проблема с мостом из 2 RBLHG5nD

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

gmx писал(а):Да пакеты-то никуда не денутся. И теперь проще заблокировать будет.

Веселье продолжается, только уже по WAN порту_)
Изображение Изображение


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Заблокируйте в цепочке INPUT доступ с адреса 75.53.176.6, правда уляжется не сразу. Нужно время.

Можно вообще всю подсеть грохнуть. Судя по whois - это адреса абонентов американской AT&T.


TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

gmx писал(а):Заблокируйте в цепочке INPUT доступ с адреса 75.53.176.6, правда уляжется не сразу. Нужно время.

Спасибо огромное, попробую. Извините за глупый вопрос: а почему именно этот айпи? Так, для саморазвития и понимания логики.

IP 75.53.176.6
Хост: 75-53-176-6.lightspeed.mdstca.sbcglobal.net
Город: Modesto
Страна: United States
IP диапазон: 75.0.0.0 - 75.63.255.255
Название провайдера: AT&T Internet Services

95.142.87.57 - это айпи какого-то абонента моего провайдера, до этого я пытался его всегда заблокировать.

Добавил следующее правило и поставил его первым:
0 chain=input action=drop src-address=75.0.0.0/10 log=no log-prefix=""

Заблокировал всю сеть, если надо будет что-то из этой сети, потом открою. Все верно?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Проблема у провайдера. Это очевидно. Можете эти скрины отправить им в техподдежку. Только свой IP не затирайте, чтобы они видели, что пакеты к вам падают от чужого абонента.

Вы MAC адрес микротика диктовали провайдеру или клонировали MAC от TP-Link. Или провайдеру все равно какой у MAC???


TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

gmx писал(а):Проблема у провайдера. Это очевидно. Можете эти скрины отправить им в техподдежку. Только свой IP не затирайте, чтобы они видели, что пакеты к вам падают от чужого абонента.

Вы MAC адрес микротика диктовали провайдеру или клонировали MAC от TP-Link. Или провайдеру все равно какой у MAC???


Перерегистрировали MAC-адрес, скинул им фотку мака по вайберу.

А с чем связана такая загрузка ЦП Микротика?
Последний раз редактировалось TauRus_tj 08 ноя 2016, 18:09, всего редактировалось 1 раз.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Если это не DDoS, то провайдера нужно теребить. Возможно в сети на одном коммутаторе дубль MAC адресов, может быть коммутатор вышел из строя, может быть кто-то (а может и сам провайдер) организовал петлю. Очень трудно все это предсказать. Разные коммутаторы в экстремальных условиях ведут себя по разному. Хороший и дорогой (кстати и Микротик тоже, при правильной настройке) уже бы отключил проблемный порт/порты. Но везде правит бал D-link. И не самый дорогой D-Link все провайдеры экономят.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

TauRus_tj писал(а):
Перерегистрировали MAC-адрес, скинул им фотку мака по вайберу.



А IP у вас белый фиксированный??? Если да, тогда больше похоже на DDoS.

Такая загрузка вполне объяснима. Во-первых микротик не знает что с этими пакетами делать, во-вторых ICMP - это протокол, фактически, управления взаимодействием, он служебный, в норме там очень мало пакетов. Такое количество переварить микротику будет очень трудно.

Все это очень похоже на DDoS.
Последний раз редактировалось gmx 08 ноя 2016, 18:14, всего редактировалось 1 раз.


TauRus_tj
Сообщения: 0
Зарегистрирован: 08 ноя 2016, 07:30
Откуда: Tajikistan, Khujand
Контактная информация:

gmx писал(а):Если это не DDoS, то провайдера нужно теребить. Возможно в сети на одном коммутаторе дубль MAC адресов, может быть коммутатор вышел из строя, может быть кто-то (а может и сам провайдер) организовал петлю. Очень трудно все это предсказать. Разные коммутаторы в экстремальных условиях ведут себя по разному. Хороший и дорогой (кстати и Микротик тоже, при правильной настройке) уже бы отключил проблемный порт/порты. Но везде правит бал D-link. И не самый дорогой D-Link все провайдеры экономят.

Ясно, из всего я так понимаю, что именно мне идут пакеты, или все-таки это широковещательный пакет, на всю подсеть, мне вроде провайдер так объяснил, и что они ищут причину. А с чем связана такая загрузка ЦП Микротика, у меня даже при полном нагрузе канала никогда выше 15-20% не поднималась загруженность ЦП.

gmx писал(а):
TauRus_tj писал(а):
Перерегистрировали MAC-адрес, скинул им фотку мака по вайберу.



А IP у вас белый фиксированный??? Если да, тогда больше похоже на DDoS.


Да, белый, реальный. Только это вряд ли DDoS, кому нужен мой домашний айпишник))) Где смотрят только шару и айпитиви, ну телефоны в вайфае)


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

ICMP никогда не использует широковешательные пакеты. Это заложено в стандарты.

При DDoS там используется такая штука, когда пакет направляется именно туда, куда нужно, в самом пакете адрес получателя подменяется. Я не сильно в это вдавался. Сложно все это, очень сложно.

В вашем случае Микротик получая такой пакет, понимает, что он предназначался не ему и отправляет его в основной шлюз, но тот уже пометил этот пакет как ваш и направляет его вам обратно. Это так на пальцах. А может миротик его никуда и не отправляет? он просто вынужден ждать время TTL и если пакетов очень много, то они просто забивают всю память микротика.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

IP ваш, конечно, никому не нужен, это просто баловство. Сидит школьник, случайным образом выбрал IP, ну и фигачит. Могут просто боты и так далее.
Сервера картшаринга очень часто ддосят, мало ли, может и как-то ваш адрес попал в список. А может они уже и абонентов шары ддосят.

А может и провайдер накосячил. Как угадаешь-то?


Ответить