(РЕШЕНО) Дефолтные правила и DHCP
-
- Сообщения: 3911
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Дефолтные правила и DHCP
Ну и три здания завязаны в сеть не через Мелкотики, а с какой-то другой стороны? Тогда роутеры вообще никак на DHCP не должны влиять %)
PXE Boot всё равно по DHCP настройки получает, а на роутерах оно даже не настроено.
PXE Boot всё равно по DHCP настройки получает, а на роутерах оно даже не настроено.
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
PXE boot
настройки загрузки PXE прописаны и находятся на сервере домена, т.е. микротик только в качестве маршрутизатора учасвствет в работе локальной сети
настройки загрузки PXE прописаны и находятся на сервере домена, т.е. микротик только в качестве маршрутизатора учасвствет в работе локальной сети
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
совершенно верно, сеть выделена Ростелекомом, самый простой VPN L3......... или какой там номер без gw
-
- Сообщения: 3911
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Дефолтные правила и DHCP
Так, на всякий случай ещё раз уточню: станции именно "не получают адрес", а не "не могут загрузиться после получения адреса"?
VPN L3, но и клиенты, и сервер находятся в одном здании/сегменте L2?
VPN L3, но и клиенты, и сервер находятся в одном здании/сегменте L2?
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
ммм..... скорее второе "не могут загрузиться после получения адреса", НО! Это как-то странно проявляется, я вижу что ЧТО-ТО получило этот адрес, т.е. на сервере он биндиться и становится "занятым", но без идентификатора
да, клиенты и сервер в одном сегменте L2
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Предлагаю объеденить на маршрутизаторе LAN интерфейсы в бридж и исключить его из фаервола, для проверки
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 3911
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Дефолтные правила и DHCP
Если у вас клиенты и сервер в разных подсетях - тогда да, пакеты будут, как минимум поначалу, идти через роутер.
Поставьте в правилах drop invalid параметр log=yes и гляньте, какие пакеты начинают дропаться при загрузке станции.
Что без идентификатора получается адрес - это нормально, тут ещё сетевая карта только базу получила для продолжения загрузки, а всё красиво становится, когда начала грузиться ОСь и получила адрес "полноценный". Вот до этого момента у вас почему-то, видимо, не доходит.
Как вариант - добавить правило forward для in-interface=Eth_LAN out-interface=Eth_LAN action=accept
Поставьте в правилах drop invalid параметр log=yes и гляньте, какие пакеты начинают дропаться при загрузке станции.
Что без идентификатора получается адрес - это нормально, тут ещё сетевая карта только базу получила для продолжения загрузки, а всё красиво становится, когда начала грузиться ОСь и получила адрес "полноценный". Вот до этого момента у вас почему-то, видимо, не доходит.
Как вариант - добавить правило forward для in-interface=Eth_LAN out-interface=Eth_LAN action=accept
-
- Сообщения: 3911
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Дефолтные правила и DHCP
Подозреваю, проблема может быть в том, что сервер уже получил от роутера ICMP Redirect о том, что данная подсеть находится прямо за его интерфейсом (и длинный путь через роутер не нужен, можно слать пакеты напрямую, хоть и в другую подсеть), а клиент - нет, поэтому для роутера всё выглядит, как трафик от клиента к серверу, без ответов сервера. Это вполне на каком-нибудь втором пакете от клиента может выглядеть для роутера как invalid connection (сервер-то, с точки зрения роутера, ничего клиенту не отсылал, так что незачем тут со своими ACK'ами лезть).
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
ВОТ!!!!!!!!!!!
вы сформировали мою мысль в слова достаточно русскими буквами
я это пытаюсь сформулировать с 4го сообщения
вы сформировали мою мысль в слова достаточно русскими буквами
я это пытаюсь сформулировать с 4го сообщения
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
извиняюсь за эмоции, но что-то х№%;"та какая-то
отключаю правила invalid - все работает как часы
включаю - ?%;№?%; полная
отключил правила, бесит
отключаю правила invalid - все работает как часы
включаю - ?%;№?%; полная
отключил правила, бесит
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Спокойно, сам был в таких-же ситуациях, для начала смотрим топологию, почему локалка попадает на маршрутизатор, для этого логгируем правила и смотрим запросы
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
топология:
ВПН L3 общий
1здание (ВП) - МТ, 2 сети на одном порту - 192.168.38.0/24 и 192.168.98.0/24
2 (ДП) - МТ, 2 сети на одном порту - 192.168.95.0/24 и 192.168.195.0/24
3 (ДО) - МТ, 1 сеть 192.168.56.0/24
каждый сегмент = свой L2
МТ воткнуты портом ETHx_LAN_LOCAL в пачку комутаторов с рабочими станциями
МТ офисов связаны по L3 отдельными портами ETHx_LAN_WAN - сеть 172.16.0.0/29
все замаршрутизировано, все летает
кроме вышеупомянутого с правилами на invalid
уж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2
ВПН L3 общий
1здание (ВП) - МТ, 2 сети на одном порту - 192.168.38.0/24 и 192.168.98.0/24
2 (ДП) - МТ, 2 сети на одном порту - 192.168.95.0/24 и 192.168.195.0/24
3 (ДО) - МТ, 1 сеть 192.168.56.0/24
каждый сегмент = свой L2
МТ воткнуты портом ETHx_LAN_LOCAL в пачку комутаторов с рабочими станциями
МТ офисов связаны по L3 отдельными портами ETHx_LAN_WAN - сеть 172.16.0.0/29
все замаршрутизировано, все летает
кроме вышеупомянутого с правилами на invalid
уж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Ну во первых - у вас все сети идут через маршрутизатор, а это явно он начинает контролировать сеть. Ваша задача сделать так, чтобы маршрутизтор НЕ участвовал в этом всём, для этого выводите в отдельные бриджи локальную сеть и исключаете его из фаервола
Или, создаёте адреслисты и в фаере прописываете исключения на адреслисты
Или, создаёте адреслисты и в фаере прописываете исключения на адреслисты
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Это у меня сеть проще не куда И то, потому что она дома, в продакшене там чёрт ногу сломит, но она настроена очень давно и я её не трогаюуж куда проще сеть незнаю, глядя на другие Ваши посты с BGP и чемто еще, совершенно мне незнакомым, у меня просто кросс между двух компьютеров как в 90х для игры в doom2
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 3911
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
а зачем бридж? отдельные порты в каждом микротикеSir_Prikol писал(а): ↑30 окт 2018, 18:42 Ну во первых - у вас все сети идут через маршрутизатор, а это явно он начинает контролировать сеть. Ваша задача сделать так, чтобы маршрутизтор НЕ участвовал в этом всём, для этого выводите в отдельные бриджи локальную сеть и исключаете его из фаервола
Или, создаёте адреслисты и в фаере прописываете исключения на адреслисты
Ваше второе предложение не совсем понял? В смысле совсем не понимаю как это реализовать. Пример элементарный можно?
Адреслисты знаю, но не понимаю в какие исключения
Предистория знакомства с МТ, принесли 27 декабря - 3 января сеть должна быть на нем. На тот момент я его первый раз в глаза увидел. Интересно, но с самообучением тяжно, староват
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Ну тут молодых нема
Значит так, создаётся адресс лист
в фаерволе в меню src-addresslist выставляется нужный и слева отмечается квадратик - что означает что исключить именно этот адресс-лист
В адресслисте нужно перечислисть все свои сети (если память не изменяет у Вас там BOGONS адресслист)
Вывод может быть примерно такой
Значит так, создаётся адресс лист
в фаерволе в меню src-addresslist выставляется нужный и слева отмечается квадратик - что означает что исключить именно этот адресс-лист
В адресслисте нужно перечислисть все свои сети (если память не изменяет у Вас там BOGONS адресслист)
Вывод может быть примерно такой
Код: Выделить всё
;;; DNS flood protect (WAN List)
chain=prerouting action=add-src-to-address-list in-interface-list=WAN dst-port=53 log=no log-prefix="dnsflood" protocol=udp
dst-address=!123.123.123.0/22 address-list=dnsflood address-list-timeout=1h
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
как листы делать я научилсяSir_Prikol писал(а): ↑30 окт 2018, 19:24 в фаерволе в меню src-addresslist выставляется нужный и слева отмечается квадратик - что означает что исключить именно этот адресс-лист
вы имеете ввиду это сделать для правил по invalid?
Код: Выделить всё
/ip firewall address-list
add address=192.168.38.0/24 list=local
add address=192.168.98.0/24 list=local
add address=192.168.95.0/24 list=local
add address=192.168.195.0/24 list=local
add address=192.168.56.0/24 list=local
/ip firewall filter
add chain=input connection-state=invalid src-address-list=!local action=drop
add chain=forward connection-state=invalid src-address-list=!local action=drop
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Да, так тоже можно, но, я бы сменил название local на другое, ибо эта переменная где-то в самом микротике используется и могут вылезти не предсказуемые последствия
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
поменял на более произвольное и понятное
Еще один вопрос: каким образом можно исключить все мои сети, возможно даже просто 192.168.0.0/16 из firewall?
В каждом правиле добавлять исключения или можно как-то хитро сделать и более правильно?
Chupaka добавлял в лог и мониторил то, что вы просили, там куча пакетов дропалось как в сторону WAN, так и по всей сети, в основном адреса серверов с портами виндовыми и оракловыми, но так-же много непонятных соединений. Я в этой конторе от вирусов избавлялся в сети года три, возможно еще не все вывел конечно,.... но не похоже на активность вирсную
Еще один вопрос: каким образом можно исключить все мои сети, возможно даже просто 192.168.0.0/16 из firewall?
В каждом правиле добавлять исключения или можно как-то хитро сделать и более правильно?
Chupaka добавлял в лог и мониторил то, что вы просили, там куча пакетов дропалось как в сторону WAN, так и по всей сети, в основном адреса серверов с портами виндовыми и оракловыми, но так-же много непонятных соединений. Я в этой конторе от вирусов избавлялся в сети года три, возможно еще не все вывел конечно,.... но не похоже на активность вирсную
-
- Сообщения: 560
- Зарегистрирован: 14 апр 2018, 15:21
- Откуда: СССР
Re: Дефолтные правила и DHCP
Ну, скажем так, 192.168.0.0/16 не совсем правильно в связке с ростелекомом, он имеет свойство выдавать серую адресацию "случайно"
Поэтому лучше всего использовать адреслисты и в каждом правиле, где надо исключить сеть, их их спользовать
Поэтому лучше всего использовать адреслисты и в каждом правиле, где надо исключить сеть, их их спользовать
После добавления исключения по адреслистам, что стало с логами? Очистились или до сих пор присутствует дроп из локальной сети?Chupaka добавлял в лог и мониторил то, что вы просили
Дома: CCR2004 (7-ISP(GPON)белый IP)
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
Re: Дефолтные правила и DHCP
Чисто сталоПосле добавления исключения по адреслистам, что стало с логами? Очистились или до сих пор присутствует дроп из локальной сети?
понаблюдаю завтра
Спасибо огромное за подсказки и разъяснения
-
- Сообщения: 3911
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: Дефолтные правила и DHCP
Я писал добавить accept-правило с LAN на LAN перед дропающими
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43
-
- Сообщения: 86
- Зарегистрирован: 20 авг 2017, 13:43