vypadavanie siete

[lubor]

Pouzi wireshark na sieti, zmirroruj si porty, ... aby si zistil co tam vlastne chodi a ked budes vediet aka to je prevadzka tak postupuj podla toho dalej. Citanim IN/OUT trafficu a zhadzovanim portov nezistis co tam tecie.

[jany]

Niesom sietar, takze wireshark zrejme nenastudujem za hodinu, ani za den

Podla torch som zistil, ze na eth1.1 robil traffic

Kód: Vybrat vše

      SRC            DST            RX
   192.68.1.2      192.168.1.176      25

Lenze tie IP adresy boli vypnute (IP 192.168.1.2 je pc ktory bol vypnuty a192.168.1.176 som vytvoril len vcera pre novy ubnt a ten mam polozeny na stole v krabici).
Nedokazal som zistit ani ich MAC, v ARP tabulke tieto IP neboli a ani ping na nich nesiel, takze uz tomu vobec nerozumiem

[jany]

Este ma napadla jedna vec, ci nemoze byt problem s verziou, pretoze koncom roka 2015 som upgradoval vid toto a zrejme od vtedy zacali problemy.

[jany]

Takze downgradoval som verzie z 6.33.3 na oboch routeroch (RB450, RB433) na 5.26, ale problem sa nevyriesil (teraz mam takmer kazdy vecer traffic 10-30 MB/s kde pada hlavny router, ale len niektore stroje (PC) a len LAN cast (wan funguje)). Spadnutie siete trva 5,10,15,20 minut , ale niekedy aj 1-2 hod, potom traffic prestane a vsetko funguje OK. Ak nahodou zistim vysoky traffic, tak staci odpojit switch od napajania, znova pripojit a vsetko je OK.
Kedze nie som sietar, velmi sa do toho nevyznam, ale mam pocit, ze mam aj nejake pravidla vo firewalle poprehadzovane.
Pre istotu ich sem kopnem

Kód: Vybrat vše

 0   ;;; Drop INVALID connection
     chain=input action=drop connection-state=(unknown)

 1   chain=forward action=drop connection-state=(unknown)


 2   ;;; Allow ESTABILISHED and RELATED connection
     chain=forward action=accept connection-state=(unknown)

 3   chain=input action=accept connection-state=(unknown)

 4   chain=forward action=accept connection-state=(unknown)

 5   chain=input action=accept connection-state=(unknown)

 6   ;;; Allow DNS requests
     chain=input action=accept protocol=udp in-interface=!pppoe-out1 dst-port=53

 7   chain=input action=accept protocol=tcp in-interface=!pppoe-out1 dst-port=53

 8   ;;; Allow ping
     chain=input action=accept protocol=icmp icmp-options=8:0-255

 9   ;;; pc1
     chain=forward action=accept out-interface=pppoe-out1 src-mac-address=00:CC:1D:8D:CC:0D

 10  ;;; pc2
     chain=forward action=accept out-interface=pppoe-out1 src-mac-address=D0:CC:99:36:CC:E0

 11  ;;; pc3
     chain=forward action=accept out-interface=pppoe-out1 src-mac-address=00:CC:42:40:CC:0B

 12  ;;; pcx
     chain=forward action=accept out-interface=pppoe-out1 src-mac-address=00:CC:8B:30:CC:0F


 13  ;;; OpenVPN
     chain=forward action=accept protocol=udp dst-port=1194


 14  ;;; Pristup na FTP mikrotiku z mojho PC
     chain=input action=accept protocol=tcp src-address=192.168.1.2 dst-port=21

 15  ;;; DRP everithing else
     chain=forward action=drop out-interface=pppoe-out1

 16  ;;; Allow_SNMP
     chain=input action=accept protocol=udp in-interface=!pppoe-out1 dst-port=161


Pravidla mi este pred cca 7-8 rokmi vytvoril isty sietar (na ktoreho uz nemam kontakt) a nikdy som ich nemenil, ale mam taky pocit ze pravidlo 0-5 mi tam vzdy behali nejake Bytes a packets, ale teraz mam tam vsade 0.
Je mozne ze problem moze sposobovat aj firewall, ale mne je to tazko posudit.
Ja som si ukladal backupy dost casto (po nejakych zmenach) myslim, ze mam aj z roku 2009, mohol by som ich vratit, ale od vtedy sa uz hodne veci pomenilo, takze by som to musel rucne doplnat.
Osobne si myslim, ze problem nebude v HW, ale skor v konfiguracii mikrotiku.
Ak by teda niekto vedel posudit, ci su tie pravidla OK, tak budem vdacny (bol by som uz rad, ak by sa ten problem pre mna s nevysvetlitelnym trafficom vyriesil (ved to trva uz pol roka))

[ludvik]

ti nejsou divné ty (unknown)? Tím to sice nebude, ale to je prostě bordel ... v poznámce toho pravidla máš co tam má být. První dvě invalid a pak vždy RELATED a ESTABLISHED pro forward i input.

Ty link-down a link-up jsi vyřešil?

[jany]

state som upravil

Kód: Vybrat vše

 0   ;;; Drop INVALID connection
     chain=input action=drop connection-state=invalid

 1   chain=forward action=drop connection-state=invalid

 2   ;;; Allow ESTABILISHED and RELATED connection
     chain=forward action=accept connection-state=established

 3   chain=input action=accept connection-state=established

 4   chain=forward action=accept connection-state=related

 5   chain=input action=accept connection-state=related


Je mozne, ze ked som menil verziu MK, tak po reboote som mal v pravidlach namiesto established a related unknown, ale neriesil som to, pretoze vsetko mi fungovalo (az na to padanie siete (zo zaciatku raz za 1-2 tyzdne a potom sa to stupnovalo a v poslednom case je to na dennom poriadku)).
Link up a link down som neriesil (mam to riesit tak, ze budem fyzicky odpajat porty zo switcha a na dany port pripojim napr. svoj PC a cakat ci mu bude pridelena IP ?)

[ludvik]

Pokud máš problémy fyzické, nemá cenu řešit softwarové. Vypadávání kabelu konfigurací nevyřešíš ...

Novější MK umí počítat události up/down na portech. Chvilku to sleduj, piš si to na obrázek a udělej si představu, kde ti co padá. To má souvislost i s tím netwatch co jsem navrhoval - umožní ti zmapovat, co všechno v tu chvilku padlo a co ne. No a postupně se musíš dopracovat k tomu, co je špatně. Dost pochybuju, že to vyřešíme na fóru.

Z obyč switchů žádné informace nedostaneš. Zkus si celou síť doma zjednodušit. Třeba jen jeden switch, jiného výrobce. AP připojit přímo k GW. Prohodit ty switche, jestli se problém neposune jinam. Můžeš vyzkoušet i jiné porty na RB450 (je tam switch, tak všem kromě WAN dej shodný MASTER).

Já mám fakt problém pochopit, co ti kde padá a co ne ... vypadá to na fyzický problém, ale pak řekneš, že něco jede a něco ne. Někdy máš divný provoz, ale už nejsi schopný říct jaký. Postupovat musíš po jednom problému, metodicky.
A možná nejlépe si na to někoho pozvat ...

[jany]

ako som uz spomenul, ja nemam toho vela co by som ku sietam povedal ale zoberme si to cisto teoreticky. Na bridgovanom AP vznikne vysoky traffic (pre mna nevysvetlitelny), ked som spustil torch, tak som videl, ze traffic je medzi IP adresami, ktore ani neboli v sieti (cize uz to je blbost, ze je traffic medzi IP, ktore nie su v LAN).
Dalsi pre mna nevysvetlitelny jav je, preco vypadne hlavny router (RB 450) ked traffic vznikne na bridgovanom AP (RB433).
Ak sa mi nahodou podarilo cez winbox (pri vysokom trafficu) pripojit na obidva RBecka, tak na RB 450 vysoky traffic nebol, bol len na RB433.
Mam v LAN aj jeden linux server a na nom su nejake aplikacie. Na tie aplikacie sa da pripojit aj z LAN aj z WAN. Mam informacie, ze z WAN sa neda na danu aplikaciu pripojit, ale verejnu IP adresu vie pingnut. Zatial co v LAN sa na danu aplikaciu niektori vedia pripojit a niektori nie.
Zo switchami som sa uz hral v minulosti (2 stare switche som vyhodil (1 celkom a druhy som nahradil novym)).
Este by som mohol vyskusat co pises, ze spravim na RB450 z volnych portoch switch, len musim nastudovat, ze ako


edit: teraz pri hladani info som nasiel jeden clanok kde sa pojednava aj o DNS a ked som si nechal overit DNS, tak som dostal odpoved ze "IP address 1xx.xx.74.171 is vulnerable to DNS Amplification attacks. ale pritom (vid vyssie moj firewall, pravidla tam su

Kód: Vybrat vše

6   ;;; Allow DNS requests
     chain=input action=accept protocol=udp in-interface=!pppoe-out1 dst-port=53

 7   chain=input action=accept protocol=tcp in-interface=!pppoe-out1 dst-port=53


thx

[ludvik]

Princip stavového firewallu:
1) povolení již běžících spojení. Tedy Established, Related.
2) povolení služeb, pěkně s rozlišením lan-wan, z wan je toho totiž potřeba minimum. Na inputu tuplovaně.
3) zákaz všeho.
3a) na forwardu se to může lišit dle určení routeru. Doma je to většinou povolení všeho ze strany LAN a zákaz všeho ze strany WAN (a možno povolit třeba UPnP z LAN).

Ty sice máš povolené DNS správně (jen z toho PPP to nejde, je-li název správně), ale chybí ti tam ten koncový DROP na všechno. Takže to máš prostě všechno povolené. Firewall nemáš.

[ludvik]

Kód: Vybrat vše

chain=forward action=drop out-interface=pppoe-out1

Tohle je taky nějaká blbost. Si zakazuješ vše na forwardu zevnitř ven! K čemu?

Mysli na to, že máš 2 strany. LAN a WAN.
A také 4 směry - FORWARD z LAN do WAN, FORWARD z WAN do LAN, INPUT z WAN a INPUT z LAN. A s tím si musíš nějak poradit.

[jany]

Mam este na konci filtra 2 posledne pravidla a to

Kód: Vybrat vše

chain=input action=drop
chain=forward action=drop layer7-protocol=(unknown)


Ale neuviedol som ich lebo boli disablovane.
Teraz som ich enabloval a dns je uz podla toho vporiadku
Co sa tyka toho

Kód: Vybrat vše

chain=forward action=drop out-interface=pppoe-out1

neviem, skutocne sa do toho velmi nevyznam (nastavoval mi to uz hodne davno jeden znamy (este cez vnc), bohuzial uz nemam na neho kontakt).
Chcelo by to asi nastudovat zaklady MK filtra, ale po anglicky velmi neviem, takze len co najdem v cz/sk
Silne dufam, ze upgradovanim MK sa mi filter nedal do povodneho stavu a problemy sposobova niekto z vonka.
Uvidim co sa bude diat dalej

thx

[ludvik]

mikrotik je linux. Tedy můžeš studovat i jeho netfilter. O něm asi v lokále najdeš víc informací.