Проблемы с CAPSMAN

[vendetta_klein]

Добрый день. господа. Столкнулся с очень странной, простите, ересью.
Итак, сам CAPsMAN поднят на RB3011. 17 точек Wap AC к нему цепляется. Всё отлично работало более полугода. Никто в конфиги не лазил. И тут появилась проблема с высокой нагрузкой на процессор, следовательно пользователи орут, мол ничего не работает. Глянул я торчем бридж, куда все интерфейсы сходятся с точек и увидел странное поведение.

Есть что, адреса с 10.1.15.1 по 10.1.15.17 - Wap Ac. Порт 5247 UPD как я знаю нужен для связи с CAPsMAN. Кто-то сталкивался с данной проблемой или может подскажет чего?

[Chupaka]

Добрый. Порт 5247 - это протокол CAPsMAN. Но проблема у вас не в этих 100 Мбит/с, а в том, на каждый CAP-интерфейс улетает 4,4 Мбит/с трафика - вот туда Torch и тыкайте, чтобы узнать, что это за трафик. Возможно, мультикаст какой-то.

[vendetta_klein]

Пришлось подождать некоторое время, пока проблема вернётся. И увидел вот такое при торче

И это только цветочки, иногда пакетов в разы больше. За что отвечает порт 5353? Я что-то не особо нашёл ответа. И как отключить ipv6 на микротике?

[Chupaka]

И это только цветочки, иногда пакетов в разы больше. За что отвечает порт 5353? Я что-то не особо нашёл ответа.

5353 - возможно, multicast dns. Вредитель - 10.1.16.24, найти и обезвредить.

И как отключить ipv6 на микротике?

Отключить пакет ipv6 в System -> Packages и перезагрузиться.

[vendetta_klein]

5353 - возможно, multicast dns. Вредитель - 10.1.16.24, найти и обезвредить.

Эта подсеть 10.1.16.0/24 предназначена для гостевого Wi-Fi. И такой трафик генерят очень много людей. Я даже нашёл, что данный мультикаст использует apple в своих продуктах. Во внутренней сети такого трафика я у себя не обнаружил. Пока чтобы микротик жил, включил файервол для бриджа и сделал правило для блока этого трафика по порту. Не много не мало, но работает и пока не жалуются люди.

Отключить пакет ipv6 в System -> Packages и перезагрузиться.

Странно, он и так выключен, но при торче видно, что ipv6 трафик ходит всё равно.

P.S. Про то, что трафик относится в Apple нашёл в гугле. Относится он к поиску в вай фай сети других apple устройств.

[Chupaka]

Странно, он и так выключен, но при торче видно, что ipv6 трафик ходит всё равно.

Если там бридж - то он и будет ходить, пакеты просто пересылаются ведь, без обработки.

P.S. Про то, что трафик относится в Apple нашёл в гугле. Относится он к поиску в вай фай сети других apple устройств.

Странно, что такой большой объём трафика... Заснифать бы, что там за запросы...

[vendetta_klein]

Вы были правы. Плохой человек с IP 10.1.16.24. Я его залочил по мак адресу. Успел чутка заснифить трафик. Я бы отправил сюда файл, но пишет мол большой (9,7 мб это уже много? Оо). Если хотите могу отправить на почту файл, вайршар отлично всё показывает (можете в личку почту отправить).
Самое интересное, это был андроид пользователь)))

[Chupaka]

Ох уж этот Cache Flush Видимо, вредитель очень хотел выпилиться из кэша DNS

[vendetta_klein]

Ох уж этот Cache Flush Видимо, вредитель очень хотел выпилиться из кэша DNS

Вы встречались с такой ситуацией? Заметил. что cash flush Вас не удивил. Можете поделиться знанием, что это и откуда ноги растут?

[Chupaka]

Нет, не встречался. По названию примерно понял, что это и для чего это, не более