VLAN - IPTV - UDP

[Chupaka]

Нужно больше информации. Что за адрес, с какими подсетями пересекается, с какой маской прописывался на интерфейс? Что за флуд?

[bear]

Нужно больше информации

при подключении приставки, интерфейс получает следующие данные
ip 10.25.52.58
network mask 255.255.254.0
gateway 10.25.52.1

мой ближайший диапазон ip-адресов, который я использую для vpn, находится в 10.10.10.0/24

Что за флуд?

не говорят
говорят только про лишний трафик от меня и грозятся отключить услугу

[Chupaka]

А приставка получает адрес по DHCP? Что если просто DHCP-клиент навесить на VLAN?

Ну или просто попробовать руками добавить 10.25.52.58/32 и проверить...

[bear]

А приставка получает адрес по DHCP? Что если просто DHCP-клиент навесить на VLAN?

да, от провайдера, я ничем не управляю

Ну или просто попробовать руками добавить 10.25.52.58/32 и проверить...

в смысле прописать 10.25.52.58/32 в IP-Addresses для интерфейса IPTV?

[Chupaka]

Да, так. Только Network не указывать, на всякий случай.

Чтобы не флудило - можно настроить rate limit какой-нибудь на chain=output out-interface=IPTV...

[bear]

Chupaka,
для начала, огромное спасибо за помощь, я очень благодарен тебе за ответы, на руборде ты очень помогал, ну а тут вообще нет слов

я понимаю, что проще всё сделать по указанию и радоваться, но я хотел бы сначала ещё и понять смысл сделанного, поэтому, если можно, хотел бы уточнить пару моментов

Да, так. Только Network не указывать, на всякий случай.

у меня маска 255.255.254.0, может нужно указывать 10.25.52.58/31? или я путаю?
почему нельзя указать прямо 10.25.52.58 и почему лучше не указывать сеть?

Чтобы не флудило - можно настроить rate limit какой-нибудь на chain=output out-interface=IPTV...

имеется в виду IP-Firewall-Filter Rules-новое правило-вкладка Extra?

[Chupaka]

Всегда пожалуйста

у меня маска 255.255.254.0, может нужно указывать 10.25.52.58/31? или я путаю?

/31 - это 255.255.255.254 Наверное, имелась в виду /23. Если добавить /23 - в маршрутах будет добавлена аналогичная и совершенно ненужная подсеть, которая в некоторых случаях (пересекаясь с имеющейся подсетью) может доставить некоторые локальные неприятности. Поэтому если нужен просто адрес /32 (а для IGMP нужен именно он, по идее) - я предпочитаю выбирать просто адрес

почему нельзя указать прямо 10.25.52.58 и почему лучше не указывать сеть?

Прямо - это без маски? Так маска /32 сама подставится А почему сеть не указывать... Если подсеть любая, кроме /32 - сеть сама заполнится правильным значением. /32 - особый случай, ему можно произвольную нужную сеть указывать, типа для интерконнекта или другого p2p. В данном же случае нужен просто адрес с такой же сетью /32

имеется в виду IP-Firewall-Filter Rules-новое правило-вкладка Extra?

Угу, добавить accept-правило с лимитом в 1 пакет в секунду - и следующим правилом дропать всё, что не влезло в лимит

[bear]

понял
спасибо
завтра всех выгоню из дома и буду экспериментировать

пока уточню только по поводу этого момента

добавить accept-правило с лимитом в 1 пакет в секунду - и следующим правилом дропать всё, что не влезло в лимит

а эти два правила нельзя заменить одним?
дропать все пакеты, которых приходит более одного в секунду (если я правильно понял)

[Chupaka]

Если честно, никогда не использовал отрицание в параметре limit Может даже и так получится, надо пробовать. Я пользовался всегда dst-limit, там отрицания нет.

[bear]

эээ я тогда не догоняю, как будет выглядеть правило "дропать всё, что не влезло в лимит"

я думал это именно оно и не понимал, зачем два раза это делать

[Chupaka]

Я ж и говорю: попробовать именно так, одним drop-правилом Должно сработать, просто я так никогда не делал.

[bear]

договорились
попробую

[bear]

значит рассказываю, для истории :-)

добавил адрес, пакеты ограничил, вроде всё получилось, провайдер пока не звонил


пока хотел бы уточнить один момент, если ещё не окончательно достал :-)

Что если просто DHCP-клиент навесить на VLAN?

я прописал известный адрес для интерфейса, т.е. как бы принудительно его задал
правильно ли я понимаю, что DHCP-клиент позволит получать на этот интерфейс адрес от провайдера автоматом и это решение будет более гибким с точки зрения возможных изменений со стороны провайдера?

[Chupaka]

Да, если с DHCP нормально заработает - то этот вариант предпочтительнее (мало ли как провайдер раздаёт адреса приставкам), хотя в целом для IGMP ничего страшного не должно быть в обоих вариантах.

Правила ограничения пакетов что-нибудь полезное делают? Ну, в смысле, дропы есть?

[bear]

Да, если с DHCP нормально заработает - то этот вариант предпочтительнее (мало ли как провайдер раздаёт адреса приставкам), хотя в целом для IGMP ничего страшного не должно быть в обоих вариантах.

насчёт "ничего страшного" я понимаю, но если вдруг ip сменится и каналы отвалятся, придётся снова подключать приставку и смотреть какой ip она получит, мне кажется вариант с DHCP-клиентом в этом плане интереснее

вот какую интересный момент обнаружил
я решил настроить DHCP-клиент и для начала удалил адрес для интерфейса IPTV в IP-Addresses, но обратил внимание, что при этом в IGMP Proxy статус не стал invalid и интерфейс IPTV получал правильный адрес
удалил всё их IGMP Proxy, заново ввёл, интерфейс IPTV получил правильный адрес, но тв-каналы не работают, они запускаются только после прописывания адреса для интерфейса IPTV в IP-Addresses

теперь непосредственно про DHCP-клиент
удалил адрес для интерфейса IPTV в IP-Addresses, пытаюсь прицепить DHCP-клиент на интерфейс IPTV, но он не получает IP
посмотрел уже несколько инструкций, вроде бы там всё просто, IP сразу получают, но у меня не сработало почему-то
может есть какие-то нюансы?

Правила ограничения пакетов что-нибудь полезное делают? Ну, в смысле, дропы есть?

на 50 тыс принятых пакетов, 1 пакет заблокирован
но я не особо смотрел тв, несколько минут всего ради теста
если что не так, думаю провайдер сообщит, или сам позвоню спросить в понедельник

[Chupaka]

Ну, теоретически, провайдер может привязываться к hostname или ещё каким параметрам в dhcp-запросе... Поснифать бы, как приставка адрес получает

"На 50 тыс принятых пакетов" - стоп, почему принятых? Я же писал chain=output - то, что отдаётся провайдеру, а не то, что от него прилетает Если прилетело - это никак не флуд со стороны роутера...

[bear]

"На 50 тыс принятых пакетов" - стоп, почему принятых?

я открыл рядом окно фаервола и окно IGMP Proxy
IGMP Proxy показывал принятые пакеты, от него и взял 50тыс
в фаерволе всё верно, chain=output out-interface=IPTV limit=!1p/1sec (не знаю, как правильно) action=drop

[bear]

Поснифать бы, как приставка адрес получает

как донесла разведка, адрес присваивается приставке по мак-у

[Chupaka]

Я тут 9 лет назад накропал: https://wiki.mikrotik.com/wiki/Change_M ... _interface

[bear]

Я тут 9 лет назад накропал: https://wiki.mikrotik.com/wiki/Change_M ... _interface

здорово
как я понимаю, это значит, что должен будет и DHCP-клиент подцепиться?

не настраивал пока, но на всякий случай уточню заранее
я в wiki видел, что clientid позволяет задать мак-адрес для DHCP-клиента, но не понял как
ну следующий вопрос сразу, мак лучше задавать для интерфейса целиком, как по ссылке в твоём сообщении, или прописывать как опцию для DHCP-клиента?

[Chupaka]

Не позволяет clientid задать мак. Это там clientid задаётся на основе мака А сам мак берётся с интерфейса, так что надо менять именно интерфейс.

[bear]

Не позволяет clientid задать мак. Это там clientid задаётся на основе мака А сам мак берётся с интерфейса, так что надо менять именно интерфейс.

ага, вот оно чё
неправильно перевёл, значит


Chupaka,
вопрос по этой же теме, но немного отвлечённый
в самом начале, когда я только пытался разобраться с жалобами провайдера на флуд, получил на одном форуме один ответ

Непонятно что они имеют ввиду под тем что ты им флудишь. Я думаю они видят другие IP из этой подсети и поэтому говорят про флуд.
Можно попробовать присвоить этот адрес на интерфейс и все маскарадить под него. В нате создаешь маскарадинг, где out-interface твой интерфейс, где прописан IP. Как source адрес указываешь свою подсеть, где приставка, чтоб он не все тем адресом маскарадил.

я правильно понимаю, что этот вариант применим только если я хочу, чтобы приставка висела на проводе в локальной сети и могла одновременно работать и через влан IPTV и через влан INTERNET? или тут есть какой-то скрытый смысл?

[Chupaka]

Не понимаю, о каких других адресах речь, поэтому не буду комментировать. Вроде им там взяться неоткуда

[bear]

Я тут 9 лет назад накропал: https://wiki.mikrotik.com/wiki/Change_M ... _interface

сегодня сделал
бридж создался, мак применился, всё просто и понятно

далее я попробовал прицепить на этот новый бридж DHCP-клиент и для начала удалил адрес для интерфейса IPTV в IP-Addresses и отключил всё в IGMP Proxy
далее создал новый DHCP-клиент для этого нового бриджа, но IP он не получил
в свойствах бриджа я вижу, что периодически приходят данные по 336 bps, но постоянно висит статус searching... и IP автоматом не получаю

[Chupaka]

Видимо, разведка что-то недодонесла Можно всё же подключить приставку и заснифать её трафик, посмотреть, как именно она получает. Может, дополнительные опции шлёт, может, значения, может, формат другой...