classic.ISPforum.cz

Ahojte,
chcel by som poprosit o radu. Staram sa o malu firemnu LAN siet, kde je fileserver, tlaciarne (staticke IP) a pouzivatelske PC (DHCP). Mikrotik mam nastaveny, ze kazdy LAN port vytvara vlastny subnet. Na jednom porte je len fileserver (ether3), na dalsom (ether5) je firemny switch kam su pripojene tlaciarne a aj vsetci uzivatelia. Ether1 je gateway s verejnou IP poskytovatela (Telekom SK).
V poslednych par tyzdnoch som si vsimol ze mikrotik ukazuje okamzitu rychlost odosielania dat z WAN portu (Tx na ether1) ovela vyssiu ako su rychlosti na LAN portoch (Rx na ether3 a ether5). Predtym to viacmenej sedelo. Mame 10/10 Mbps linku a niekedy tie hodnoty Tx skacu na cca 1s aj vyssie ako 10M (aj na 19Mb). Casto sa potom stava, ze ked tato rychlost vyskoci na vyssiu hodnotu, nasledne po cca 1 sekunde sa akoby zastavi prenos, vsetky ukazovatele klesnu na 0. Potom zase vsetko funguje dalej. Obavam sa nejakeho skodliveho kodu, ktory by nam zahlcoval siet ale ak by bol na niektorom uzivatelskom PC, tak by ten prenos snad ukazovalo aj na LAN porte...
Dakujem.

Některá RBčka nám to dělají taky. Ukazuje, pak skočí nuly a pak ukazuje řekněme 2x tolik než ve skutečnosti. Na jednom místě to dělá RB951G na druhém zase RB2011. Na 750G která dělala to samé stačilo aktualizovat ROS a bylo po problému. Ty další zmíněné to dělají pořád bez ohledu na verzi. Na funkčnost to nemá vliv a SNMP vyčítá správné hodnoty.

A co tak zkusit torch a podivat se co na portu tece? To by toho reklo spoustu.


Nemas treba zapnuty DNS a neodpovidas na vsechny dotazy (i ze sveta)? Klidne nekdo muze pouzivat tvoje RB jako branu pro sebe (zalezi jak ma poskytovatel udelanou sit).

Torch na wan porte som samozrejme skusal, ten prenos tam ukazuje, ale je to na vela IP adries, a to aj v pripade, ked je v LAN len jeden aktivny uzivatel s jednym spojenim.

Prave preto sa mam obavy, ze nieco nie je v poriadku.
Radik, ako zistim ci nerobim DNS? V nastaveni DNS mam toto (zadane IP su DNS Telekomu):

Ked skusam zrusit "Alow remote request", tak premavka poklesne. Moze to byt ono?

V tom torchu si zapni port a sleduj 53.

Na tom porte 53 je velky prenos, ak mam zakliknuty v DNS "alow remote requests" tak je tam Tx (cca po 300kpbs na 10 IP) aj Rx (len par kbps), ak to nemam zakliknute, spojenia su tam tiez, ale TX je vsade 0, Rx rovnake. Ak to bude ono, tak tie Rx spojenia su DNS poziadavky a Tx su odpovede?

Tak bingo. Port 53 je třeba z wan strany zakázat.

Funguješ co by DNS resolver. Vypni Allow remote requests, nebo dropni port 53 z WAN.

Predpokladam, ze to nastavim vo firewalle, ako by malo to nastavenie vyzerat? Aky to je protokol? A dakujem moc za pomoc

Podle mého by mohlo stačit cca toto :



Místo "ether1" napiš jméno svého WAN portu a přesuň ty pravidla někam na začátek Input pravidel.
A máš docela štěstí, že tě kvůli tomu už nezaříznul Tvůj ISP - open recursive resolver bývá docela nepříjemný fail

dafo píše:Predpokladam, ze to nastavim vo firewalle, ako by malo to nastavenie vyzerat? Aky to je protokol? A dakujem moc za pomoc

Este raz sa chcem velmi pekne podakovat. Pravidlo funguje.

Este doplnim dnesnu skusenost, pri vypnutom nastaveni IP-DNS -"alow remote requests" nefungovalo odosielanie mailov cez SMTP na jednej firemnej tlaciarni. Volbu som musel zapnut. Firewall pravidlo na toto vsak vplyv nemalo, maily funguju aj ked pravidlo filtruje prichodzie poziadavky na port 53.

Pelirob píše:
A máš docela štěstí, že tě kvůli tomu už nezaříznul Tvůj ISP - open recursive resolver bývá docela nepříjemný fail

Nekdo to neresi. Jinak pokud by byl otevreny DNS ze sveta, tak je to ISP jedno pokud nezatezuje jeho DNS (DNS klienta resolvuje sam).

dafo píše:Este doplnim dnesnu skusenost, pri vypnutom nastaveni IP-DNS -"alow remote requests" nefungovalo odosielanie mailov cez SMTP na jednej firemnej tlaciarni. Volbu som musel zapnut. Firewall pravidlo na toto vsak vplyv nemalo, maily funguju aj ked pravidlo filtruje prichodzie poziadavky na port 53.

Doporucuji nepouzivat vubec DNS z mikrotiku. Prenastav si radeji zarizeni. DNS v mikrotiku nepracuje uplne spravne a za urcitych okolnosti to dela problemy (neco nekdy neprelozi).