(РЕШЕНО) Дефолтные правила и DHCP

[wan]

Доброго времени суток, Уважаемые!
Помогите понять, что я делаю не так. Или укажите направление движения.

Что имеем: небольшой оффис на 500+ персоналок и оборудования, микротик RB2011 в качестве маршрутизатора и файервола для всего этого хозяйства, стандартный, практически, конфиг подо-все это дело.
Как только включаю дефолтное правило на input и forward для invalid-пакетов, тут-же прекращают получать станции DHCP в сети. Сервер DHCP на домене крутится, микротик в dhcp не учавствует.

Ниже полный конфиг /ip firewall filter, помогите понять что не так.

Код: Выделить всё

# oct/30/2018 10:17:50 by RouterOS 6.42.9
# software id = SI9I-V2VB
#
# model = 2011UiAS
/ip firewall filter
add action=jump chain=input dst-address=x.x.x.x jump-target=\
    portKnocking protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
    
add action=drop chain=input connection-state=invalid disabled=yes

add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="WinBox from x.x.x.x" dst-address=\
    x.x.x.x dst-port=8291 in-interface=Eth1-ISP-Rostelekom protocol=tcp \
    src-address=x.x.x.x
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface=Eth1-ISP-Rostelekom
add action=add-src-to-address-list address-list=Torrent-Conn \
    address-list-timeout=2m chain=forward comment="Torrent's" \
    layer7-protocol=layer7-bittorrent-exp out-interface=Eth1-ISP-Rostelekom \
    src-address-list=!allow-bit
add action=drop chain=forward dst-port=\
    !0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=tcp \
    src-address-list=Torrent-Conn
add action=drop chain=forward dst-port=\
    !0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=udp \
    src-address-list=Torrent-Conn
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked

add action=drop chain=forward  connection-state=invalid disabled=yes

add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=Eth1-ISP-Rostelekom
add action=add-src-to-address-list address-list=checkLevelOne \
    address-list-timeout=5s chain=portKnocking comment=CheckLevelOne \
    packet-size=100 protocol=icmp
add action=add-src-to-address-list address-list=checkLevelTwo \
    address-list-timeout=5s chain=portKnocking comment=CheckLevelTwo \
    packet-size=200 protocol=icmp src-address-list=checkLevelOne
add action=add-src-to-address-list address-list=AllowRDP \
    address-list-timeout=30m chain=portKnocking comment=AllowRDP packet-size=\
    300 protocol=icmp src-address-list=checkLevelTwo
add action=return chain=portKnocking

[Chupaka]

Доброго. А топология сети где? Что куда подкючено и как трафики ходят? Бридж? DHCP Relay?

[wan]

упс
да нет ничего такого
eth1 - провайдер, свободный выход в инет
eth2 - local network (две подсети, так сложилось от "старых студентов": 192.168.95.1 и 192.168.195.1)
более ничего
к моему стыду, даже не знаю что такое DHCP Relay

[Chupaka]

Т.е. DHCP-сервер у вас в локальной сети, клиенты в локальной сети, роутер подключен к локальной сети единственным портом? Тогда через него трафик между локальными машинами и не должен ходить, он будет ходить напрямую, поэтому никакие настройки роутера не могут влиять на то, что происходит внутри локалки. Так что либо вы что-то не договариваете, либо всё не так, как вы думаете

[Sir_Prikol]

По дефолту сейчас начинают присутствовать WAN листы, может в этом проблема? Что локалка воткнута в порт из WAN листа, но как сказал коллега - нужно не только конфу фаервола, но и конфу интерфейсов

[Chupaka]

И топологию, и топологию!..

Если eth2 воткнут в обычный коммутатор с локалкой - то он по определению не может влиять на то, какими там широковещательными пакетами обмениваются устройства внутри локалки.

[wan]

не ну так-то да, я не все договариваю
вообще 3 здания в городе завязаные в сеть, правда сеть построена так, что ............. повбывав-бы (С)
извините за эмоции


сейчас добавил DHCP Relay и включил правила с invalid пакетами - вроде нормально работает

Вот полный конфиг устройства (таких 3 штуки, правила везде одинаковые)
по безопасности не понимаю малость, но вроде как не сильно "китайцы" беспокоят
в сетях разбираться начал совсем недавно именно на этой работе, все приходит "методом тыка" и чтением интернетов
Ну и здесь конечно очень приятно помогают

Код: Выделить всё

# oct/30/2018 14:58:59 by RouterOS 6.42.9
# software id = SI9I-V2VB
#
# model = 2011UiAS
# serial number = 608805D9ED39
/interface ethernet
set [ find default-name=ether1 ] name=Eth1-ISP-Rostelekom
set [ find default-name=ether2 ] name=Eth2-LAN_Local
set [ find default-name=ether3 ] name=Eth3-VipNet
set [ find default-name=ether5 ] name=Eth5-LAN_Wan
/interface ethernet switch port
set 6 vlan-mode=fallback
set 7 vlan-mode=fallback
set 8 vlan-mode=fallback
set 9 vlan-mode=fallback
set 10 vlan-mode=fallback
set 12 vlan-mode=fallback
/interface list
add exclude=dynamic name=discover
add name=mac-winbox
add name=mactel
add name=LAN
add name=WAN
/ip firewall layer7-protocol
add comment="Block Bit Torrent" name=layer7-bittorrent-exp regexp="^(\\x13bitt\
    orrent protocol|azver\\x01\$|get /scrape\\\?info_hash=get /announce\\\?inf\
    o_hash=|get /client/bitcomet/|GET /data\\\?fid=)|d1:ad2:id20:|\\x08'7P\\)[\
    RP]"
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-128-cbc
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/system logging action
set 0 memory-lines=10000
set 1 disk-lines-per-file=10000
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface detect-internet
set detect-interface-list=all internet-interface-list=discover \
    lan-interface-list=discover wan-interface-list=discover
/interface list member
add interface=sfp1 list=discover
add interface=Eth3-VipNet list=LAN
add interface=ether4 list=discover
add interface=ether6 list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=ether9 list=discover
add interface=ether10 list=discover
add interface=Eth2-LAN_Local list=LAN
add interface=Eth5-LAN_Wan list=LAN
add interface=Eth1-ISP-Rostelekom list=WAN
/ip address
add address=62.105.28.222/30 interface=Eth1-ISP-Rostelekom network=\
    62.105.28.220
add address=172.16.0.2/29 interface=Eth5-LAN_Wan network=172.16.0.0
add address=192.168.95.1/24 interface=Eth2-LAN_Local network=192.168.95.0
add address=192.168.195.1/24 interface=Eth2-LAN_Local network=192.168.195.0
/ip cloud
set update-time=no
/ip dhcp-relay
add dhcp-server=192.168.195.10 disabled=no interface=Eth2-LAN_Local name=\
    relay_95_195
/ip dns
set allow-remote-requests=yes servers=192.168.195.10,192.168.98.10
/ip firewall address-list
add address=192.168.95.95 list=allow-bit
/ip firewall filter
add action=jump chain=input comment="jump: port-knocking" dst-address=\
    62.105.28.222 jump-target=portKnocking protocol=icmp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface=Eth1-ISP-Rostelekom
add action=add-src-to-address-list address-list=Torrent-Conn \
    address-list-timeout=2m chain=forward comment="Torrent's" \
    layer7-protocol=layer7-bittorrent-exp out-interface=Eth1-ISP-Rostelekom \
    src-address-list=!allow-bit
add action=drop chain=forward dst-port=\
    !0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=tcp \
    src-address-list=Torrent-Conn
add action=drop chain=forward dst-port=\
    !0-1024,8291,5900,5800,3389,14147,5222,59905 protocol=udp \
    src-address-list=Torrent-Conn
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=Eth1-ISP-Rostelekom
add action=add-src-to-address-list address-list=checkLevelOne \
    address-list-timeout=5s chain=portKnocking comment=CheckLevelOne \
    packet-size=173 protocol=icmp
add action=add-src-to-address-list address-list=checkLevelTwo \
    address-list-timeout=5s chain=portKnocking comment=CheckLevelTwo \
    packet-size=262 protocol=icmp src-address-list=checkLevelOne
add action=add-src-to-address-list address-list=AllowRDP \
    address-list-timeout=30m chain=portKnocking comment=AllowRDP packet-size=\
    339 protocol=icmp src-address-list=checkLevelTwo
add action=return chain=portKnocking
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade out ISP-Ugratel" \
    ipsec-policy=out,none out-interface=Eth1-ISP-Rostelekom

/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip route
add distance=1 gateway=62.105.28.221
add distance=1 dst-address=10.0.0.0/8 gateway=172.16.0.1
add distance=1 dst-address=12.0.0.0/8 gateway=172.16.0.1
add distance=1 dst-address=172.19.1.0/30 gateway=172.16.0.1
add distance=1 dst-address=192.168.38.0/24 gateway=172.16.0.1
add distance=1 dst-address=192.168.56.0/24 gateway=172.16.0.3
add distance=1 dst-address=192.168.90.0/24 gateway=172.16.0.1
add distance=1 dst-address=192.168.98.0/24 gateway=172.16.0.1
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip smb
set allow-guests=no
/lcd
set time-interval=hour
/system clock
set time-zone-autodetect=no time-zone-name=Asia/Yekaterinburg
/system identity
set name=dp_surgut_gp1
/system ntp client
set enabled=yes primary-ntp=109.195.19.73 secondary-ntp=88.147.254.230
/system ntp server
set enabled=yes
/system routerboard settings
set auto-upgrade=yes silent-boot=no
/tool bandwidth-server
set authenticate=no enabled=no
/tool graphing interface
add
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no

[wan]

И топологию, и топологию!..

Если eth2 воткнут в обычный коммутатор с локалкой - то он по определению не может влиять на то, какими там широковещательными пакетами обмениваются устройства внутри локалки.

именно так все и подключено

[wan]

и еще
забыл уточнить, что проблема с получением адреса DHCP происходят только у терминальных(бездисковых) станций, обычные рабочие станции таких трудностей не испытывают

[Sir_Prikol]

и еще
забыл уточнить, что проблема с получением адреса DHCP происходят только у терминальных(бездисковых) станций, обычные рабочие станции таких трудностей не испытывают

В таком случае, думаю что бездисковые лезут сначала на маршрутизатор, но опять-таки, бездисковые в каком плане, у них PXE Boot или через tftp сервер ?

[Chupaka]

Ну и три здания завязаны в сеть не через Мелкотики, а с какой-то другой стороны? Тогда роутеры вообще никак на DHCP не должны влиять %)

PXE Boot всё равно по DHCP настройки получает, а на роутерах оно даже не настроено.

[wan]

PXE boot
настройки загрузки PXE прописаны и находятся на сервере домена, т.е. микротик только в качестве маршрутизатора учасвствет в работе локальной сети

[wan]

Ну и три здания завязаны в сеть не через Мелкотики, а с какой-то другой стороны? Тогда роутеры вообще никак на DHCP не должны влиять %)

PXE Boot всё равно по DHCP настройки получает, а на роутерах оно даже не настроено.

совершенно верно, сеть выделена Ростелекомом, самый простой VPN L3......... или какой там номер без gw

[Chupaka]

Так, на всякий случай ещё раз уточню: станции именно "не получают адрес", а не "не могут загрузиться после получения адреса"?

VPN L3, но и клиенты, и сервер находятся в одном здании/сегменте L2?

[wan]

Так, на всякий случай ещё раз уточню: станции именно "не получают адрес", а не "не могут загрузиться после получения адреса"?

VPN L3, но и клиенты, и сервер находятся в одном здании/сегменте L2?

ммм..... скорее второе "не могут загрузиться после получения адреса", НО! Это как-то странно проявляется, я вижу что ЧТО-ТО получило этот адрес, т.е. на сервере он биндиться и становится "занятым", но без идентификатора

да, клиенты и сервер в одном сегменте L2

[Sir_Prikol]

Предлагаю объеденить на маршрутизаторе LAN интерфейсы в бридж и исключить его из фаервола, для проверки

[Chupaka]

Если у вас клиенты и сервер в разных подсетях - тогда да, пакеты будут, как минимум поначалу, идти через роутер.

Поставьте в правилах drop invalid параметр log=yes и гляньте, какие пакеты начинают дропаться при загрузке станции.

Что без идентификатора получается адрес - это нормально, тут ещё сетевая карта только базу получила для продолжения загрузки, а всё красиво становится, когда начала грузиться ОСь и получила адрес "полноценный". Вот до этого момента у вас почему-то, видимо, не доходит.

Как вариант - добавить правило forward для in-interface=Eth_LAN out-interface=Eth_LAN action=accept

[Chupaka]

Подозреваю, проблема может быть в том, что сервер уже получил от роутера ICMP Redirect о том, что данная подсеть находится прямо за его интерфейсом (и длинный путь через роутер не нужен, можно слать пакеты напрямую, хоть и в другую подсеть), а клиент - нет, поэтому для роутера всё выглядит, как трафик от клиента к серверу, без ответов сервера. Это вполне на каком-нибудь втором пакете от клиента может выглядеть для роутера как invalid connection (сервер-то, с точки зрения роутера, ничего клиенту не отсылал, так что незачем тут со своими ACK'ами лезть).

[wan]

ВОТ!!!!!!!!!!!
вы сформировали мою мысль в слова достаточно русскими буквами
я это пытаюсь сформулировать с 4го сообщения

[wan]

извиняюсь за эмоции, но что-то х№%;"та какая-то
отключаю правила invalid - все работает как часы
включаю - ?%;№?%; полная

отключил правила, бесит

[Sir_Prikol]

Спокойно, сам был в таких-же ситуациях, для начала смотрим топологию, почему локалка попадает на маршрутизатор, для этого логгируем правила и смотрим запросы

[wan]

топология:
ВПН L3 общий
1здание (ВП) - МТ, 2 сети на одном порту - 192.168.38.0/24 и 192.168.98.0/24
2 (ДП) - МТ, 2 сети на одном порту - 192.168.95.0/24 и 192.168.195.0/24
3 (ДО) - МТ, 1 сеть 192.168.56.0/24
каждый сегмент = свой L2
МТ воткнуты портом ETHx_LAN_LOCAL в пачку комутаторов с рабочими станциями

МТ офисов связаны по L3 отдельными портами ETHx_LAN_WAN - сеть 172.16.0.0/29
все замаршрутизировано, все летает
кроме вышеупомянутого с правилами на invalid

уж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2

[Sir_Prikol]

Ну во первых - у вас все сети идут через маршрутизатор, а это явно он начинает контролировать сеть. Ваша задача сделать так, чтобы маршрутизтор НЕ участвовал в этом всём, для этого выводите в отдельные бриджи локальную сеть и исключаете его из фаервола
Или, создаёте адреслисты и в фаере прописываете исключения на адреслисты

[Sir_Prikol]

уж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2

Это у меня сеть проще не куда И то, потому что она дома, в продакшене там чёрт ногу сломит, но она настроена очень давно и я её не трогаю

[Chupaka]

извиняюсь за эмоции, но что-то х№%;"та какая-то
отключаю правила invalid - все работает как часы
включаю - ?%;№?%; полная

отключил правила, бесит

Вы сделали то, что я написал выше?