Добрый день.
В firewall, в разрешающем правиле L2TP соединений (udp 1701) установлено логирование
в общем до этого не наблюдалось "флуда", установился сеанс и все ок. Сегодня наблюдаю флуд, причем само соединение активно. Непонятно из-за чего такое полотно в логах. Подскажите, чем может быть вызвано такое поведение.
прилагаю скрин лога https://yapx.ru/album/XwSDQ
Появился флуд по порту 1701
-
pin
- Сообщения: 69
- Зарегистрирован: 16 авг 2018, 13:46
Адреса 192.168.199.1 и 192.168.199.2 мои, и соединение между ними в статусе RUN.
Но флуд с запросами соединения массово пишется в логи.
Но флуд с запросами соединения массово пишется в логи.
-
pin
- Сообщения: 69
- Зарегистрирован: 16 авг 2018, 13:46
Еще раз, есть два роутера
Соединены одним проводом
Порты 2-3-4 в бридже LAN
1 порт WAN
5 порт LINK к другому Микротику
На 5 порту роутера-1 адрес 192.168.199.1
На 5 порту роутера-2 адрес 192.168.199.2
роутер-1 l2tp клиент с бриджевкой в LAN, то есть он стучится на 192.168.199.2 по 1701 udp и бриджуется в LAN
роутер-2 l2tp сервер также бриджует соединение в свой LAN
адресация внутренней сети одинаковая на обоих роутерах
Соединение установлено, работает, работает давно.
Но с недавних пор, начали сыпаться запросы на соединение по 1701, причем пачками.
Хотя соединение уже установлено и работает.
На скрине подтверждение.
Подскажите, что за странное поведение? Что это может быть???
Зачем один микротик посылает пачки запросов на соединение по 1701 на другой, если L2TP соединение уже установлено?
Соединены одним проводом
Порты 2-3-4 в бридже LAN
1 порт WAN
5 порт LINK к другому Микротику
На 5 порту роутера-1 адрес 192.168.199.1
На 5 порту роутера-2 адрес 192.168.199.2
роутер-1 l2tp клиент с бриджевкой в LAN, то есть он стучится на 192.168.199.2 по 1701 udp и бриджуется в LAN
роутер-2 l2tp сервер также бриджует соединение в свой LAN
адресация внутренней сети одинаковая на обоих роутерах
Соединение установлено, работает, работает давно.
Но с недавних пор, начали сыпаться запросы на соединение по 1701, причем пачками.
Хотя соединение уже установлено и работает.
На скрине подтверждение.
Подскажите, что за странное поведение? Что это может быть???
Зачем один микротик посылает пачки запросов на соединение по 1701 на другой, если L2TP соединение уже установлено?
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
Ну все-таки логичнее предположить, что флуд идет извне, из сети интернет. А то, что вы не видите реальный адрес - это связано с неправильной настройкой NAT, то есть вы маскируете реальный адрес.
-
pin
- Сообщения: 69
- Зарегистрирован: 16 авг 2018, 13:46
Маскарадинг настроен только на внешние интерфейсы, куда подключены провода провайдера.
Есть один момент, который остается потенциальной причиной, LAN между микротиками проходит через оборудование провайдера, этот канал в L2TP туннеле, внутри его сети.
-
gmx
- Модератор
- Сообщения: 3416
- Зарегистрирован: 01 окт 2012, 14:48
И всё-таки причину надо искать у себя. У провайдера в последнюю очередь.
-
pin
- Сообщения: 69
- Зарегистрирован: 16 авг 2018, 13:46
Сейчас провел следственный эксперимент.
При отключении интерфейса с адресом 192.168.199.1, сыпятся пакеты с других клиентов внутри сети по 1701.
Будто какая-то проблема на стороне принимающей стороны по 1701
-
pin
- Сообщения: 69
- Зарегистрирован: 16 авг 2018, 13:46
Причина логирования оказалась весьма проста:
В файрволе разрешающее правило established/related на input шло после разрешающего правила 1701 на input.
А вот причина столь большего количества запросов на 1701 непонятна.
В файрволе разрешающее правило established/related на input шло после разрешающего правила 1701 на input.
А вот причина столь большего количества запросов на 1701 непонятна.