MikroTik - divný log (DHCP?)

MikroTik - divný log (DHCP?)
« kdy: 14. 06. 2021, 01:42:28 »
zdravim, neviem presne kedy sa ten log zacal objavovat, ale pri nasadeni DNS serveru (pihole) som si ho vsimol. Su to dva typy logu:

Kód: [Vybrat]
input: in:host_vlan out:(unknown 0), src-mac (gateway od mojho ISP - NAT 1:1), proto UDP, 0.0.0.0:68->255.255.255.255:67, len 328

input: in:host_vlan out:(unknown 0), src-mac (klienty hostitelskej VLAN), proto UDP, (IP klienta):68->(IP mojho Mikrotiku pre hosti):67, len 328
Siet tvoria dve VLANy jedna sukromna v ktorej su vsetky zriadenia a druha pre hosti Na MT su spustene aj dva DHCP servery (pre kazdu VLANu jeden). DHCP servery funguju, ale ten hostovsky opakovane hadze vyssie uvedeny log.

Donedavna som na MT pouzival aj DNS server, ale presiel som na pihole, takze som z hostovskej VLANy otvoril port 53 na pihole v sukromnej VLAN (nemyslim ze to suvisi).

Tento filter pouzivam uz dlho a este som nezaznamenal log ohladom portu 67, 68 (az teraz) a v poslednej dobe som nemenil ani pravidla logovania. Vie mi niekto povedat co to moze znamenat? Je niekde problem?

Kód: [Vybrat]
0 chain=input action=accept connection-state=established,related

1 chain=input action=drop connection-state=invalid

2 chain=input action=jump jump-target=WAN>INPUT in-interface=WAN

3 chain=input action=accept in-interface=sukr_vlan log=no log-prefix=""

4 chain=input action=accept protocol=icmp

5 chain=input action=drop log=yes

6 chain=forward action=accept connection-state=established,related

7 chain=forward action=drop connection-state=invalid

8 chain=forward action=drop src-address-list=sukr_ip in-interface=sukr_vlan log=no log-prefix=""

9 chain=forward action=drop src-address-list=!host_ip in-interface=host_vlan log=no log-prefix=""

10 chain=forward action=drop dst-address-list=bogon log=yes log-prefix="bogon"

11 chain=forward action=accept in-interface=sukr_vlan out-interface=WAN

12 chain=forward action=accept in-interface=host_vlan out-interface=WAN

13 ;;; DSTNAT chain=forward action=accept connection-nat-state=dstnat log=no log-prefix=""

14 ;;; DNS UDP chain=forward action=accept protocol=udp dst-address-list=DServer in-interface=host_vlan dst-port=53 log=no log-prefix=""

15 ;;; DNS TCP chain=forward action=accept protocol=tcp dst-address-list=DServer in-interface=host_vlan dst-port=53 log=no log-prefix=""

16 chain=forward action=accept src-address-list=host_ip dst-address-list=tlac in-interface=host_vlan log=no log-prefix=""

17 chain=forward action=drop in-interface=host_vlan out-interface=sukr_vlan log=no log-prefix=""

18 chain=forward action=drop log=yes log-prefix=""

19 chain=WAN>INPUT action=drop log=no log-prefix=""
« Poslední změna: 14. 06. 2021, 09:28:06 od Petr Krčmář »


Re:Mikrotik - Divny log (DHCP?)
« Odpověď #1 kdy: 14. 06. 2021, 07:25:20 »
Ahoj, podle mě ti to nefunguje z důvodu, že nemáš povolen DNS ani DHCP input z VLAN hostů.
Odzkoušel sis že dostaneš adresu a DNS v hostovské síti ?
Ty logy co ti tam skáčou jsou podle mého kvůli pravidlu č. 5, je dobré používat log prefixy, lépe se v tom pak vyznáš  :)

Třeba ten jump co používáš je úplně zbytečný, máš pár pravidel tak si to zbytečně nestěžuj.






Re:MikroTik - divný log (DHCP?)
« Odpověď #2 kdy: 14. 06. 2021, 11:36:59 »
no ono to v podstate funguje, dhcp server mi da adresu aj v hostovskej sieti. akurat to hadze logy, ktore doteraz nehadzalo, dns (pihole) tiez funguje aj pre hosti, ten jump vyhodim

Re:MikroTik - divný log (DHCP?)
« Odpověď #3 kdy: 14. 06. 2021, 11:52:28 »
este doplnim ze dns do hostovskej VLAN je povoleny pravidlami 14,15 a dhcp server ma kazda VLAN svoj,, takze myslim ze vzajomnu komunikaciu ohladom DHCP netreba povolovat

SB

  • ****
  • 347
    • Zobrazit profil
    • E-mail
Re:MikroTik - divný log (DHCP?)
« Odpověď #4 kdy: 14. 06. 2021, 13:16:34 »
Nejsou mi úplně jasné počet, názvy a významy podsítí, každopádně provoz DHCP od klientů DHCP z vnitřní sítě je třeba mít povolený, tudíž když mezi pravidla 2 a 3 vložíte zvláštní pravidlo přímo pro UDP 68->67, nic nepokazíte, a z čítačů uvidíte, zda to funguje. Z logu by to tím mělo zmizet.
Jump pro oddělení provozu z WAN je v pořádku, to tam nechejte.


Re:MikroTik - divný log (DHCP?)
« Odpověď #5 kdy: 14. 06. 2021, 22:50:17 »
vlany su dve - jedna sukromna, v ktorej mam vsetky svoje zariadenia a druha na internet pre hosti. Ich ucel je separovat sukromnu siet od hostovskej.
Nerozumiem preco by som mal mat povoleny DHCP traffic napriec VLANami ked kazda VLANa ma svoj vlastny DHCP server pod Mikrotikom? Ak som to pochopil zle a mysleli ste povolit DHCP porty z kazdej VLANy do inputu, tak potom sa samozrejme logy prestanu tvorit, ale mna by skor zaujimal dovod preco sa vobec tvoria, ked sa doteraz netvorili a pritom som nic v poslednej dobe vo firewalle nemenil (okrem portu 53 -DNS). Viac menej v ziadnom tutoriale / diskusii alebo "default" filtroch som nenasiel ze by s dhcp serverom na mikrotiku bolo treba "automaticky" riesit aj porty 67,68 vo firewalle.
« Poslední změna: 14. 06. 2021, 22:52:58 od googler2 »

Re:MikroTik - divný log (DHCP?)
« Odpověď #6 kdy: 15. 06. 2021, 06:51:52 »
Protože ten FW je tak nějak divně tvořenej. FW se tvoří tak, že např. ze všech VLAN vše zakážu, takže začnu všude s dropy a povolím si jen to co z každé té VLAN potřebuji a kam.
Je možný že to do logu neskákalo protože, jste neměl nikoho na host VLAN.