MikroTik.by

Я ж и говорю: попробовать именно так, одним drop-правилом Должно сработать, просто я так никогда не делал.

договорились
попробую

значит рассказываю, для истории :-)

добавил адрес, пакеты ограничил, вроде всё получилось, провайдер пока не звонил


пока хотел бы уточнить один момент, если ещё не окончательно достал :-)

Chupaka писал(а): ↑22 мар 2018, 11:54 Что если просто DHCP-клиент навесить на VLAN?

я прописал известный адрес для интерфейса, т.е. как бы принудительно его задал
правильно ли я понимаю, что DHCP-клиент позволит получать на этот интерфейс адрес от провайдера автоматом и это решение будет более гибким с точки зрения возможных изменений со стороны провайдера?

Да, если с DHCP нормально заработает - то этот вариант предпочтительнее (мало ли как провайдер раздаёт адреса приставкам), хотя в целом для IGMP ничего страшного не должно быть в обоих вариантах.

Правила ограничения пакетов что-нибудь полезное делают? Ну, в смысле, дропы есть?

Chupaka писал(а): ↑24 мар 2018, 13:31 Да, если с DHCP нормально заработает - то этот вариант предпочтительнее (мало ли как провайдер раздаёт адреса приставкам), хотя в целом для IGMP ничего страшного не должно быть в обоих вариантах.

насчёт "ничего страшного" я понимаю, но если вдруг ip сменится и каналы отвалятся, придётся снова подключать приставку и смотреть какой ip она получит, мне кажется вариант с DHCP-клиентом в этом плане интереснее

вот какую интересный момент обнаружил
я решил настроить DHCP-клиент и для начала удалил адрес для интерфейса IPTV в IP-Addresses, но обратил внимание, что при этом в IGMP Proxy статус не стал invalid и интерфейс IPTV получал правильный адрес
удалил всё их IGMP Proxy, заново ввёл, интерфейс IPTV получил правильный адрес, но тв-каналы не работают, они запускаются только после прописывания адреса для интерфейса IPTV в IP-Addresses

теперь непосредственно про DHCP-клиент
удалил адрес для интерфейса IPTV в IP-Addresses, пытаюсь прицепить DHCP-клиент на интерфейс IPTV, но он не получает IP
посмотрел уже несколько инструкций, вроде бы там всё просто, IP сразу получают, но у меня не сработало почему-то
может есть какие-то нюансы?

Chupaka писал(а): ↑24 мар 2018, 13:31 Правила ограничения пакетов что-нибудь полезное делают? Ну, в смысле, дропы есть?

на 50 тыс принятых пакетов, 1 пакет заблокирован
но я не особо смотрел тв, несколько минут всего ради теста
если что не так, думаю провайдер сообщит, или сам позвоню спросить в понедельник

Ну, теоретически, провайдер может привязываться к hostname или ещё каким параметрам в dhcp-запросе... Поснифать бы, как приставка адрес получает

"На 50 тыс принятых пакетов" - стоп, почему принятых? Я же писал chain=output - то, что отдаётся провайдеру, а не то, что от него прилетает Если прилетело - это никак не флуд со стороны роутера...

Chupaka писал(а): ↑24 мар 2018, 16:39 "На 50 тыс принятых пакетов" - стоп, почему принятых?

я открыл рядом окно фаервола и окно IGMP Proxy
IGMP Proxy показывал принятые пакеты, от него и взял 50тыс
в фаерволе всё верно, chain=output out-interface=IPTV limit=!1p/1sec (не знаю, как правильно) action=drop

Chupaka писал(а): ↑24 мар 2018, 16:39 Поснифать бы, как приставка адрес получает

как донесла разведка, адрес присваивается приставке по мак-у

Я тут 9 лет назад накропал: https://wiki.mikrotik.com/wiki/Change_M ... _interface

Chupaka писал(а): ↑25 мар 2018, 01:09 Я тут 9 лет назад накропал: https://wiki.mikrotik.com/wiki/Change_M ... _interface

здорово
как я понимаю, это значит, что должен будет и DHCP-клиент подцепиться?

не настраивал пока, но на всякий случай уточню заранее
я в wiki видел, что clientid позволяет задать мак-адрес для DHCP-клиента, но не понял как
ну следующий вопрос сразу, мак лучше задавать для интерфейса целиком, как по ссылке в твоём сообщении, или прописывать как опцию для DHCP-клиента?

Не позволяет clientid задать мак. Это там clientid задаётся на основе мака А сам мак берётся с интерфейса, так что надо менять именно интерфейс.

Chupaka писал(а): ↑25 мар 2018, 15:31 Не позволяет clientid задать мак. Это там clientid задаётся на основе мака А сам мак берётся с интерфейса, так что надо менять именно интерфейс.

ага, вот оно чё
неправильно перевёл, значит


Chupaka,
вопрос по этой же теме, но немного отвлечённый
в самом начале, когда я только пытался разобраться с жалобами провайдера на флуд, получил на одном форуме один ответ

Непонятно что они имеют ввиду под тем что ты им флудишь. Я думаю они видят другие IP из этой подсети и поэтому говорят про флуд.
Можно попробовать присвоить этот адрес на интерфейс и все маскарадить под него. В нате создаешь маскарадинг, где out-interface твой интерфейс, где прописан IP. Как source адрес указываешь свою подсеть, где приставка, чтоб он не все тем адресом маскарадил.

я правильно понимаю, что этот вариант применим только если я хочу, чтобы приставка висела на проводе в локальной сети и могла одновременно работать и через влан IPTV и через влан INTERNET? или тут есть какой-то скрытый смысл?

Не понимаю, о каких других адресах речь, поэтому не буду комментировать. Вроде им там взяться неоткуда

Chupaka писал(а): ↑25 мар 2018, 01:09 Я тут 9 лет назад накропал: https://wiki.mikrotik.com/wiki/Change_M ... _interface

сегодня сделал
бридж создался, мак применился, всё просто и понятно

далее я попробовал прицепить на этот новый бридж DHCP-клиент и для начала удалил адрес для интерфейса IPTV в IP-Addresses и отключил всё в IGMP Proxy
далее создал новый DHCP-клиент для этого нового бриджа, но IP он не получил
в свойствах бриджа я вижу, что периодически приходят данные по 336 bps, но постоянно висит статус searching... и IP автоматом не получаю

Видимо, разведка что-то недодонесла Можно всё же подключить приставку и заснифать её трафик, посмотреть, как именно она получает. Может, дополнительные опции шлёт, может, значения, может, формат другой...

Chupaka писал(а): ↑26 мар 2018, 10:17Видимо, разведка что-то недодонесла

не уверен, что получится, но попробую выпытать больше

Chupaka писал(а): ↑26 мар 2018, 10:17подключить приставку и заснифать её трафик

через Tools-Packet sniffer или лучше другим способом?

Да, я обычно через Packet Sniffer сохраняю в .pcap-файл - и потом Wireshark'ом просматриваю.

Chupaka писал(а): ↑26 мар 2018, 11:11 Да, я обычно через Packet Sniffer сохраняю в .pcap-файл - и потом Wireshark'ом просматриваю.

спасибо за подсказку, похоже нашёл
кроме мака он передаёт "Vendor class identifier: Pristavka1234" (название просто для примера)

я правильно понимаю, что эти данные уже нельзя прицепить на бридж?

Я так понимаю, можно. Опция, как понимаю, 60.

Chupaka писал(а): ↑26 мар 2018, 14:49 Я так понимаю, можно. Опция, как понимаю, 60.

там я был и сначала обрадовался, но на форуме есть такой ответ от суппорта https://forum.mikrotik.com/viewtopic.ph ... 55#p238004

Это ответ восьмилетней давности. Options в DHCP Client добавили в шестой версии

Chupaka писал(а): ↑26 мар 2018, 16:20 Это ответ восьмилетней давности. Options в DHCP Client добавили в шестой версии

вот блин
я почему-то был уверен, что прошлогодний

вот с этим микротиком всегда так, решение проблемы или поиск решения вызывает кучу дополнительных вопросов

добавил я 60-ю опцию, подключил на бридж DHCP-клиент, мгновенно получил ip и всё заработало
но возник вопрос

в IGMP Proxy, когда адрес я задавал вручную, Source IP Address для интерфейса bridge-local брался из диапазона для bridge-local (картинка 1)
а при настроенном и работающем DHCP-клиенте берётся из гостевого интерфейса wlan1 (картинка 2)
пока никак не могу найти, почему так и с чём это связано, т.к. в настройках IGMP Proxy меняется только апстрим интерфейс



upd:
магия какая-то
откатился на старый конфиг, ещё раз всё настроил, Source IP Address для интерфейса bridge-local теперь берётся правильно из диапазона для bridge-local

Ну, может, неудачно чё-то выбралось. На работоспособность влиять не должно было, по идее

Chupaka писал(а): ↑26 мар 2018, 22:01 На работоспособность влиять не должно было, по идее

так и не влияет вообще работает при любом раскладе

появился ещё один вопрос

как я понял, опция 61 для DHCP-клиента позволит мне прописать мак сразу на влан
может тогда лучше использовать этот вариант, а не создание бриджа и назначение мак-адреса для бриджа?