+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Изменения в потоке трафика в версии 6.29

Изменения в потоке трафика в версии 6.29, RouterOS

robyhr

Guest

25.07.2015 10:57:00

Всем привет, у меня проблема с изменениями в TrafficFlow, которые появились в версии 6.29 (кажется). У меня такая сетевая схема: у меня происходит два NAT-а. Один маскирует сеть 10.0.0.0/8 как 192.168.0.2 (на роутере Mikrotik), а другой маскирует сеть 192.168.0.0/24 в интернет (на роутере провайдера). На Mikrotik включён активный Traffic Flow на интерфейсе к роутеру провайдера, и он отправляет flow-пакеты в ManageEngine, который их собирает.

Что я заметил после обновления с версии 6.20 до 6.30.2 (при этом я ещё сменил RB2011 на CCR, но сомневаюсь, что это как-то повлияло) — загрузка трафика показывает нужную мне информацию (источник — 10.x.x.x, а назначение — публичный IP), а вот трафик на скачивание показывает источник “публичный IP” и назначение “192.168.0.2” (вместо того, чтобы видеть 10.x.x.x, как раньше). То есть теперь я потерял возможность видеть, кто из моей LAN скачивает, я вижу только, что загрузка направлена на Mikrotik, который делает NAT.

Можно ли как-то вернуть работу Traffic Flow к тому, как было раньше? Мне кажется, эта строчка из changelog 6.29 — источник моей проблемы:
*) trafflow: add natted addrs/ports to ipv4 flow info;

Спасибо и всего хорошего, Роберт

Chupaka

Guest

13.11.2015 09:26:00

Аххх, я заметил «что-то необычное» в твоих данных, но ещё не вчитывался. Конечно, ты видишь два разных потока: от клиента к прокси хотспота и от прокси к серверу. Просто отключи опцию «прозрачный прокси» в профиле хотспота — и клиенты будут выходить в интернет напрямую.

flameproof

Guest

13.11.2015 13:09:00

Хорошо, расскажу чуть подробнее про настройку. У меня есть клиенты, которые подключаются к роутеру с запущенным сервисом хотспот, но им выделяется определённый объём данных для использования только на сайтах из “стены” (walled garden) — то есть на разрешённых ресурсах. IP 136.243.x.x — это хост, который внесён в белый список на Walled Garden. Пока клиенты полностью не онлайн, они не авторизовались в хотспоте и им разрешён доступ только к сайтам из белого списка. Если они авторизуются, они начинают платить за трафик, который на данный момент учитывается через RADIUS.

Что я хочу реализовать с потоком трафика — учёт этого «бесплатного» трафика и уведомление сервера на 136.243.x.x о необходимости прекратить поставку данных конкретному клиенту, как только он превысит лимит. По умолчанию в пользовательском профиле у меня отключён прозрачный прокси. Насколько я понимаю, это касается уже авторизованных пользователей, да?

Буду благодарен за любые другие идеи, которые помогут достичь нужного результата.

flameproof

Guest

14.11.2015 12:27:00

Итак, я немного разобрался с флоу, которые отправляет Mikrotik. В версиях v1 и v5 нет информации о NAT, и независимо от того, какие настройки маскарадинга или прокси я использую, я всегда получаю либо публичный IP, либо приватный, но не конечные точки. Возможно, это связано с запущенным сервисом hotspot. Когда будет время, протестирую на обычной конфигурации роутера и посмотрю, что получится. Пока же, используя v9 и анализируя трафик через Wireshark, вижу следующее:

Flow 2
[Duration: 6.060000000 seconds (switched)]
Packets: 3997
Octets: 5956225
InputInt: 0
OutputInt: 2
SrcAddr: 10.30.0.1
DstAddr: 10.30.0.249
Protocol: TCP (6)
IP ToS: 0x00
SrcPort: 64874 (64874)
DstPort: 50366 (50366)
NextHop: 10.30.0.249
DstMask: 0
SrcMask: 0
TCP Flags: 0x12
Destination Mac Address: 00:00:00_00:00:00 (00:00:00:00:00:00)
Post Source Mac Address: Routerbo_66:56:53 (d4:ca:6d:66:56:53)
Post NAT Source IPv4 Address: 136.243.x.x
Post NAT Destination IPv4 Address: 10.30.0.249
Post NAPT Source Transport Port: 80
Post NAPT Destination Transport Port: 50366

Таким образом, используя маркеры post_nat_src_host и post_nat_dst_host в конфигурации nfacctd, можно корректно получить IP-адреса источника и назначения — именно то, что мне и было нужно.

Chupaka Guest	#5 0 27.10.2015 22:21:00 Что нового в версии 6.33rc33 (26 октября 2015, 11:50): *) trafflow — отчёты о flow-адресах в версиях v1 и v5 без учёта NAT.

flameproof

Guest

12.11.2015 14:41:00

Я только что обновился до версии 6.33, но проблема всё ещё сохраняется. В моём случае WAN-интерфейс настроен на 10.20.0.12, а клиенты LAN находятся в сети 10.30.0.0/24 с шлюзом 10.30.0.1. Клиент с адресом 10.30.0.250 скачивает файл с удалённого сервера, и я вижу такие агрегаты в логах при мониторинге WAN-интерфейса (с помощью nfacctd):
SRC_IP,DST_IP,PROTOCOL,PACKETS,BYTES
136.243.x.x,10.20.0.12,tcp,3997,5956225
10.20.0.12,136.x.x.157,tcp,2018,105507

Если смотреть логи с LAN-интерфейса, то они показывают:
SRC_IP,DST_IP,PROTOCOL,PACKETS,BYTES
10.30.0.1,10.30.0.250,tcp,3997,5956225
10.30.0.250,10.30.0.1,tcp,3981,207521

«Без учёта NAT» вроде не работает. Может, кто подскажет, как настроить мониторинг именно так (имитируя то, что я хотел бы видеть, как О.П.):
SRC_IP,DST_IP,PROTOCOL,PACKETS,BYTES
136.243.x.x,10.30.0.250,tcp,3997,5956225
10.30.0.250,136.243.x.x,tcp,3981,207521

Для справки: я тестировал с Netflow версий v1, v5 и v9...

Chupaka Guest	#7 0 12.11.2015 15:42:00 хмм-м-м… NFv5 у меня работает нормально (мы используем «interfaces=all»), и кто-то в теме про версию 6.33 сказал, что проблема теперь решена

flameproof Guest	#8 0 13.11.2015 09:12:00 Хорошо, две мысли на этот счёт. Во-первых, я буду перезагружать роутер между изменениями, прочитал в одной из веток, что изменения конфигурации не применяются к ещё активным потокам. Также я тестировал с интерфейсами «all». Во-вторых, у меня это работает на роутере с включённым хотспотом — повлияют ли опции маскарадинга на то, как потоки захватываются и отправляются на цели? Если у вас есть пример конфигурации, которую вы используете, я был бы очень признателен!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры