Jump to content
Local
jcomm

Проблема с динамическими ARP-записями

Recommended Posts

Доброго времени суток. Возникла проблема с RouterOS v6.35 x86. Добавляются динамически arp-записи для всех подсетей на микротике с маками 00:00:00:00:00:00. Естественно, убираются с помощью reply-only ARP на интерфейсах, но использовать не получается, в связи с использованием UHW. Трафик пользователей бегает без проблем, но эти записи настораживают. То же самое было до обновления с 6.3.5.

 

Что это может быть и как это побороть.

 

UPD: За микротиком стоит DES-3200-28F, думал какие-то защиты, но нет. Всё, что связано с DHCP отключено.

 

UPD: Микротик настроен DHCP-relay'ем на сервер. Из динамических подсетей только UHW, всё остальное статика.

post-24813-0-49315800-1460991244_thumb.png

Edited by jcomm

Share this post


Link to post
Share on other sites

Беспроводные мосты есть у Вас?

Есть. Перед сервером. Точка-точка на MikroTik RB411GL.

Share this post


Link to post
Share on other sites

А wds включен на Микротах? Если нет, то попробуйте включить

Share this post


Link to post
Share on other sites

А wds включен на Микротах? Если нет, то попробуйте включить

WDS включен. До этого, стоящий RB2011LS-IN не делал такой гадости.

Share this post


Link to post
Share on other sites
WDS включен.

Тогда затрудняюсь ответить. У меня такая проблема была решена с помощью wds

 

А 10.0.0.0 я так понимаю не гостевая сеть, а абонентская

Edited by Golthana

Share this post


Link to post
Share on other sites

А 10.0.0.0 я так понимаю не гостевая сеть, а абонентская

Да, абонентская. 10.0.0.0, 10.0.1.0, 10.0.2.0 и т.д - это абонентские и для всех подсетей создаются такие записи от 1 до 254.

Edited by jcomm

Share this post


Link to post
Share on other sites

Извините за такой вопрос, а wds точно поднимается?

Share this post


Link to post
Share on other sites

Извините за такой вопрос, а wds точно поднимается?

Точно. Мост работает без нареканий.

Share this post


Link to post
Share on other sites

Либо я что-то не понимаю, либо лыжи не едут. Вот changelog микротика.

What's new in 6.33.5 (2015-Dec-28 09:13):

...
*) arp - show incomplete ARP entries;
...

Объясните, пожалуйста, что такое неполные ARP-записи? Для чего они нужны? Суда по changelog'у оно так и должно показываться. Тогда почему на все пользовательские подсети такое появляется?

Share this post


Link to post
Share on other sites

Тогда почему на все пользовательские подсети такое появляется?

Да, и в этом разобрался. Лыжи поеали. Вот эти "incomplete ARP entries" появляются из-за вызова fullhostscan из remoteapi юбиллинга.

 

Вывод: так должно быть, надо было читать внимательнее changelog RouterOS.

 

Короче говоря, тема закрыта. Всем спасибо.

Edited by jcomm

Share this post


Link to post
Share on other sites

 

 

уда по changelog'у оно так и должно показываться.

 

Попробуйте откатить обратно и сравните результат

Share this post


Link to post
Share on other sites

Попробуйте откатить обратно и сравните результат

Очевидно же, что на версиях > 6.3.5 этой "фичи" не будет.

Edited by jcomm

Share this post


Link to post
Share on other sites

Вообще это больше похоже на unresolved ARP записи, кто-то из клиентов сканирует сеть и забивает мусором роутер.

 

p.s. прочитал ваш пост выше про 'arp - show incomplete ARP entries' - оно и есть. Просто раньше эти записи МТ не показывал вообще, а теперь показывает как 00:00

Бороться с этим нельзя, да и ничего лишние записи не делают - максимум ARP-таблицу могут забить, вот тогда надо будет лечить любителя сканеров.

Edited by KaYot

Share this post


Link to post
Share on other sites

кто-то из клиентов сканирует сеть и забивает мусором роутер.

Это не кто-то из клиентов, а вызов fullhostscan из remoteapi юбиллинга. А там nmap сканирует все пользовательские подсети на наличие живых душ. :)

Edited by jcomm

Share this post


Link to post
Share on other sites

вызов fullhostscan из remoteapi юбиллинга

Ну тогда это жесткая тупость в биллинге, нельзя так делать :)

А если подсеть будет /16? Легко можно переполнить ARP-table маршрутизаторам и иметь жестокие потери пакетов во время сканирования.

Share this post


Link to post
Share on other sites

Белки истерички млять.

 

Обисняю доходчиво:

 

Ну бывают себе incomplete arp records. Да - это те, на которые не пришло ответа на arp request who-has.

$ arp -a | grep incomplete | tail -n 1
? (172.30.6.11) at (incomplete) on igb0 expired [ethernet]
$ arp -a | grep incomplete | wc -l
      65
$

Нет, на любой запрос не получивший в результате адекватного who-has reply - порождает одну такую incomplete arp запись. Да - это нормально.

Они устаревают на общих основаниях относительно net.link.ether.inet.max_age.

 

И нет, вызовы fullhostscan раз в час - строго опциональны, сканирование хостов (да, traffdiff там доминирующая парадигма) на живость там - тоже в общем-то тоже строго опционально. Фантазеры-теоретики рассказывающие о том как надо писать биллинги - перманентно идут наxyй. Их поучения и невъебенная концептуальность - все так же остаются никому не нужными, и не существующими в реальном мире фантазиями.

Edited by nightfly

Share this post


Link to post
Share on other sites

О, ссыкун-быдлокодер тут же нарисовался.

Угу, кривое и ненужное говно в биллинг должно быть и ничего плохого в нем нет. Все правильно.

Share this post


Link to post
Share on other sites

О, ссыкун-быдлокодер тут же нарисовался.

Угу, кривое и ненужное говно в биллинг должно быть и ничего плохого в нем нет. Все правильно.

Не. Походу тебя уебка нужно в твое же говно тыкать мордочкой ежегодно -  вот, пожалуйста.

Share this post


Link to post
Share on other sites

 

О, ссыкун-быдлокодер тут же нарисовался.

Угу, кривое и ненужное говно в биллинг должно быть и ничего плохого в нем нет. Все правильно.

Не. Походу тебя уебка нужно в твое же говно тыкать мордочкой ежегодно -  вот, пожалуйста.

 

Приветствую тебя Citizens (не общались с 2012г :) )

проблемма анологичная (1 пост)

но ip с 0 маками не исчезают (основные - т.е. ip сервера и микротика)

последствия - через каждые 5-10мин у всех абонентов исчезает интернет.

Share this post


Link to post
Share on other sites

 

 

но ip с 0 маками не исчезают

Запускайте скрипт каждые 30 секунд, например, и удаляйте эти записи. 

Share this post


Link to post
Share on other sites

1. На свиче желательно настроить arp spoofing prevention

2. На свиче желательно настроить ACL, чтобы клиенты не могли слать ARP и IP запросы на другие клиентские IP

3. На свиче желательно настроить запрет пересылки паразитного broadcast, multicast и unicast трафика на микротик.

 

А также современные свичи отлично умеют dhcp snooping и dhcp screening

 

Простой пример.

У нас шлюз 192.168.0.1 с MAC адресом 00:11:22:33:44:55:66

 

Делаем правило, разрешающие в ARP запросах запрашивать MAC адрес только у IP 192.168.0.1 (MAC адрес пентагона нам не нужен)

Делаем правило, разрешающее посылку всех юникаст пакетов только на MAC адрес 00:11:22:33:44:55:66.

Edited by Dmitry2

Share this post


Link to post
Share on other sites

Dmitry2

 

 

 

1. На свиче желательно настроить arp spoofing prevention 2. На свиче желательно настроить ACL, чтобы клиенты не могли слать ARP и IP запросы на другие клиентские IP 3. На свиче желательно настроить запрет пересылки паразитного broadcast, multicast и unicast трафика на микротик. А также современные свичи отлично умеют dhcp snooping и dhcp screening

 

Можно ето

 

Простой пример. У нас шлюз 192.168.0.1 с MAC адресом 00:11:22:33:44:55:66 Делаем правило, разрешающие в ARP запросах запрашивать MAC адрес только у IP 192.168.0.1 (MAC адрес пентагона нам не нужен) Делаем правило, разрешающее посылку всех юникаст пакетов только на MAC адрес 00:11:22:33:44:55:66.

Обьясните  пожалуйста чуть подробней. Можно эти  правила применить в Bridge Filters  для  Forvard на мосте.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By bot
      26-28 июня 2019 в Киеве состоится тренинг по MikroTik первого уровня – MikroTik Certified Network Associate
       
      Это начальный курс об основных возможностях операционной системы RouterOS и оборудования RouterBoard.
       
      Вам помогут научиться настраивать, управлять, диагностировать и устранять основные неполадки маршрутизатора, предоставлять основные услуги клиентам, администрировать корпоративные СПД, беспроводные провайдерские (WISPs) и ISPs сети.
       
      Опытные сертифицированные преподаватели, которые являются практикующими инженерами и ежедневно сталкиваются с оборудованием MikroTik, помогут разобраться со всеми тонкостями и возникшими вопросами.
       
      В последний день лекций проводится экзамен. Слушатели, набравшие более 60% правильных ответов, становятся сертифицированными инженерами MikroTik по курсу MTCNA (компания MikroTik присваивает индивидуальный номер каждому электронному сертификату, по которому Вы всегда можете найти Ваш сертификат на сайте https://mikrotik.com).
       
      Помимо ценных знаний, которые помогут Вам возрасти в цене, как специалист, на нашем тренинге Вы получите:
      маршрутизатор RB 941-2nD обеды и кофе-брейки (каждый учебный день) печатный именной сертификат от нашего тренинг-центра.  
      ВНИМАНИЕ!  Для участия необходима предварительная регистрация!
      Зарегистрироваться: mikrotik.ua
       
      Тренинг MTCNA, 26-28.06.2019
      г. Киев, ул. Елены Телиги, 11, оф. 1
       

    • By Break
      Продам Mikrotik RB962UiGS-5HacT2HnT hAP ac - НОВЫЙ
      Не включался!!!
      количество - 2 шт
      Цена: 2600 грн
      hAP ac (RB962UiGS-5HacT2HnT) – топовое решение от компании Mikrotik для домашнего использования, а также небольших офисов. hAP ac является логическим продолжением своих предшественников hAP lite, hAP и hAP ac lite. По совокупности характеристик, набора возможностей и интерфейсов, hAP ac является наиболее универсальным и идеальным маршрутизатором.
       Поддерживаются стандарты 802.11 b/g/n.
       
      Тел.  0681651360 Сергей Евгениевич (если не на связи пишите в личку - обязательно отвечу)
       

    • By kotqq
      Продам новый Mikrotik RB4011iGS+5HacQ2HnD-IN, цена 5200 грн
       
       
    • By netsat2007
      куплю MikroTik LHG 5 ,MikroTik LHG 2 без ремонтов  б.у. с пое. предложения в личку
    • By ddd_kr
      После перехода на PON продам БУ клиентские антенны:
      NanoBridge M5 22 - 1000 грн/шт
       
      На количестве цена ниже.
      Возможен вариант по безналичному расчёту.
       
×