[Mikrotik] KPN routed-IPTV software update blijft hangen 21%

zaterdag 23 november 2019 21:28

Ik zou gewoon NAT (MASQUERADE) doen over alles wat over VLAN4 naar buiten gaat, dus niet alleen naar die specifieke destinations.

Durf niet 100% te zeggen dat dit je update probleem verklaart (heb dat proces nooit helemaal geanalyseerd) maar het zou best kunnen en is sowieso een vreemde config.

Acties:

0 Henk 'm!

zaterdag 23 november 2019 21:33

Netwerk

Config?

Acties:

0 Henk 'm!

WeHoDo

Waarschijnlijk staat je uPNP uit op de Mikrotik. Zet deze even aan en probeer het nog eens.

PSN: plexforce (ps4)

zaterdag 23 november 2019 21:50

Acties:

0 Henk 'm!

zaterdag 23 november 2019 22:04

Netwerk

Dat gaat niets veranderen.

Updates komen (net als TV) van een multicast source. Daarvoor is één IGMP join nodig, de rest is multicast. Dus iets in de hoek van routing (rp_filter?) of firewalling.

De config van netwerkje is onhandig (MASQUERADE met dst-ip) maar klopt verder aardig. Zonder export voor de overige wijzigingen blijft het gissen.

Acties:

+1 Henk 'm!

zaterdag 23 november 2019 22:40

Topicstarter

Hierbij de config:

code:

# nov/23/2019 21:54:12 by RouterOS 6.45.7
# software id = 7P09-2CFT
#
# model = CCR1009-7G-1C-1S+
# serial number = 7AF1075B84A2
/caps-man channel
add band=2ghz-g/n name=channel-2G
add band=5ghz-a/n/ac name=channel-5G
/interface bridge
add fast-forward=no igmp-snooping=yes name=bridge-lan vlan-filtering=yes
/interface ethernet
set [ find default-name=combo1 ] arp=proxy-arp combo-mode=copper name=\
    combo1-WAN
set [ find default-name=ether1 ] advertise=1000M-full name=\
    "ether2-HAPac Zolder" speed=100Mbps
set [ find default-name=ether2 ] name=ether3-Server speed=100Mbps
set [ find default-name=ether3 ] name=ether4-HAPac-Meterkast speed=100Mbps
set [ find default-name=ether4 ] name=ether5-Flex speed=100Mbps
set [ find default-name=ether5 ] name=ether6-Raspi speed=100Mbps
set [ find default-name=ether6 ] name=ether7-envoy speed=100Mbps
set [ find default-name=ether7 ] name=ether8-CRS112 speed=100Mbps
set [ find default-name=sfp-sfpplus1 ] advertise=\
    10M-full,100M-full,1000M-full,10000M-full auto-negotiation=no speed=1Gbps
/interface pptp-client
add connect-to=israel.privateinternetaccess.com name=pptp-PIA user=x123456
/interface vlan
add arp=proxy-arp interface=combo1-WAN name=vlan4-iptv vlan-id=4
add interface=combo1-WAN name=vlan6-internet vlan-id=6
add arp=proxy-arp interface=bridge-lan name=vlan10-home vlan-id=10
add arp=proxy-arp interface=bridge-lan name=vlan15-servers vlan-id=15
add interface=bridge-lan name=vlan20-automation vlan-id=20
add interface=bridge-lan name=vlan30-guests vlan-id=30
add interface=bridge-lan name=vlan100-management vlan-id=100
/caps-man datapath
add bridge=bridge-lan client-to-client-forwarding=yes local-forwarding=no \
    name=dp-VL10-home vlan-id=10 vlan-mode=use-tag
add bridge=bridge-lan client-to-client-forwarding=yes local-forwarding=no \
    name=dp-VL20-automation vlan-id=20 vlan-mode=use-tag
add bridge=bridge-lan client-to-client-forwarding=no local-forwarding=no \
    name=dp-VL30-guests vlan-id=30 vlan-mode=use-tag
/interface pppoe-client
add add-default-route=yes allow=pap,mschap2 comment=\
    "user: 9C-6F-51-15-A0-19@direct-adsl" default-route-distance=0 disabled=\
    no interface=vlan6-internet keepalive-timeout=20 max-mru=1480 max-mtu=\
    1480 name=pppoe-KPN user=9C-6F-51-15-A0-19@direct-adsl
/caps-man security
add authentication-types=wpa2-psk name=security-default
add authentication-types=wpa2-psk name=security-guests
add authentication-types=wpa-psk,wpa2-psk encryption=aes-ccm \
    group-encryption=aes-ccm group-key-update=5m name=security-automation
/caps-man configuration
add channel=channel-2G country=netherlands datapath=dp-VL10-home name=\
    config-wifi_2G security=security-default ssid=2GL
add channel=channel-5G country=netherlands datapath=dp-VL10-home name=\
    config-wifi_5G security=security-default ssid=5GL
add channel=channel-2G country=netherlands datapath=dp-VL30-guests name=\
    config-wifi_Guests security=security-guests ssid=Guests
add channel=channel-2G channel.frequency="" channel.secondary-frequency="" \
    country=netherlands datapath=dp-VL20-automation hide-ssid=no name=\
    config-wifi_automation security=security-automation ssid=Domotica
/interface list
add name=LAN
add name=WAN
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip dhcp-client option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
/ip dhcp-server option
add code=60 name=option60-vendorclass value="'IPTV_RG'"
add code=28 name=option28-broadcast value="'10.0.10.255'"
add code=42 name=option42-ntp value="'10.0.10.1'"
/ip dhcp-server option sets
add name=IPTV options=option60-vendorclass,option28-broadcast
add name=REGULAR options=option42-ntp
/ip ipsec profile
add enc-algorithm=aes-192,aes-128,3des name=profile_1
/ip ipsec peer
# This entry is unreachable
add name=peer1 passive=yes profile=profile_1
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc,3des pfs-group=none
/ip pool
add name=VL100-management ranges=192.168.10.5-192.168.10.254
add name=l2tp-pool ranges=192.168.11.200-192.168.11.254
add name=VL20-automation ranges=10.0.20.5-10.0.20.254
add name=VL10-trusted ranges=10.0.10.10-10.0.11.254
add name=VL30-guests ranges=10.0.30.1-10.0.30.254
add name=VL15-servers ranges=10.0.15.1-10.0.15.254
add name=Backup-Pool ranges=10.100.0.1-10.100.0.254
/ip dhcp-server
add address-pool=VL100-management disabled=no interface=vlan100-management \
    name="vlan100-trusted management"
add address-pool=VL20-automation disabled=no interface=vlan20-automation \
    name=vlan20-automation
add address-pool=VL10-trusted dhcp-option-set=REGULAR disabled=no interface=\
    vlan10-home name="vlan10-trusted homenet"
add address-pool=VL30-guests dhcp-option-set=REGULAR disabled=no interface=\
    vlan30-guests name=vlan30-guests
add address-pool=VL15-servers disabled=no interface=vlan15-servers name=\
    vlan15-servers
add address-pool=Backup-Pool disabled=no interface=bridge-lan name=\
    backup-dhcp
/ip ipsec mode-config
add address-pool=l2tp-pool name=cfg1 system-dns=no
/ppp profile
add change-tcp-mss=yes name=openVpn-client only-one=yes use-compression=no \
    use-encryption=required use-mpls=no use-upnp=no
/interface ovpn-client
add certificate=ca-windscribe.crt_0 cipher=aes256 connect-to=\
    ca.windscribe.com disabled=yes mac-address=02:B3:C9:13:EB:B7 name=\
    ovpn-out1-windscribe port=54783 profile=openVpn-client user=\
    bladibladibla
/routing bgp instance
set default disabled=yes
/snmp community
set [ find default=yes ] addresses=0.0.0.0/0
/caps-man manager
set ca-certificate=CAPsMAN-CA-1CDAF9107C11 certificate=CAPsMAN-1CDAF9107C11 \
    enabled=yes upgrade-policy=suggest-same-version
/caps-man manager interface
add interface=ether5-Flex
add interface=ether3-Server
add disabled=no interface="ether2-HAPac Zolder"
add disabled=no interface=ether3-Server
/caps-man provisioning
add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=\
    config-wifi_2G name-format=prefix-identity name-prefix=CAP2G \
    slave-configurations=config-wifi_automation,config-wifi_Guests
add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=\
    config-wifi_5G name-format=prefix-identity name-prefix=CAP5G
/interface bridge port
add bridge=bridge-lan hw=no interface="ether2-HAPac Zolder" pvid=100
add bridge=bridge-lan interface=ether3-Server pvid=15
add bridge=bridge-lan hw=no interface=ether4-HAPac-Meterkast pvid=100
add bridge=bridge-lan hw=no interface=ether5-Flex pvid=100
add bridge=bridge-lan hw=no interface=ether6-Raspi pvid=15
add bridge=bridge-lan hw=no interface=ether7-envoy pvid=10
add bridge=bridge-lan hw=no interface=ether8-CRS112 pvid=100
add bridge=bridge-lan hw=no interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=all
/interface bridge vlan
add bridge=bridge-lan tagged=\
    "ether2-HAPac Zolder,ether4-HAPac-Meterkast,bridge-lan" vlan-ids=30
add bridge=bridge-lan tagged=\
    "ether4-HAPac-Meterkast,ether2-HAPac Zolder,bridge-lan,ether8-CRS112" \
    untagged=ether7-envoy vlan-ids=10
add bridge=bridge-lan tagged=\
    "ether4-HAPac-Meterkast,ether2-HAPac Zolder,bridge-lan" vlan-ids=20
add bridge=bridge-lan tagged=\
    "bridge-lan,ether4-HAPac-Meterkast,ether2-HAPac Zolder" untagged=\
    ether3-Server,ether6-Raspi vlan-ids=15
add bridge=bridge-lan tagged=\
    "ether2-HAPac Zolder,ether4-HAPac-Meterkast,bridge-lan,ether8-CRS112" \
    untagged=ether5-Flex vlan-ids=100
/interface l2tp-server server
set authentication=mschap2 default-profile=default-l2tp enabled=yes \
    use-ipsec=yes
/interface list member
add interface=bridge-lan list=LAN
add interface=combo1-WAN list=WAN
add interface=pppoe-KPN list=WAN
add interface=vlan4-iptv list=WAN
add interface=vlan6-internet list=WAN
add interface=vlan10-home list=LAN
add interface=vlan15-servers list=LAN
add interface=vlan20-automation list=LAN
add interface=vlan30-guests list=LAN
add interface=vlan100-management list=LAN
/ip address
add address=192.168.10.1/24 comment=defconf interface=vlan100-management \
    network=192.168.10.0
add address=10.0.20.1/24 interface=vlan20-automation network=10.0.20.0
add address=10.0.10.1/23 interface=vlan10-home network=10.0.10.0
add address=10.0.30.1/24 interface=vlan30-guests network=10.0.30.0
add address=10.0.15.1/24 interface=vlan15-servers network=10.0.15.0
add address=10.100.0.1/24 interface=bridge-lan network=10.100.0.0
/ip dhcp-client
add comment="uitgezet op combo1-WAN ivm directe koppeling zonder Experiabox. d\
    hcp zit nu op ppoe-verbinding" dhcp-options=hostname,clientid interface=\
    combo1-WAN use-peer-dns=no
add add-default-route=special-classless default-route-distance=254 \
    dhcp-options=option60-vendorclass,hostname,clientid disabled=no \
    interface=vlan4-iptv use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=10.0.10.0/23 comment="Trusted Home VLAN" dns-server=10.0.15.6 \
    domain=aesnet gateway=10.0.10.1
add address=10.0.15.0/24 comment="Server VLAN" dns-server=10.0.15.1 gateway=\
    10.0.15.1
add address=10.0.20.0/24 comment="Automation VLAN" dns-server=10.0.20.1 \
    gateway=10.0.20.1
add address=10.0.30.0/24 dns-server=10.0.30.1 gateway=10.0.30.1
add address=10.100.0.0/24 comment="Backup-DHCP (no VLAN)" dns-server=\
    10.100.0.1 gateway=10.100.0.1
add address=192.168.10.0/24 comment="Management VLAN" dns-server=192.168.10.1 \
    gateway=192.168.10.1 ntp-server=192.168.10.1
/ip dns
set allow-remote-requests=yes cache-size=8192KiB servers=1.1.1.1,8.8.4.4
/ip firewall address-list
add address=192.168.10.0/23 list=LAN
/ip firewall filter
add action=log chain=forward disabled=yes log=yes log-prefix=GUESTS- \
    src-address=192.168.30.0/24
add action=accept chain=input comment=IpSec dst-port=500,1701,4500 \
    in-interface-list=WAN protocol=udp
add action=accept chain=input comment=IpSec protocol=ipsec-esp
add action=accept chain=input comment="IpSec Authentication" protocol=\
    ipsec-ah
add action=accept chain=input comment="IPTV Multicast" dst-address=\
    224.0.0.0/8 in-interface=vlan4-iptv protocol=igmp
add action=accept chain=forward comment="IPTV Multicast" dst-address=\
    224.0.0.0/8 in-interface=vlan4-iptv protocol=udp
add action=accept chain=forward comment="IPTV Multicast" dst-address=\
    224.0.0.0/8 in-interface=vlan4-iptv protocol=udp
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related routing-mark=!PPTP-VPN
add action=accept chain=input comment=\
    "defconf: Accept established, related, untracked" connection-state=\
    established,related,untracked
add action=accept chain=input comment="Accept all from LAN" \
    in-interface-list=LAN
add action=drop chain=input comment="Disable outside DNS requests" \
    connection-state=new dst-port=53 in-interface=pppoe-KPN protocol=tcp
add action=drop chain=input comment="Disable outside DNS or NTP requests" \
    connection-state=new dst-port=53,123 in-interface=pppoe-KPN protocol=udp
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=reject chain=input comment="Protect against KPN block" \
    in-interface=pppoe-KPN protocol=udp reject-with=icmp-port-unreachable
add action=reject chain=input comment="Protect against KPN block" \
    in-interface=pppoe-KPN protocol=tcp reject-with=icmp-port-unreachable
add action=add-src-to-address-list address-list=winbox_stage1 \
    address-list-timeout=1m chain=input comment=\
    "Winbox blacklist add to stage 1" connection-state=new dst-port=8291 \
    in-interface-list=WAN protocol=tcp src-address-list=""
add action=add-src-to-address-list address-list=winbox_stage2 \
    address-list-timeout=1m chain=input comment=\
    "Winbox bruteforce add to stage 2" connection-state=new dst-port=8291 \
    protocol=tcp src-address-list=winbox_stage1
add action=add-src-to-address-list address-list=winbox_stage3 \
    address-list-timeout=1m chain=input comment=\
    "Winbox brute force- add to stage 3" connection-state=new dst-port=8291 \
    protocol=tcp src-address-list=winbox_stage2
add action=add-src-to-address-list address-list=winbox_blacklist \
    address-list-timeout=1w3d chain=input comment=\
    "Winbox bruteforce add to blacklist" connection-state=new dst-port=8291 \
    protocol=tcp src-address-list=winbox_stage3
add action=drop chain=input comment="Drop winbox brute forcers" dst-port=8291 \
    protocol=tcp src-address-list=winbox_blacklist
add action=drop chain=input comment="Drop all remaining WAN connections" \
    in-interface-list=WAN
add action=drop chain=forward comment=\
    "Forbid traffic from Automation VLAN 20 to internet" in-interface=\
    vlan20-automation out-interface=pppoe-KPN
add action=drop chain=forward comment=\
    "Forbid traffic to other than WAN on Guest network VLAN 30" in-interface=\
    vlan30-guests out-interface=!pppoe-KPN
add action=accept chain=forward comment=\
    "defconf: accept related, established, untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment="Drop all WAN not DST NATted" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Mark VPN traffic" \
    connection-nat-state=!dstnat disabled=yes dst-address=!192.168.10.0/24 \
    dst-address-list=!Host_ianbrown dst-port=\
    !32400,222,2006,993,995,563,9119,80,443,987,587,25,465 new-routing-mark=\
    PPTP-VPN passthrough=yes port="" protocol=tcp src-address=192.168.10.10
add action=mark-routing chain=prerouting comment="Mark VPN UDP traffic" \
    disabled=yes dst-address=!192.168.10.0/24 new-routing-mark=PPTP-VPN \
    passthrough=yes port=!32400 protocol=udp src-address=192.168.10.10
/ip firewall nat
add action=redirect chain=dstnat comment=\
    "FORCE DNS TO LOCAL MIKROTIK DNS SERVER" disabled=yes dst-port=53 \
    in-interface-list=LAN protocol=udp to-ports=53
add action=redirect chain=dstnat comment=\
    "FORCE DNS TCP TO LOCAL MIKROTIK DNS SERVER" disabled=yes dst-port=53 \
    in-interface-list=LAN protocol=tcp to-ports=53
add action=masquerade chain=srcnat comment="Masquerade iptv" dst-address=\
    213.75.0.0/16 out-interface=vlan4-iptv
add action=masquerade chain=srcnat comment="Masquerade iptv" dst-address=\
    217.166.0.0/16 out-interface=vlan4-iptv
add action=masquerade chain=srcnat out-interface=pppoe-KPN
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set sip disabled=yes
/ip ipsec identity
# Wrong mode-config
add generate-policy=port-override mode-config=request-only peer=peer1 \
    remote-id=ignore
/ip ipsec policy
add disabled=yes dst-address=192.168.10.0/24 sa-dst-address=86.82.30.243 \
    sa-src-address=80.151.246.162 src-address=192.168.20.0/24 tunnel=yes
/ip route
add distance=1 gateway=pptp-PIA routing-mark=PPTP-VPN
add disabled=yes distance=1 gateway=ovpn-out1-windscribe routing-mark=\
    PPTP-VPN-Windscribe
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/lcd
set time-interval=hour
/ppp secret
add name=abcde profile=default-l2tp service=l2tp
/routing igmp-proxy
set quick-leave=yes
/routing igmp-proxy interface
add alternative-subnets=213.75.0.0/16,217.166.0.0/16 interface=vlan4-iptv \
    upstream=yes
add interface=vlan10-home
/system clock
set time-zone-name=Europe/Amsterdam
/system identity
set name=MT-CCR
/system logging
add disabled=yes prefix="L2TPDBG===>" topics=l2tp
add disabled=yes prefix="IPSECDBG===>" topics=ipsec
add disabled=yes topics=igmp-proxy
/system ntp client
set enabled=yes primary-ntp=147.251.48.140 secondary-ntp=193.150.34.2
/system ntp server
set enabled=yes
/system routerboard settings
# Warning: cpu not running at default frequency
set cpu-frequency=600MHz
/tool e-mail
set address=192.168.10.10 from="RouterOS <noreply@routeros>" start-tls=yes \
    user=a@b.com
/tool sniffer
set file-name=sniff filter-ip-address=10.0.30.254/32

Benieuwd welke tips en fouten? er in zitten...
Het lastige is nu natuurlijk dat de update er door de truuk met de Experiabox, inmiddels op staat. Ik kan het probleem dus nu niet meer reproduceren en zal moeten wachten tot een volgende update denk ik. Maar als iemand 'uit zijn hoofd' weet dat er iets fout staat, pas ik dat graag preventief al aan (en ter referentie voor anderen...)

Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker

Acties:

+1 Henk 'm!

zaterdag 23 november 2019 22:51

Netwerk

Ziet er oké uit als je het mij vraagt. Op basis hiervan kan ik het in ieder geval niet verklaren.

Mocht het nog een keer voorkomen, dan kun je het beste even een capture maken met de sniffer.

Je bent een mailadres vergeten te redacten. En - ik heb niet héél je firewall nagelopen, het valt op dat je Winbox blacklist - dat zou ik helemaal niet openzetten naar het internet.

Acties:

Beste antwoord ✓
+1 Henk 'm!

zondag 24 november 2019 09:35

Ik zou gewoon NAT (MASQUERADE) doen over alles wat over VLAN4 naar buiten gaat, dus niet alleen naar die specifieke destinations.

Durf niet 100% te zeggen dat dit je update probleem verklaart (heb dat proces nooit helemaal geanalyseerd) maar het zou best kunnen en is sowieso een vreemde config.

Acties:

+1 Henk 'm!

jvanhambelgium

Aesculapius schreef op zaterdag 23 november 2019 @ 22:52:
[...]

thanks voor dat mailadres, aangepast.
Ik heb winbox niet open staan, uiteraard, maar wel een honeypot op die poort :-)

Ik heb die universeel gemaakt. Elke "portscanner" , ongeacht welke poorten hij probed gaat op de blacklist.
De "evaluatie" gaat over een tijdwindow van X aantal uren"
Hiervoor gebruik ik echter de PSD parameters in de config.
(ik heb zo 1 rule op TCP en UDP port af te vangen, je zou het kunnen combineren mah bon)

Dus stel iemand test een keertje of port 23 open staat, en na 1 uur probed die eens 8080 nog een uur laten toch nog eens zien of 21 niet open staat etc.

Weight Threshold
Delay Threshold
Low Port Weight
High Port Weight

Vb.

Weight Threshold = 15
Delay Threshold = 06:00:00
Low Port Weight = 3
High Port Weight = 3

Met bovenstaande config zou een "prober" 5 packets (ofwel lower range, ofwel upper maakt ni uit ze hebben allebei weight 3) mogen versturen en dan staan z'n src-ip marked, want 3*5=15 dus weight threshold reached.
Het "tijdswindow" voor evaluatie is dan 6uur.

Ten alle tijden heb ik zo een "live" lijstje van src-ip's die direct geblocked worden, duurtijd in stellen (vb 1week, permanent etc)
Op deze moment zit er zo'n 160 IP's in het lijstje bijvoorbeeld.

Voor de router is het ni echt een belasting, mijn RB3011 zit op < 1% meestal. Ik heb dan ook niet zo'n mega dikke lijn eraan hangen.

zondag 24 november 2019 09:37

Acties:

0 Henk 'm!

zondag 24 november 2019 10:00

Topicstarter

jvanhambelgium schreef op zondag 24 november 2019 @ 09:35:
[...]

Ik heb die universeel gemaakt. Elke "portscanner" , ongeacht welke poorten hij probed gaat op de blacklist.
De "evaluatie" gaat over een tijdwindow van X aantal uren"
Hiervoor gebruik ik echter de PSD parameters in de config.
(ik heb zo 1 rule op TCP en UDP port af te vangen, je zou het kunnen combineren mah bon)

Dus stel iemand test een keertje of port 23 open staat, en na 1 uur probed die eens 8080 nog een uur laten toch nog eens zien of 21 niet open staat etc.

Weight Threshold
Delay Threshold
Low Port Weight
High Port Weight

Vb.

Weight Threshold = 15
Delay Threshold = 06:00:00
Low Port Weight = 3
High Port Weight = 3

Met bovenstaande config zou een "prober" 5 packets (ofwel lower range, ofwel upper maakt ni uit ze hebben allebei weight 3) mogen versturen en dan staan z'n src-ip marked, want 3*5=15 dus weight threshold reached.
Het "tijdswindow" voor evaluatie is dan 6uur.

Ten alle tijden heb ik zo een "live" lijstje van src-ip's die direct geblocked worden, duurtijd in stellen (vb 1week, permanent etc)
Op deze moment zit er zo'n 160 IP's in het lijstje bijvoorbeeld.

Voor de router is het ni echt een belasting, mijn RB3011 zit op < 1% meestal. Ik heb dan ook niet zo'n mega dikke lijn eraan hangen.

sounds interesting - kan je kort delen waar in de config je dit instelt?

Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker

Acties:

0 Henk 'm!

jvanhambelgium

Op m'n Splunk zie dan ongeveer zo'n verloop.

Afbeeldingslocatie: https://www.vanham-franck.be/pics/splunk/livelist.png

Eigenlijk om dat te configgen is het gewoon de rule die je al gebruikt had met de actie "add to src-address-list" maar dan gewoon wat aanpassen.

Vb hieronder (hier en daar wat random waardes ingezet...)

7 ;;; Add TCP Port Scanners To List
chain=input action=add-src-to-address-list protocol=tcp fragment=no psd=5,4h,1,1 address-list=Port Scanners address-list-timeout=1w in-interface=ISP log=yes log-prefix="TAG-TCP-PORTSCAN"

8 ;;; Add UDP Port Scanners To List
chain=input action=add-src-to-address-list protocol=udp psd=5,4h,1,1 address-list=Port Scanners address-list-timeout=1w in-interface=ISP src-port=!53 log=yes log-prefix="TAG-UDP-PORTSCAN"

(note dat voor de UDP "scanners" je nog wat moet oppassen met DNS requesten ... vandaar dat ik die nog exclude, ik merkte dat plots er wat 1.1.1.1 enz hosts in de blacklist kwam ;-)

Vervolgens kan je die "Port Scanner" ACL list inzitten op vb je input-chain (helemaal bovenaa) of RAW om per-direct de IP's in de lijst af te schieten.
In dit voorbeeld dus zijn er 5 packets toegelaten van een willekeurig IP binnen een tijdsvenster van 4 uur.

Ah en nog een opmerking : indien je met een "port-knocking" constructie werkt moet je wel effe zorgen dat je PSD niet "te agressief zet" hé ! Port-knock IS nu eenmaal probing vandaar. Ik gebruikt ook port-knocking en heb dan inderdaad de PSD "wat relaxer" moeten zetten

[ Voor 9% gewijzigd door jvanhambelgium op 24-11-2019 10:03 ]

donderdag 12 december 2019 19:33

Acties:

0 Henk 'm!

donderdag 12 december 2019 21:04

Topicstarter

Thralas schreef op zaterdag 23 november 2019 @ 22:40:
Ziet er oké uit als je het mij vraagt. Op basis hiervan kan ik het in ieder geval niet verklaren.

Mocht het nog een keer voorkomen, dan kun je het beste even een capture maken met de sniffer.

Je bent een mailadres vergeten te redacten. En - ik heb niet héél je firewall nagelopen, het valt op dat je Winbox blacklist - dat zou ik helemaal niet openzetten naar het internet.

Inmiddels staat er een nieuwe update voor de deur en loopt hij weer bij 20% vast. Het verbaast me wat dat niet meer mensen met de netwerkje.com config hier last van hebben...
uPNP tijdelijk aangezet op de router geeft geen verbetering... maar eens gaan zoeken hoe ik een bruikbare packet sniff opsla...

edit: dichterbij het probleem; als ik de decoder rechtstreeks in de router prik, start hij wel door. Ik vermoed dat de IPTV option-set niet goed doorgegeven komt via de aangesloten CRS112 (waar de decoder eigenlijk aan hing). Hij download nu in ieder geval software, even afwachten hoe dat verloopt. Moet ik op de achterliggende switch trouwens ook nog iets van IGMP snooping aanzetten of geldt dat echt alleen voor de router?

[ Voor 20% gewijzigd door Aesculapius op 12-12-2019 19:48 ]

Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker

Acties:

0 Henk 'm!

donderdag 12 december 2019 21:27

Netwerk

Aesculapius schreef op donderdag 12 december 2019 @ 19:33:
Ik vermoed dat de IPTV option-set niet goed doorgegeven komt via de aangesloten CRS112 (waar de decoder eigenlijk aan hing).

Dat is irrelevant. De enige optie die je hoeft mee te sturen is IPTV_RG op de DHCP client van je router.
De rest van de opties zijn overbodig of zelfs fout (netwerkje.com doet wel meer gekke dingen). De DHCP server hoeft géén specifieke opties naar je LAN-clients te sturen.

Ik kan geen goede verklaring bedenken waarom het met switch niet zou werken (als het een zuivere switch is en geen multicast filtert).

Moet ik op de achterliggende switch trouwens ook nog iets van IGMP snooping aanzetten of geldt dat echt alleen voor de router?

Dat is wel handig om de IPTV streams van 'andere' poorten te weren, maar gaat je probleem niet oplossen.

Packets sniffen blijft de meest handige weg, want dan zie je hoogstwaarschijnlijk dat de STB probeert een multicast group te joinen wat om de een-of-andere reden niet lukt. Volg met de packet sniffer vervolgens het pad richting het IPTV VLAN (interface voor interface), ergens raakt het IGMP-verkeer (of de stream) kwijt.

Acties:

0 Henk 'm!

donderdag 12 december 2019 21:36

Heb in het verleden wel eens eerder wat IGMP snooping / multicast issues in die Mikrotik CRS switches gezien. Draai je de meest recente software op die switch?

Je router zal in elk geval het issue niet zijn als het rechtstreeks daarop wel werkt.

Acties:

0 Henk 'm!

donderdag 12 december 2019 22:37

Topicstarter

ik222 schreef op donderdag 12 december 2019 @ 21:27:
Heb in het verleden wel eens eerder wat IGMP snooping / multicast issues in die Mikrotik CRS switches gezien. Draai je de meest recente software op die switch?

Je router zal in elk geval het issue niet zijn als het rechtstreeks daarop wel werkt.

Ja, recent alles nog geupdate ivm die exploits.. stond op 6.45.6 maar zal nog naar 6.46 gaan. vraag me af of dat verschil gaat maken.

edit: moet de switch ook het multicast package hebben?

[ Voor 5% gewijzigd door Aesculapius op 12-12-2019 21:47 ]

Zeg wat je doet en doe wat je zegt, dan wordt de hele wereld een stukje leuker

Acties:

0 Henk 'm!

donderdag 12 december 2019 22:52

Volgens mij niet, dat heb je alleen nodig voor de IGMP proxy op de router en niet voor snooping wat je op de switch wilt doen.

Heb je IGMP snooping aan of uit staan op de switch?

Acties:

0 Henk 'm!