Internet valt weg met Mikrotik router - Netwerken

maandag 4 november 2013 09:34

Acties:

IT Security Nerd

Topicstarter

Hallo,
Ik heb destijds op advies van anderen voor de zaak een Mikrotik router aangeschaft. Dit omdat deze er om bekend stonden dat je ze 1 keer moest configureren en er dan geen omkijken meer aan was. Ideaal, want als ICT-er heb je wel meer te doen dan met een router klooien.

Alleen is het probleem dat de verbinding een a twee keer per week wegvalt. Dit kan op elk willekeurig moment zijn maar het is ook vaker snachts... wat onze backup dan in de weg zit want die vindt snachts plaats.

We hebben een 100/100 verbinding van Fieber, de verbinding wordt simpelweg met PPPoE over vlan 6 opgebouwd, nooit problemen gehad met die verbinding.

De router logs laten niets zien omdat we de stroom van de router af moeten halen voordat deze weer iets doet, het lijkt dus wel of deze vastloopt.

Het betreft een MikroTik RB2011UAS-RM (mipsbe)

Ik weet dat jullie waarschijnlijk niet genoeg aan deze info hebben, maar laat maar weten wat je nodig hebt, want ik weet 't ook zo niet.
Alle advies is welkom

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

maandag 4 november 2013 09:35

Acties:

CyBeR

💩

Als 'ie echt vast loopt heb je waarschijnlijk een maandagochtendmodel. Omruilen voor een nieuwe dus.

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 4 november 2013 09:38

Acties:

lier

MikroTik nerd

Welk (versie van) RouterOS draai je?
Heb je dit probleem altijd gehad?
Kan je de router nog wel bereiken via (bijvoorbeeld) de web interface?

Eerst het probleem, dan de oplossing

maandag 4 november 2013 09:50

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Ik weet niet of de router dan nog intern te bereiken is, ik zal de volgende keer dat ie vastloopt de baas uitleggen hoe ze het kan checken (ik werk altijd van afstand)

Dit probleem bestaat sinds we hem hebben, de router is een paar maandjes oud.

En ik draai RouterOS 6.0rc14

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

maandag 4 november 2013 10:09

Acties:

Verwijderd

Dag Shadow,

Ik heb dat ook gehad, maar dan met een VPN verbiding die 5 a 8 keer per dag eruit ging (voor 1 a 2 minuten). Ook vreselijk.

Eerst OS 5.25. Daarna OS 6.2 Heeft niets geholpen. Totdat de router een keer helemaal niet te bereiken was.

Netinstall heeft alle problemen opgelost.

Acties:

1. Maak een backup van de hele router.
2. Download OS 6.0
3. Installeer Netinstall
4. Geef de PC een vast IP adres in de range van de router (bv. 192.168.88.5)
5. Zet je firewall UIT op de PC (is ECHT nodig, anders werkt het niet)
6. Haal ALLE computers van de router af, en alleen de PC op poort 1
7. Reset knop dacht het 10 seconden indrukken (met paperclip), en dan hopen dat Netinstall de router vindt. Het kan zijn, dat je dit proces meerdere keren moet herhalen (5 a 10 keer proberen is normaal). In Netinstall GEEN optie aanvinken "preserve settings"... of iets wat daarop lijkt. Laat hem maar helemaal leeg maken.
8. Als hij hem vindt, dan OS 6.0 installeren.
9. Nadat de router gereboot heeft, de backup terug zetten, en reboot geven.
10. Je kan overwegen om eerst aan te kijken hoe het werkt, of later besluiten om naar 6.2 te upgraden.

Let op: De backup files zijn zeer specifiek t.o.v. de OS versie. Dus backup file die in 6.0 gemaakt is, kan NIET in 6.2 gebruikt worden. Bij upgrade van OS blijven in principe alle settings bewaard. Dus na een OS upgrade, meteen een nieuwe backup maken, en oude verwijderen.

En kan jij wel inbellen op dat ding (VPN server draaein), als jij remote ondersteuning doet?

maandag 4 november 2013 10:19

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

Ik moet heel eerlijk bekennen dat ik t een beetje slordig heb gedaan, ik ben alles nog aan t opzetten dus ik had voor t gemak even winbox naar buiten open gezet, heel slordig... maar ik had die dag niet veel meer tijd.
VPN heb ik nog niet opgezet, staat uiteraard wel op de lijst.

NetInstall ga ik straks eens proberen

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

dinsdag 12 november 2013 09:49

Acties:

kaaas

Ik zou ros 5 installeren ik heb de laatste versie van 6 nog niet geprobeerd maar er zaten nogal wat bugs in versie 6.
5 is op het moment al redelijk uit ontwikkeld. Als je geen vlan dingen op switch niveau wilt doen is versie 5 prima.

Je hoeft trouwens dat hele netinstall verhaal niet te doen als de router nog bereikbaar is.
Dan kun je gewoon een routeros beststand uploaden in files rebooten en je bent klaar.
Check ook even bij systen->routerboard of er een nieuwe firmware klaar staat, klik op upgrade om hem toe te passen.

Ik zou hoe dan ook updaten of downgraden rc betekend release candidate en dat is niet iets dat je op productie niveau wilt draaien.

dinsdag 12 november 2013 10:03

Acties:

FatalError

RouterOS 5.x werkt niet op veel oudere revisies van de RB2011. Als jouw router met versie 6 geleverd is kan je NIET RouterOS 5x installeren. De router boot dan niet meer.

Heb je toevallig de DNS poorten van buitenaf open staan?
Momenteel worden er veel zgn. 'DNS amplification attacks' gedaan. Gevolg is dat je router sterft door specifieke DNS requests. Ik zou sowieso de DNS poorten van buitenaf dicht zetten.

Afhankelijk van welke features je verder gebruikt zou ik ook upgraden naar versie 6.6. Voor zover bekend is er enkel een bug in combinatie met de bridge functie (waar ik zelf overigens geen problemen mee heb).

If it ain't broken, tweak it!

dinsdag 12 november 2013 11:24

Acties:

kaaas

Aha dat wist ik niet, ik heb alleen apparaten die met 5 geleverd zijn.
Hoe zijn jouw ervaringen met 6.6? Zit te overwegen om te gaan upgraden ivb met de switch chip mogelijkheden.

dinsdag 12 november 2013 11:37

Acties:

FatalError

6.6 bevalt mij prima, net als de overige 6.x versies overigens. Ik heb zelf geen RB2011, maar hier hangen wel in het netwerk: x86, RB600A, RB1100Hx2, RB433UAH. Allemaal draaien ze versie 6.0 of hoger.
De x86 en RB600A draaien 6.6. Deze doen simpel OSPF, wifi (NV2 / 802.11n AP), bridge, vlans en (momenteel even niet) VPLS met LDP signaling.

If it ain't broken, tweak it!

dinsdag 12 november 2013 11:58

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

FatalError schreef op dinsdag 12 november 2013 @ 10:03:
RouterOS 5.x werkt niet op veel oudere revisies van de RB2011. Als jouw router met versie 6 geleverd is kan je NIET RouterOS 5x installeren. De router boot dan niet meer.

Heb je toevallig de DNS poorten van buitenaf open staan?
Momenteel worden er veel zgn. 'DNS amplification attacks' gedaan. Gevolg is dat je router sterft door specifieke DNS requests. Ik zou sowieso de DNS poorten van buitenaf dicht zetten.

Afhankelijk van welke features je verder gebruikt zou ik ook upgraden naar versie 6.6. Voor zover bekend is er enkel een bug in combinatie met de bridge functie (waar ik zelf overigens geen problemen mee heb).

Als het goed is staat 53 dicht, ik heb n hele firewall opgezet, gebaseerd op n populaire basis die ik had gevonden.
Ik zie bij connections inderdaad een hoop op 53 binnen komen. Alleen zouden deze dropped moeten worden

(Chain: Input, Proto: TCP, Dst. Port: 53, action: drop) dus ik ga er vanuit dat t zo klopt

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

dinsdag 12 november 2013 12:34

Acties:

plizz

Moet je dan UDP port 53 niet ook dicht gooien?

dinsdag 12 november 2013 12:44

Acties:

CyBeR

💩

Juist UDP. TCP is geen gevaar in deze.

All my posts are provided as-is. They come with NO WARRANTY at all.

dinsdag 12 november 2013 13:10

Acties:

ShadowAS1

IT Security Nerd

Topicstarter

CyBeR schreef op dinsdag 12 november 2013 @ 12:44:
Juist UDP. TCP is geen gevaar in deze.

Oeps, Denkfoutje tijdens het typen, de rule zelf staat op UDP

PA-ACE / RHCE / SCE // Any post or advice is provided as is, and comes with no warranty at all.

dinsdag 12 november 2013 14:41

Acties:

kaaas

Mocht het updaten niet helpen zou je the dude kunnen draaien om bijv je resources te loggen.
Met een beetje mazzel kun je zien wat er mis gaat.
Daar moet je dus wel continu een pc voor laten draaien.
Of je ruilt hem om zoals al cyber voorstelde.

woensdag 13 november 2013 11:54

Acties:

LiquidSmoke

ShadowAS1 schreef op dinsdag 12 november 2013 @ 11:58:
[...]

Als het goed is staat 53 dicht, ik heb n hele firewall opgezet, gebaseerd op n populaire basis die ik had gevonden.
Ik zie bij connections inderdaad een hoop op 53 binnen komen. Alleen zouden deze dropped moeten worden

(Chain: Input, Proto: TCP, Dst. Port: 53, action: drop) dus ik ga er vanuit dat t zo klopt

Als dns requests eerst wel werden geaccepteerd, en nu niet meer, duurt het even voor het verkeer afneemt, een dag of 2 zou al heel veel moeten schelen.

Mijn zwager had een nieuw modem en dus een nieuw IP gekregen, dezelfde tijd daar een 2011RB neergezet, en er kwam de eerste dag 20Mb aan DNS verkeer binnen (drop rule was vanaf begin actief), na een dag gehalveerd en nu na een week bijna niets meer. Waarschijnlijk was de vorige gelukkige van dat WAN IP niet goed beveiligd, en duurt het even voordat het botnet leert dat het IP adres geen requests meer accepteert.

In de tussentijd waren er regelmatig time outs, en vielen vpn verbindingen weg. Ook bijv. webmail verliest dan continu de connectie. Erg irritant.

woensdag 13 november 2013 19:13

Acties:

DJSmiley

Overigens geld naast DNS hetzelfde voor SNMP. Ook SNMP amplification attacks zijn erg veel voorkomend momenteel. (Ook UDP, alleen dan poort 161)

woensdag 13 november 2013 19:14

Acties:

CyBeR

💩

En als we dat lijstje toch aan 't aanvullen zijn, ntp zelfde verhaal.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 14 november 2013 08:05

Acties:

LiquidSmoke

En daarom werk je dus met een default drop drule, en laat je alleen extern verkeer naar binnen wat nodig is.

Veel basisvoorbeelden accepteren trouwens UDP via alle interfaces:

code:

1	chain=input action=accept protocol=udp

Niet goed dus, je staat dan wagenwijd open voor o.a. dns amplification attacks, en je dus een set regels aan moet maken die dat blokkeren. Op zich geen probleem als je goed weet wat je doet.

Makkelijker is:

code:

1	chain=input action=accept protocol=udp in-interface=!ether1-gateway

Waarbij ether1 de WAN gateway is, en je alle LAN clients vertrouwd.
Zo hoef je niet voor elke ongewenste service regels aan te maken, echter kan dit, afhankelijk van je instellingen, wel je log enorm vervuilen.

/edit: deze regel wel onder accept related/established natuurlijk.

[ Voor 83% gewijzigd door LiquidSmoke op 14-11-2013 09:08 ]

zaterdag 16 november 2013 15:37

Acties:

ihre

Toevallig had ik vanochtend hetzelfde probleem:

code:

[admin@MikroTik] > /system resource monitor
          cpu-used: 100%
  cpu-used-per-cpu: 100%
       free-memory: 104040KiB
-- [Q quit|D dump|C-z pause]

[admin@MikroTik] > /tool profile
NAME                    CPU        USAGE
firewall-mgmt           all           0%
wireless                all         2.5%
pppoe                   all           0%
ppp                     all           0%
ethernet                all           2%
console                 all           0%
dns                     all        80.5%
firewall                all           3%
networking              all         0.5%
winbox                  all         0.5%
management              all         1.5%
idle                    all         8.5%
profiling               all           0%
bridging                all         0.5%
unclassified            all         0.5%

Met de bovenstaande rule van LiquidSmoke had ik geen verbinding meer, en werden alle requests op poort 53 vanuit me LAN gedropped.

Met de onderstaande rule werkt het wel:

code:

1	/ip fi fi add chain=input action=drop protocol=udp dst-port=53 src-address=!192.168.2.0/24

code:

[admin@MikroTik] > /ip fi fi e
# nov/16/2013 15:42:40 by RouterOS 6.6
# software id = TWA4-HQKU
#
/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=drop chain=input comment="Accept DNS LAN Requests" dst-port=53 protocol=udp src-address=!192.168.2.0/24
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "Port scanners to list " protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2d chain=input comment=\
    "NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=drop chain=input comment="Drop Port scanners" src-address-list="port scanners"
add action=drop chain=input comment="Drop FTP brute forcers" dst-port=21 protocol=tcp src-address-list=\
    ftp_blacklist
add chain=input comment="Accept ICMP ping" protocol=icmp
add chain=input comment="Accept established connections" connection-state=established
add chain=input comment="Accept related connections" connection-state=related
add action=log chain=input comment="Firewall Logging" log-prefix=Drop
add action=drop chain=input comment="Drop everything else"

[ Voor 9% gewijzigd door ihre op 16-11-2013 15:43 ]