Verze 5.24

[iTomB]

Tak včera historicky první výtuh verze 4.17 s NV2, tohle není náhoda. Musí to mít nějakou návaznost buď na déšť, sníh, teplotu, špatný signál od kliošů nebo já nevím co.
Jak to hlídat? Ping na 3 klienty a pokud jsou všichni dole vyp/zap rozhraní?

Budu na vas hodnej

Kód: Vybrat vše

    source=":local macadresa\
    :foreach i in=[/interface wireless registration-table find] do={\
      :set macadresa [/interface wireless registration-table get \$i mac-address]\
      :if ([/ping \$macadresa count=2] = 0) do={\
        :log warning \"NEJDE PING \$macadresa\";\
        /interface wireless registration-table remove \$i;\
      }\
    }"


[asdewq]

iTomB: pre nas ktorim sa nedari natiahnut den a 24h nestaci, velmi prospesny skript za ktory dakujem, ak pojdes niekedy na sk mas u mna flasku

[iTomB]

iTomB: pre nas ktorim sa nedari natiahnut den a 24h nestaci, velmi prospesny skript za ktory dakujem, ak pojdes niekedy na sk mas u mna flasku

Dik, ale jsem abstinent.

[iTomB]

Leeonek se na neco ptal, tak hodim odpoved sem.
Ten script je vice sofistikovanej. Kontroluje si pripojene klienty a kdo neprojde pres MAC-PING, tak jen toho jednoho klienta odpoji. Takze nevadi ani DMZ u klienta ci FW (pokud neni nejak hodne tvrdej input), ale myslim, ze mac-ping projde aj tak. Takze neprojde opravdu jen kdyz je to zamrznute.

Jen dodam, ze ho staci v scheduleru po nejakem casu poustet a staci tak jen na AP strane. Mam vysilac, kde se mi kouse jen 1 klient ze 7. Takze to odpojuje jeho jen parkrat za mesic

[Dalibor Toman]

Leeonek se na neco ptal, tak hodim odpoved sem.
Ten script je vice sofistikovanej. Kontroluje si pripojene klienty a kdo neprojde pres MAC-PING, tak jen toho jednoho klienta odpoji. Takze nevadi ani DMZ u klienta ci FW (pokud neni nejak hodne tvrdej input), ale myslim, ze mac-ping projde aj tak. Takze neprojde opravdu jen kdyz je to zamrznute.

Jen dodam, ze ho staci v scheduleru po nejakem casu poustet a staci tak jen na AP strane. Mam vysilac, kde se mi kouse jen 1 klient ze 7. Takze to odpojuje jeho jen parkrat za mesic

obcas objevim klienta na ktereho MAC ping nefunguje. Netusim proc (neni to verzi ROSu ani typem desky), obcas pomuze restart klienta ci AP obcas nepomuze nic. Takze pri nejake te smule se muze stat, ze funkcni ale macnepingajici klient bude mit s timhle (byt pekne napsanym) skriptem problem.
BTW u nas krome vytuhu NV2 jeste obcas narazime na zamklou modulaci - AP zamkne nektereho klienta (ci vice klientu) na zakladni nejnizsi modulaci (TX smer z AP). Cili mac ping by zrejme prosel, ale AP ma problem pokud postizeni klienti se rozhodnou neco stahovat.

[Majklik]

A já nadával jak špaček Takhle přesně jsem to ovšem neidentifikoval.

Heh, další bota v IPv6 (je v celé 5.2x i 6.0rc). Pokud se používají address listy v ipv6 firewallu, tak se použije jen posledních 7 záznamů, předchozí jsou tiše ignorovány.

Že je v tom chyba jsme narazil už dávno, ale včera jsem se konečně nasral, vzal si dvě prázdné RBčka vedle sebe (RB450G/ROS6rc12 a RB1100AHx2/ROS5.24) a zkoušel, kdy se to rozbije.... Uvidíme, co pánové na to, support zatím mlčí.

další důvod proč nepoužívat něco co neni v normálním linuxu

Tobě v linuxu nefunguje něco jako toto (s nepříliš historickým iptables):
iptables -A FORWARD -s 6.6.6.6,6.6.6.9,6.6.9.0/24 -d 8.8.8.8,8.8.4.4 -j DROP
Co to je? Fakticky použití address listů. IMHO to ROS dělá interně úplně stjeně, jen to umí uložit pěkně do pojmenovaného seznamu vedle.

[hapi]

a neni to patchnutý iptables? dřív to tam běžně nebylo.

[Dalibor Toman]

a neni to patchnutý iptables? dřív to tam běžně nebylo.

na seznamy ipcek se pouziva v Linuxu ipset - od jiste doby je primo soucasti jadra. Zvladne i obrovske seznamy bez velke rezie

btw: podle informaci, ktere jsem ruzne cetl, Mikrotik temer veskere zpracovani packetu presunul do userspace. Tam se mnohem lepe programuje (resp debuguje) ale zase vznika vykonove penale zpusobene vicenasobnym kopirovanim packetu v pameti. Takze pokud firewall je v userlandu, nema s iptables nic spolecneho ...

[ludvik]

To by byla hovadina snad i pro programátory mikrotiku. Doufám, že ty informace nejsou správné.
Ale vše mi přijde jako docela standardní netfilter (+ipset), až na ty dynamický věci kolem hotspotu.

na seznamy ipcek se pouziva v Linuxu ipset - od jiste doby je primo soucasti jadra. Zvladne i obrovske seznamy bez velke rezie

btw: podle informaci, ktere jsem ruzne cetl, Mikrotik temer veskere zpracovani packetu presunul do userspace. Tam se mnohem lepe programuje (resp debuguje) ale zase vznika vykonove penale zpusobene vicenasobnym kopirovanim packetu v pameti. Takze pokud firewall je v userlandu, nema s iptables nic spolecneho ...

[Majklik]

User space řešení bych se nebál. Jsou mechanismy na předávání dat s minimem dopadu na výkon (sám zrovna něco tkaového teď bastlím, protože se mi nechtělo bastlit kernel driver).
Heh, ipset jsem ani neznal (jen starší ippool, ipset vypadá jako pokračování).
Jinak musím uznat, že Janis dělá práci na supportu skvěle, jak odradit obtěžovatele. Kroutí se jak had, odkazuje na kde co, problémy s ICMPv4/6 zmatky jsme si snad už teď ujasnili, teď očekávám poukaz na špatnou fázi měsíce, než snad konečně uzná, že cfg na 10 řádků (je teda pro ROS6rc12, pro 5.24 by byla na 11):
/system reset-configuration skip-backup=yes no-defaults=yes
...
/ipv6 settings set forward=no
/ipv6 firewall address-list add address=2001:db8::/32 list=IPv6_InvalidBlocks
add address=2001:10::/28 list=IPv6_InvalidBlocks
add address=2002::/24 list=IPv6_InvalidBlocks
add address=2002:a00::/24 list=IPv6_InvalidBlocks
add address=2002:7f00::/24 list=IPv6_InvalidBlocks
add address=2002:a9fe::/32 list=IPv6_InvalidBlocks
add address=2002:ac10::/28 list=IPv6_InvalidBlocks
add address=2002:e000::/19 list=IPv6_InvalidBlocks
/ipv6 firewall filter add action=drop chain=output dst-address-list=IPv6_InvalidBlocks
by fakt neměla dovolit dovolit routeru zkusit odchozí komunkaci na 2001:db8::666.

[Leeonek]

Kód: Vybrat vše

    source=":local macadresa\
    :foreach i in=[/interface wireless registration-table find] do={\
      :set macadresa [/interface wireless registration-table get \$i mac-address]\
      :if ([/ping \$macadresa count=2] = 0) do={\
        :log warning \"NEJDE PING \$macadresa\";\
        /interface wireless registration-table remove \$i;\
      }\
    }"


Jelikož se ve scriptování nevyznám, dá se ten script předělat tak, aby pingal na 3 klienty a v případě ztráty komunikace se všemi, vymazal komplet regisration table? Hlídat jednoho klienta mi nepomůže, když je jich tam 20.
Před chvílí mi vytuhl další sektor, potřebuju (a nejen já) nějaké řešení, když ti kokoti z mikrotiku s tím nic nechtějí dělat.

[Zbojnik]

Mne to pride ze to pinga po rade vsetky mac v registration table

Kód: Vybrat vše

foreach i in=[/interface wireless registration-table find] do=

a tu ktora neodpoveda odpoji...

Kód: Vybrat vše

/interface wireless registration-table remove \$i;\

[Peyrak]

Mne to pride ze to pinga po rade vsetky mac v registration table

Kód: Vybrat vše

foreach i in=[/interface wireless registration-table find] do=

a tu ktora neodpoveda odpoji...

Kód: Vybrat vše

/interface wireless registration-table remove \$i;\

ano, tak to je, takže, když nepojede nikdo, odpojí to všechny

[Leeonek]

Dobře, takže pro ty uplně blbé (mě). Ten script v tomto stavu jak je, vložím mezi scripty v mikrotiku, spustím ho takto jako je, bez jakékoli změny. On najde v registration klienta, ověří ho mac pingem, a v případě že mu na ten ping odpoví, nechá to tak, když neodpoví, smaže ho z registration. Tím ho donutí se připojit znova a vše funguje. Takto to postupně na jedno spuštění udělá se všemi klienty i například když jsou na rbčku 2 karty jako ap?
Pokud je to takt, a nemusí se na tom scriptu nic měnit, zřejmě dělám něco špatně. Po spuštění scriptu se nestane nic, neproběhne ani žádná komunikace s klienty. Ke klientům jsem si do inputu dal logovací pravidlo které když z apčka pingám na mac loguje pingy, ale když spustím script, neloguje nic :)

[pepulis]

Dobře, takže pro ty uplně blbé (mě). Ten script v tomto stavu jak je, vložím mezi scripty v mikrotiku, spustím ho takto jako je, bez jakékoli změny. On najde v registration klienta, ověří ho mac pingem, a v případě že mu na ten ping odpoví, nechá to tak, když neodpoví, smaže ho z registration. Tím ho donutí se připojit znova a vše funguje. Takto to postupně na jedno spuštění udělá se všemi klienty i například když jsou na rbčku 2 karty jako ap?
Pokud je to takt, a nemusí se na tom scriptu nic měnit, zřejmě dělám něco špatně. Po spuštění scriptu se nestane nic, neproběhne ani žádná komunikace s klienty. Ke klientům jsem si do inputu dal logovací pravidlo které když z apčka pingám na mac loguje pingy, ale když spustím script, neloguje nic

Lee tohle se deje i u me, presne co pises, zadna odezva.

Pa jeste skrebon daval skript zde - viewtopic.php?f=3&t=11650 , ale nezkousel jsem ...