с виланами, со всеми истекающими последствиями. Когда он превращается в хаб - наружу вылазит его внутренний 192.168.x.x Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted September 30, 2014 · Report post Роутер - это фактически тупой свич с виланами, со всеми истекающими последствиями. Когда он превращается в хаб С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно с одним маком и ип). Согласен - что без дампа - это гадание. Но пока не получается организовать... урезать левый трафик. С большего подрезан. Но, вообще - это гемор - отслеживать все более новый левый трафик и потом менять ACL на тысячах свичей, хоть и полуавтоматически. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ollsanek Posted September 30, 2014 · Report post С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно уверены, что имеет место 100% корелляция с 4м абонентом? у нас такая кака регулярно лезет, и, вроде как, в сегментах с изолироваными хомячками тоже. почти всё тплинки, но их в принципе большинство ... якобы это какой-то баг в прошивках ... вобщем пару лет назат надоело с этим бороться, принимаем как данность, что такое бывает. если кто-то расскажет что-то дельное порадуюсь вместе с топикстартером. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Abram Posted October 1, 2014 · Report post Порежьте ACL-ами 192.168.0.0/16 и забудьте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ichthyandr Posted October 1, 2014 · Report post Доброго времени суток, наг-сообщество. Есть юзеры в одном влане Есть арп инспекшн и дхцп снупинг на юзерских портах Внимание - какой такой протокол/служба/трафик некоторых обычных юзеров с вендой (без роутера) может вызывать у некоторых соседей по влану с роутерами следующую ситуацию: с wan фейса роутеров на свич провайдера начинают идти пакеты с src адресом 192.168.1.1 (именно этот одинаковый адрес и именно одновременно несколько соседей и именно после включения ноута плохого юзера) и соответственно хорошие юзеры попадают в бан (банит арп инспекшн свича доступа что логично ибо юзер получил с дхцп сервера провайдера совсем другой адрес) Как только потушить порт плохого юзера - все становится ок Понятно - что нужно сегментировать юзеров - хотя бы порт изолейшн + влан на свич (хотя тогда не будет связности в пределах свича - локал прокси арп нету на терминирующем вланы свиче) а еще лучше влан на юзера - но вот просто интересно (ipv6 ipx netbios ssdp заблочил на свиче - не помогло) (пока нет возможности и времени получить дамп трафика со свича - но ребята смотрели ноут плохого юзера и ничего подозрительного не нашли Есть версии ? это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты, бороться только или изоляцией абон портов ( например в длинке traffic segmentation) или acl-ми как подсказывают Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted October 1, 2014 · Report post Порежьте ACL-ами 192.168.0.0/16 и забудьте. Зарезал IP траф с src и dst 192.168.1.1 - не помогло. (Всю сетку 192.168.0.0/16 не могу - там есть в этом диапазоне вполне легальный трафик, но это уже роутинг, а проблема в L2 - и конкретно с 192.168.1.1) Возможно нужно ARP зарезать с этим адресом - но свич так не умеет. (вернее это должен делать ARP inspection - но какой-то неадекват с этим ипом) Короче, сниму дамп трафика и напишу вендору свича (внезапно и вендор роутеров тот же :) (пока не буду писать, что за вендор) это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты, Ок. Пока все еще нет дампа - давайте еще чуть чуть потеоретизируем: КАК заставить "сопливить" трех соседей в один момент времени? (при этом остальных 10 соседей не затронуть). Интересует механизм. Я бы не смог это сэмулировать на стенде - даже если бы мне заплатили. Напомню, "виновник": обычный обыватель с ноутом. Вероятность целеноправленного злого умысла со стороны этого абонента крайне низка. Есть версии? (рано или поздно найдем причину на практике и сравним с теоретическими предположениями, победителю надо учредить приз :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted October 1, 2014 · Report post С чего бы это у трех человек одновременно роутер превращается в хаб из-за 4-го соседа - при включенном арп инспекш на портах (нету там проблемы арп шторма или большого к-ва маков, и сам виновник работает прекрасно уверены, что имеет место 100% корелляция с 4м абонентом? у нас такая кака регулярно лезет, и, вроде как, в сегментах с изолироваными хомячками тоже. почти всё тплинки, но их в принципе большинство ... якобы это какой-то баг в прошивках ... вобщем пару лет назат надоело с этим бороться, принимаем как данность, что такое бывает. если кто-то расскажет что-то дельное порадуюсь вместе с топикстартером. Уверен на 100% - эксперимент с тушением порта "виновника" проводился много раз. Собственно - так и нашли источник (но не причину). Я все надеюсь - что баг найдется, вендор подпилит прошиву свича, и арп инспекшн будет делать нормально свою работу - т.е. не допустит ситуации, когда один абонент лекго может нарушить работу других абонентов (причем даже не зная об этом). И при этом сам работает как ни в чем не бывало. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted October 1, 2014 · Report post man781 свичи доступа, какие модели ? Дома бывают и многоподьездные, сколько абонентов во влане ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ichthyandr Posted October 1, 2014 · Report post Порежьте ACL-ами 192.168.0.0/16 и забудьте. Зарезал IP траф с src и dst 192.168.1.1 - не помогло. (Всю сетку 192.168.0.0/16 не могу - там есть в этом диапазоне вполне легальный трафик, но это уже роутинг, а проблема в L2 - и конкретно с 192.168.1.1) Возможно нужно ARP зарезать с этим адресом - но свич так не умеет. (вернее это должен делать ARP inspection - но какой-то неадекват с этим ипом) Короче, сниму дамп трафика и напишу вендору свича (внезапно и вендор роутеров тот же :) (пока не буду писать, что за вендор) это проблема в прошивках роутеров - за большинством замечено, сопливят пакеты с локального интерфейса на wan порты, Ок. Пока все еще нет дампа - давайте еще чуть чуть потеоретизируем: КАК заставить "сопливить" трех соседей в один момент времени? (при этом остальных 10 соседей не затронуть). Интересует механизм. Я бы не смог это сэмулировать на стенде - даже если бы мне заплатили. Напомню, "виновник": обычный обыватель с ноутом. Вероятность целеноправленного злого умысла со стороны этого абонента крайне низка. Есть версии? (рано или поздно найдем причину на практике и сравним с теоретическими предположениями, победителю надо учредить приз :) изоляция портов только спасет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 1, 2014 · Report post по опыту могу сказать, что очень часто изоляция портов пропускает всякий шлак типа igmp, v6-multicast, eapol и т.п. на разных свитчах по разному, но в целом какой-то мусор можете летать между кастомерами на изолированных портах в одном влане Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Abram Posted October 1, 2014 · Report post А у вас часом не какой-нибудь DES-3028 с коллизиями хешей? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted October 1, 2014 · Report post коммутаторы Zyxel 3528 юзеров менее 20 в одном влане. Вендор клялся, что у них нету проблемы с коллизиями хеш. Сегодня воткнул ноут в свич и оставил писать дамп трафика (зеркало трафа с порта виновника и жертвы) Завтра ноут заберу, будем смореть дальше... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted October 1, 2014 · Report post Вендор Может вести себя как Троцкий. Попробуйте провести синтетический тест на 7-8к маков. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted October 1, 2014 · Report post В таблице свича маков менее 30 штук в момент проблемы С данными свичами работаем много лет Тысячи их Ранее такой проблемы не было замечено Откуда тут коллизии... Тем более роутеры меняли юзерам - а ситуация абсолютно идентично проявляется Да и вообще поведение другое - что-то заставляет роутеры плевать 192.168.1.1 c wan порта В любом случае - завтра будет дамп трафика Сам посмотрю если зацепок не увижу - отправлю вендору (как я понял - они взяли паузу для создания ситуации в лабе) (Кстати сегодня снова все четко по расписанию включаю порт виновника тут же в бан 2 соседа - оба 192.168.1.1) Изоляция юзерских портов помогает на 100% - что логично Но хочется понять механизм проблемы - ибо совсем не хочется тысячи свичей перенастраивать и это тянет по цепочке много чего еще переделывать Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted October 1, 2014 · Report post тут же в бан 2 соседа - оба 192.168.1.1) IGMP включен на роутере проблемного клиента?, на роутере он может включаться в двух местах -настройки wan-интерфейса и в настройках IPTV. И какое количество соединений в инет у клиента в момент проскока 192.168.1.1 за пределы wan'а роутера? Давно уже подобное встречаю у себя, но мне этот глюк не мешает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Abram Posted October 1, 2014 · Report post Перенастроить тысячи можно expect-ом, что логично. Некоторые роутеры отвечают в wan на arping - попробуйте, может быть оно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted October 2, 2014 · Report post Попробуйте провести синтетический тест на 7-8к маков. А подскажите как? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcdemon Posted October 2, 2014 · Report post я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан? у вас же баниться должен только определенный порт Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted October 2, 2014 · Report post Попробуйте провести синтетический тест на 7-8к маков. А подскажите как? http://forum.nag.ru/forum/index.php?showtopic=58022 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted October 2, 2014 · Report post я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан? у вас же баниться должен только определенный порт Так никто не может это понять )) В этом и суть главного вопроса топика - понять механизм этого безобразия. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
man781 Posted October 2, 2014 · Report post IGMP включен на роутере проблемного клиента?, на роутере он может включаться в двух местах -настройки wan-интерфейса и в настройках IPTV. И какое количество соединений в инет у клиента в момент проскока 192.168.1.1 за пределы wan'а роутера?Давно уже подобное встречаю у себя, но мне этот глюк не мешает. Проблемный клиент - это вы имеете ввиду - пострадавший или "виновник"? У виновника нет роутера. У пострадавших роутер настроен втроенным визардом все по дефолту, как у тысячи других юзеров. Мульткаст IPTV работает. Под IGMP - вы имеете ввиду IGMP Proxy? Настройки IGMP проверю. И к-во соединений тоже. Перенастроить тысячи можно expect-ом, что логично. Некоторые роутеры отвечают в wan на arping - попробуйте, может быть оно. arping -i eth0 192.168.1.1 - конечно попробую. Может оно и есть - ведь никто не мешает сделать произвольный арп запрос. Арп инспекшн как раз анализирует только ответ на корректность. Роутер по идее не должен был бы ответить на ван фейсе на этот запрос - но отвечает - и тут его как раз и банит арп инспекшн. P.S. expect активно юзаю. Без него был бы ад. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sheft Posted October 2, 2014 · Report post я вот вчитываюсь в первое сообщение и понять немогу почему "хорошие" юзеры попадают в бан? "нехороший" начинает рассылать нечто, от чего "хорошие" роутеры начинаю слать внутренний IP во внешку через WAN и ловят бан от arp-inspection У виновника нет роутера. интересно, IP6 включен в сетёвке? какие ещё на сетевке у "нехорошего" абона активные компоненты? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Дегтярев Илья Posted October 2, 2014 · Report post Свитчи меняйте на нормальные. Arp inspection не должен как-либо банить порт. Он должен банить нелегетимные arp пакеты. Одих хост спрашивает who has 192.168.1.1. Многие роутеры отвечают на такой arp запрос с аплинка. Ничего криминального в этом нет, свитч должен не пропускать этот ответ. Но на нормальной работе пользователей это сказываться не должно. У самих используется vlan на район, свитчи eltex. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...