Страница 1 из 1
Появился флуд по порту 1701
Добавлено: 22 июл 2024, 11:22
pin
Добрый день.
В firewall, в разрешающем правиле L2TP соединений (udp 1701) установлено логирование
в общем до этого не наблюдалось "флуда", установился сеанс и все ок. Сегодня наблюдаю флуд, причем само соединение активно. Непонятно из-за чего такое полотно в логах. Подскажите, чем может быть вызвано такое поведение.
прилагаю скрин лога
https://yapx.ru/album/XwSDQ
Re: Появился флуд по порту 1701
Добавлено: 22 июл 2024, 11:29
pin
Адреса 192.168.199.1 и 192.168.199.2 мои, и соединение между ними в статусе RUN.
Но флуд с запросами соединения массово пишется в логи.
Re: Появился флуд по порту 1701
Добавлено: 24 июл 2024, 17:23
pin
Еще раз, есть два роутера
Соединены одним проводом
Порты 2-3-4 в бридже LAN
1 порт WAN
5 порт LINK к другому Микротику
На 5 порту роутера-1 адрес 192.168.199.1
На 5 порту роутера-2 адрес 192.168.199.2
роутер-1 l2tp клиент с бриджевкой в LAN, то есть он стучится на 192.168.199.2 по 1701 udp и бриджуется в LAN
роутер-2 l2tp сервер также бриджует соединение в свой LAN
адресация внутренней сети одинаковая на обоих роутерах
Соединение установлено, работает, работает давно.
Но с недавних пор, начали сыпаться запросы на соединение по 1701, причем пачками.
Хотя соединение уже установлено и работает.
На скрине подтверждение.
Подскажите, что за странное поведение? Что это может быть???
Зачем один микротик посылает пачки запросов на соединение по 1701 на другой, если L2TP соединение уже установлено?
Re: Появился флуд по порту 1701
Добавлено: 25 июл 2024, 08:56
gmx
Ну все-таки логичнее предположить, что флуд идет извне, из сети интернет. А то, что вы не видите реальный адрес - это связано с неправильной настройкой NAT, то есть вы маскируете реальный адрес.
Re: Появился флуд по порту 1701
Добавлено: 25 июл 2024, 14:10
pin
gmx писал(а): ↑25 июл 2024, 08:56
Ну все-таки логичнее предположить, что флуд идет извне, из сети интернет. А то, что вы не видите реальный адрес - это связано с неправильной настройкой NAT, то есть вы маскируете реальный адрес.
Маскарадинг настроен только на внешние интерфейсы, куда подключены провода провайдера.
Есть один момент, который остается потенциальной причиной, LAN между микротиками проходит через оборудование провайдера, этот канал в L2TP туннеле, внутри его сети.
Re: Появился флуд по порту 1701
Добавлено: 25 июл 2024, 20:54
gmx
И всё-таки причину надо искать у себя. У провайдера в последнюю очередь.
Re: Появился флуд по порту 1701
Добавлено: 26 июл 2024, 09:33
pin
gmx писал(а): ↑25 июл 2024, 20:54
И всё-таки причину надо искать у себя. У провайдера в последнюю очередь.
Сейчас провел следственный эксперимент.
При отключении интерфейса с адресом 192.168.199.1, сыпятся пакеты с других клиентов внутри сети по 1701.
Будто какая-то проблема на стороне принимающей стороны по 1701
Re: Появился флуд по порту 1701
Добавлено: 26 июл 2024, 15:39
pin
Причина логирования оказалась весьма проста:
В файрволе разрешающее правило established/related на input шло после разрешающего правила 1701 на input.
А вот причина столь большего количества запросов на 1701 непонятна.