coltseavers
Goto Top

Zu viel Traffic zwischen Router Mikrotik RB750GL und Modem

Hallo zusammen,

ich habe einen Mikrotik RB750GL, der eine PPPoE-Verbindung über ein DSL-Modem herstellen soll (normaler DSL-Anschluss).

Komischerweise habe ich bei verschiedenen Modems (Vodafone Easybox 803 A, Draytek Vigor 130), und auch bei einem Austausch-Router (gleichen Modells) das Problem, dass der Router dem Modem permanent viele Daten zuschickt, und ich weiss nicht warum (siehe Bild)

fe57a54e53f8fb95e4bcb23868929271

Man kann dort sehr schön sehen, dass der Traffic nicht aus dem LAN kommt, sondern vom Router selbst erzeugt wird.
Das lässt natürlich als erstes die Schlussfolgerung zu, dass die PPPoE-Verbindung falsch konfiguriert ist.
Ich wüsste aber nicht, wie man durch eine Fehlkonfiguration solch einen Traffic verursachen kann.
Ich hab mal bei der Max MTU/MRU mit 1480 und 1492 experimentiert, das brachte aber keine Veränderung.
Generell steht die Verbindung, nur geht halt kaum mehr als ein schlechter Ping durch die Leitung.

Alternativ habe ich mal einen RB750 mit identischer Konfiguration drangehängt. Dort deutet sich das Problem ebenfalls an, ist dort aber bei weitem nicht so krass.
Dort gehen dann nur ein paar Hundert kbps über die TX-Leitung, und der Speedtest sieht gesund aus.

Jemand eine Idee, woran das liegen könnte?

Vielen Dank vorab!

Gruß,
Colt Seavers

Content-Key: 278450

Url: https://administrator.de/contentid/278450

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: 122990
122990 26.07.2015 aktualisiert um 19:47:02 Uhr
Goto Top
Moin,
mach doch mal ein Packet Capture auf dem Interface und lad es in Wireshark um zu sehen was für Pakete das sind die der MK an das Modem schickt ...

Hier wurde etwas ähnliches zwischen Modem und einem Mikrotik diskutiert
Mikrotik CCR1009-8G-1S-1S+ Verbindungsabrüche obwohl verbunden

Gruß grexit
Mitglied: coltseavers
coltseavers 26.07.2015 aktualisiert um 21:45:25 Uhr
Goto Top
Servus grexit,

vielen Dank für Deine Hilfe!

Ich habe den Traffic mal über die Winbox mit dem Packet Sniffer mitgeschnitten, in einem File abgespeichert, und dieses dann im Wireshark geöffnet und studiert.

Ergebnis:
Der Mikrotik wird die ganze Zeit von aussen massiv belästigt mit der gleichen DNS-Abfrage von unterschiedlichen IPs.
Die DNS-Anfrage fragt nach dem gesamten DNS-Eintrag zu der Domain gpsc.gov, und der Router verballert ordentlich Bandbreite zur Beantwortung dieser Frage.

Daraufhin habe ich in der Firewall eingestellt, dass DNS-Anfragen von aussen gedroppt werden (blocken des inputs über pppoe-schnittstelle auf port 53 per udp).
Pro Sekunde werden seitdem ca 100 eingehende Pakete gedroppt.

Alternativ (und das ist vermutlich der sinnvollere Weg), kann man in der Winbox über IP -> DNS bei den DNS-Settings den Haken bei "Allow Remote Requests" entfernen.
Das hat den gleichen Effekt.

Ist das normal in der heutigen Zeit, oder kann/sollte man sowas als (wenn auch nur kleinen) Angriff an den ISP melden?

Gruß,
Colt
Mitglied: 122990
122990 26.07.2015 aktualisiert um 22:00:55 Uhr
Goto Top
Daraufhin habe ich in der Firewall eingestellt, dass DNS-Anfragen von aussen gedroppt werden
Wie bitte ? Du hast die Firewall per Default für alles offen ?? Na das wäre sowieso nicht angeraten face-smile Außerdem sollte der DNS Proxy über eine entsprechende Regel nur von innen zugänglich sein.
und das ist vermutlich der sinnvollere Weg
Nein ist es nicht, deine Firewall ist so wie es aussieht vollkommen falsch konfiguriert ...Die ist nämlich in erster Linie dafür Zuständig worauf dein Router antwortet!
Man sollte ebenfalls Firewall Regeln erstellen die DDOS abwehrt und diese IPs für eine bestimmte Zeit sperrt. Solche Regeln findest du für den MK zu Hauf im Netz.

Hast du eine fixe IP oder eine dynamische ? Vermutlich hören die Requests sofort wieder auf wenn du eine neue IP bekommst.
Mitglied: coltseavers
coltseavers 26.07.2015 um 23:12:46 Uhr
Goto Top
Hallo,

es handelt sich um eine feste IP.

Also in der Firewall sind 4 Regeln definiert:
1) Ping akzeptieren (ok, kann man drüber streiten)
2) established connection reinlassen
3) related connection reinlassen
4) restlicher Input: drop

Ist das nun "vollkommen falsch" ?
Mitglied: 122990
122990 27.07.2015 aktualisiert um 00:21:58 Uhr
Goto Top
Dann sollte der MK aber auch keine DNS Anfragen beantworten und deine zusätzl. Regel für Port 53 ist überflüssig und wird ja schon durch die generelle Drop-Rule abgefangen !
Mitglied: coltseavers
coltseavers 27.07.2015 aktualisiert um 00:54:47 Uhr
Goto Top
Der allgemeine drop greift nur, wenn der Haken bei den DNS-Settings nicht gesetzt ist. Ist er gesetzt, antwortet der DNS-Dienst auch auf Anfragen von aussen.
Deshalb sag ich ja: es ist schon empfehlenswert darauf zu achten, dass dieser Haken "Allow remote requests" nicht gesetzt ist.
Der Allow greift dann nämlich vor dem allgemeinen Drop, und somit hilft die drop-Regel nix.

Komischerweise greift ein expliziter drop des udp 53 eingangs via pppoe sehr wohl - auch bei aktiviertem "allow remote requests".
Verstehe nicht so ganz, warum das so ist, aber es ist so. Habs mit nmap von aussen überprüft.
Aber wie auch immer: Haken raus, und (zumindest) dieses Problem ist gelöst. Dann brauchts keine weitere Firewall-Regel.

Davon unabhängig ist es sicherlich nicht verkehrt noch einen Schutz vor DDOS-Angriffen einzubauen, da geb ich Dir recht.
Aber wers ernst meint, für den ist ein RB750(GL) natürlich kein großes Hindernis, dieser wird einem richtigen DDOS-Angriff nicht lang standhalten können.
Mitglied: 122990
122990 27.07.2015 aktualisiert um 10:13:23 Uhr
Goto Top
Der allgemeine drop greift nur, wenn der Haken bei den DNS-Settings nicht gesetzt ist
Das wäre dann aber ein ganz fieser BUG, kann ich hier nämlich bei keinem meiner MKs feststellen und nachvollziehen ! Die Firewall sollte ja auch dafür da sein die Dienste zu schützen und nicht umgekehrt die Dienste die Firewall aushebeln.
Mitglied: 114757
114757 27.07.2015 aktualisiert um 10:48:17 Uhr
Goto Top
Moin zusammen,
da kann ich mich @122990 nur anschließen, dieses merkwürdige Verhalten kann ich hier auch nicht nachstellen, wäre ja auch fatal.... Vermutlich hast du deine allgemeine INPUT Drop Regel nur auf bestimmte Interfaces beschränkt.

Der Haken sagt nämlich nur aus, dass der Mikrotik als DNS Proxy Anfragen annimmt, das aber auch nur wenn keine Firewall Regel dies verbietet, und das tut er hier wie erwartet nur mit einer Ausnahmeregel in der FW.
Ich mach ziemlich viel mit Mikrotiks, aber das ist mir noch nie untergekommen, da muss bei dir irgendwas nicht ganz koscher sein. Poste doch mal deine Config.

Gruß jodel32
Mitglied: LordGurke
LordGurke 28.07.2015 um 23:50:44 Uhr
Goto Top
Zitat von @coltseavers:
Ist das normal in der heutigen Zeit, oder kann/sollte man sowas als (wenn auch nur kleinen) Angriff an den ISP melden?

Das sind DNS-Amplification-Attacks. Da kannst du gerne Abuses schicken, aber die Source-IPs die du dort siehst, sind gespoofed und in der ganzen Angelegenheit das Opfer. Realistisch betrachtet müsstest du Abuse-Meldungen bekommen face-wink

Aber: Ja, das gehört heutzutage mit vielen öffentlichen UDP-Diensten leider zum Nutzungserlebnis...
Mitglied: coltseavers
coltseavers 31.08.2015 um 15:20:31 Uhr
Goto Top
Um diese Frage noch kurz zu schließen:

Die erhöhte Bandbreite lag an den DNS-Anfragen aus dem Internet, die mein Router freundlicherweise beantwortet hat.

Danke für den Rat der Helfenden.

Gruß,
Colt