Podivne spravanie LAN

Návody a problémy s konfigurací.
dafo
Příspěvky: 9
Registrován: 6 months ago

Podivne spravanie LAN

Příspěvekod dafo » 1 week ago

Ahojte,
chcel by som poprosit o radu. Staram sa o malu firemnu LAN siet, kde je fileserver, tlaciarne (staticke IP) a pouzivatelske PC (DHCP). Mikrotik mam nastaveny, ze kazdy LAN port vytvara vlastny subnet. Na jednom porte je len fileserver (ether3), na dalsom (ether5) je firemny switch kam su pripojene tlaciarne a aj vsetci uzivatelia. Ether1 je gateway s verejnou IP poskytovatela (Telekom SK).
V poslednych par tyzdnoch som si vsimol ze mikrotik ukazuje okamzitu rychlost odosielania dat z WAN portu (Tx na ether1) ovela vyssiu ako su rychlosti na LAN portoch (Rx na ether3 a ether5). Predtym to viacmenej sedelo. Mame 10/10 Mbps linku a niekedy tie hodnoty Tx skacu na cca 1s aj vyssie ako 10M (aj na 19Mb). Casto sa potom stava, ze ked tato rychlost vyskoci na vyssiu hodnotu, nasledne po cca 1 sekunde sa akoby zastavi prenos, vsetky ukazovatele klesnu na 0. Potom zase vsetko funguje dalej. Obavam sa nejakeho skodliveho kodu, ktory by nam zahlcoval siet ale ak by bol na niektorom uzivatelskom PC, tak by ten prenos snad ukazovalo aj na LAN porte...
Dakujem.
Bez názvu.png
Bez názvu.png (18.31 KiB) Zobrazeno 700 x

1.jpg
1.jpg (116.22 KiB) Zobrazeno 661 x
Naposledy upravil(a) dafo dne 13 Nov 2017 14:33, celkem upraveno 1 x.
0 x

Petr Bačina
Příspěvky: 628
Registrován: 3 years ago
Bydliště: Horní Slavkov
Kontaktovat uživatele:

Příspěvekod Petr Bačina » 1 week ago

Některá RBčka nám to dělají taky. Ukazuje, pak skočí nuly a pak ukazuje řekněme 2x tolik než ve skutečnosti. Na jednom místě to dělá RB951G na druhém zase RB2011. Na 750G která dělala to samé stačilo aktualizovat ROS a bylo po problému. Ty další zmíněné to dělají pořád bez ohledu na verzi. Na funkčnost to nemá vliv a SNMP vyčítá správné hodnoty.
0 x
Jsme malý ISP, ale snažíme se svou práci dělat co nejlépe to jde ;-)
http://www.lajsinet.cz/ - Horní Slavkov

radik
Příspěvky: 127
Registrován: 2 years ago

Příspěvekod radik » 1 week ago

A co tak zkusit torch a podivat se co na portu tece? To by toho reklo spoustu.


Nemas treba zapnuty DNS a neodpovidas na vsechny dotazy (i ze sveta)? Klidne nekdo muze pouzivat tvoje RB jako branu pro sebe (zalezi jak ma poskytovatel udelanou sit).
0 x

dafo
Příspěvky: 9
Registrován: 6 months ago

Příspěvekod dafo » 1 week ago

Torch na wan porte som samozrejme skusal, ten prenos tam ukazuje, ale je to na vela IP adries, a to aj v pripade, ked je v LAN len jeden aktivny uzivatel s jednym spojenim.
2.jpg
2.jpg (168.11 KiB) Zobrazeno 562 x

Prave preto sa mam obavy, ze nieco nie je v poriadku.
Radik, ako zistim ci nerobim DNS? V nastaveni DNS mam toto (zadane IP su DNS Telekomu):
3.png
3.png (10.35 KiB) Zobrazeno 562 x

Ked skusam zrusit "Alow remote request", tak premavka poklesne. Moze to byt ono?
0 x

mirek.k
Příspěvky: 401
Registrován: 9 years ago

Příspěvekod mirek.k » 1 week ago

V tom torchu si zapni port a sleduj 53.
0 x

dafo
Příspěvky: 9
Registrován: 6 months ago

Příspěvekod dafo » 1 week ago

Na tom porte 53 je velky prenos, ak mam zakliknuty v DNS "alow remote requests" tak je tam Tx (cca po 300kpbs na 10 IP) aj Rx (len par kbps), ak to nemam zakliknute, spojenia su tam tiez, ale TX je vsade 0, Rx rovnake. Ak to bude ono, tak tie Rx spojenia su DNS poziadavky a Tx su odpovede?
0 x

mirek.k
Příspěvky: 401
Registrován: 9 years ago

Příspěvekod mirek.k » 1 week ago

Tak bingo. Port 53 je třeba z wan strany zakázat.
0 x

Gus
Příspěvky: 10
Registrován: 11 years ago

Příspěvekod Gus » 1 week ago

Funguješ co by DNS resolver. Vypni Allow remote requests, nebo dropni port 53 z WAN.
0 x

dafo
Příspěvky: 9
Registrován: 6 months ago

Příspěvekod dafo » 1 week ago

Predpokladam, ze to nastavim vo firewalle, ako by malo to nastavenie vyzerat? Aky to je protokol? A dakujem moc za pomoc :thumbsup:
0 x

Pelirob
Příspěvky: 65
Registrován: 4 years ago

Příspěvekod Pelirob » 1 week ago

Podle mého by mohlo stačit cca toto :

Kód: Vybrat vše

/ip firewall filter
add chain=input in-interface=ether1 protocol=udp dst-port=53 action=drop
add chain=input in-interface=ether1 protocol=tcp dst-port=53 action=drop


Místo "ether1" napiš jméno svého WAN portu a přesuň ty pravidla někam na začátek Input pravidel.
A máš docela štěstí, že tě kvůli tomu už nezaříznul Tvůj ISP - open recursive resolver bývá docela nepříjemný fail

dafo píše:Predpokladam, ze to nastavim vo firewalle, ako by malo to nastavenie vyzerat? Aky to je protokol? A dakujem moc za pomoc :thumbsup:
0 x

dafo
Příspěvky: 9
Registrován: 6 months ago

Příspěvekod dafo » 1 week ago

Este raz sa chcem velmi pekne podakovat. Pravidlo funguje.
0 x

dafo
Příspěvky: 9
Registrován: 6 months ago

Příspěvekod dafo » 1 week ago

Este doplnim dnesnu skusenost, pri vypnutom nastaveni IP-DNS -"alow remote requests" nefungovalo odosielanie mailov cez SMTP na jednej firemnej tlaciarni. Volbu som musel zapnut. Firewall pravidlo na toto vsak vplyv nemalo, maily funguju aj ked pravidlo filtruje prichodzie poziadavky na port 53.
0 x

radik
Příspěvky: 127
Registrován: 2 years ago

Příspěvekod radik » 1 week ago

Pelirob píše:
A máš docela štěstí, že tě kvůli tomu už nezaříznul Tvůj ISP - open recursive resolver bývá docela nepříjemný fail


Nekdo to neresi. Jinak pokud by byl otevreny DNS ze sveta, tak je to ISP jedno pokud nezatezuje jeho DNS (DNS klienta resolvuje sam).
0 x

radik
Příspěvky: 127
Registrován: 2 years ago

Příspěvekod radik » 1 week ago

dafo píše:Este doplnim dnesnu skusenost, pri vypnutom nastaveni IP-DNS -"alow remote requests" nefungovalo odosielanie mailov cez SMTP na jednej firemnej tlaciarni. Volbu som musel zapnut. Firewall pravidlo na toto vsak vplyv nemalo, maily funguju aj ked pravidlo filtruje prichodzie poziadavky na port 53.


Doporucuji nepouzivat vubec DNS z mikrotiku. Prenastav si radeji zarizeni. DNS v mikrotiku nepracuje uplne spravne a za urcitych okolnosti to dela problemy (neco nekdy neprelozi).
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 6 hostů