Trafego Fantasma no Mikrotik - AP <-> Cliente

PessoAll, para quem não acredita em fantasmas na maquina, ai vai um problema que tem nos atormentado há dias.

Em um dos AP´s, uma RB 433, com MK 5.26, notamos que a diferença do que entra pela Lan era quase 3Mb à mais do que saia pelas placas wireless. Simplesmente inexplicável.
Anexo 54982

Mas a "coisa" não parou por ai...

Fomos mais fundo e notamos que em alguns clientes, coincidentemente, que usam STX Lite 5 (MK 5.26) havia um trafego fantasma também, variando entre 1Mb e 3Mb, somente na Wireless (WLan), não chegando à Lan (ethernet).
Anexo 54983


Este "trafego fantasma" consome banda, causando uma lentidão enorme na rede, visto que, alem dos mikrotik´s, ele passa pelos Nano Bridge que fazem o link (p2p) até o AP.

Não notamos tal trafego em clientes que utilizam equipamentos diverso do STX.

Realizamos um teste simples, colocando um dos clientes com "trafego fantasma" conectado em um AP Nano Station 5; constatamos que, desta forma, tal trafego cessou.

Analisados até onde ia nossos (parcos) conhecimentos, ser resultar.

Perguntamos: algum dos senhores já viu algo semelhante?

Comentários, sugestões, e, principalmente, soluções, são bem vindas.

Amigo da export nas conf. e posta aqui, pra gente poder analisar.

Nada de fantasma, De um Torch Aew que você pega Cpf/Rg e endereço do cabrito.
Se você observa os que os Baidu da vida faz sem demonstrar nada, vai ficar surpreso...

Citação:

---

Postado originalmente por jodrix

Amigo da export nas conf. e posta aqui, pra gente poder analisar.

---

de qual? do AP ou do Cliente?

Citação:

---

Postado originalmente por stevefox

Nada de fantasma, De um Torch Aew que você pega Cpf/Rg e endereço do cabrito.
Se você observa os que os Baidu da vida faz sem demonstrar nada, vai ficar surpreso...

---

O que, exatamente, deveria procurar?

Abre o Torch e você vera em detalhes (ip) o trafego (Fantasma) na interface, assim da pra saber se vem de sua rede Local ou da Internet...
Tire uma foto no momento que ocorre isso com o torch aberto que analiso pra ti.

Anexo 54986

Aqui está um print do Torch no AP.

O IP 10.40.40.10 sou eu.

Outra informação é que tal trafego não aparece no Queue no Ap e nem no servidor.

Então amigo esse trafego deve ta vindo de sua própria rede, talvez um cliente fazendo rede com o outro, sua rede é uma bridge... Todos falam com todos.
Se for trafego da INTRANET (Cliente falando com Cliente) não vai ser exibido no Queues.
Ja te ensinei a ferramenta, basta usar e interpretar na hora certa, como no momento que mando a foto dos 3Mb e so da torch e ver de onde ta vindo esses 3Mb, se de um ip local ou externo, Leia um pouco sobre BROADCAST.
Espero que tenha compreendido.

Citação:

---

Postado originalmente por stevefox

Então amigo esse trafego deve ta vindo de sua própria rede, talvez um cliente fazendo rede com o outro, sua rede é uma bridge... Todos falam com todos.
Se for trafego da INTRANET (Cliente falando com Cliente) não vai ser exibido no Queues.
Ja te ensinei a ferramenta, basta usar e interpretar na hora certa, como no momento que mando a foto dos 3Mb e so da torch e ver de onde ta vindo esses 3Mb, se de um ip local ou externo, Leia um pouco sobre BROADCAST.
Espero que tenha compreendido.

---

Grato, mas já usei o Torch exatamente na hora do trafego "fantasma" e não apareceu nenhum IP com trafego alto, mostrou a mesma coisa que na imagem acima. Farei outro e postarei novamente.

Pensei no caso do cliente estar usando a INTRANET para fazer um ponto a ponto com outro cliente, mas nesses 3 clientes onde aparecem o trafego na Wlan, apenas o rádio estava ligado, o computador estava desligado, tanto que não tem trafego na LAN dele, como pode ver.

Existe alguma regra que possa implementar no AP-MK para impedir que todos falem com todos?

Citação:

---

Postado originalmente por gfqsw

Anexo 54986

Aqui está um print do Torch no AP.

O IP 10.40.40.10 sou eu.

Outra informação é que tal trafego não aparece no Queue no Ap e nem no servidor.

---

Ola amigo, você deu um touch na bridge1 é na interface onde está o tráfego wlan1 e na Ethernet. att

Bom Dia Amigão,
eu já tive esse problema, mas o meu foi com um ptp usando sxt ele gerava um trafego fantasma entre as sxt de até 10Mb, aqui eu resolvi atualizando a versão do MK das SXT!
entra no site da http://www.mikrotik.com/download e baixa a versão mais recente pra sua RB e testa pra ver se paro!
Espero ter ajudado!

Sim, só tem essa bridge na RB.

Hoje estou sem o dito tráfego, mas atento para quando aparecer novamente, fazer novos prints e postar aqui.

Pode ser consumo de por portas de serviço veja se ajuda o video abaixo.
https://www.youtube.com/watch?v=sszEFTmLnFg

Já fiz isso, ambos estão com a versão 5.26.

Acabei de fazer os novos prints com o trafego.

Notem que no Queue não informa ele e nem na Bridge., apenas na RX da Lan, TX da WLan.

Anexo 54996

Anexo 54997
Anexo 54998

Pergunta, tal trafego não teria de aparecer na linha do IP no TX rate e RX Rate no Torch? Notem que fica tudo praticamente zerado.

Os 3 IPs de clientes que identifiquei que tem tal trafego são 10.0.0.133, 10.40.40.66 e 10.40.40.79. Nele o trafego fica alto na Wlan mesmo sem o computador ligado.

Organiza o Torch por Tx/Rx Rate pra podemos ver no Torch qual maior trafego...

Tente filtrar torch por porta e mande aqui novamente, aparentemente possa ser alguma porta de serviço.

Senhores, como solicitado seguem imagens.

Caso não forem essas as imagens exatas que precisam, por gentileza, queiram detalhar a forma que devo configurar o Torch para que consida os dados necessários.

Já estou entrando em desespero, tenho viagem marcada para daqui 10 dias e por minha incompetência não consigo resolver esse problema.


Anexo 55015

Anexo 55016

Alguma ideia??:dong:

Então se o trafego for na Intranet, Não vai aparecer, exemplo um cliente ta compartilhando arquivos com outro via lan (wifi ou cabo) esse trafego não cai no torch mais é exibido na interface wireless dos dois...
Se quer isolar os clientes use ppoe neles, você pode trabalhar com PPOE/IpxMax/Hotspot ao mesmo tempo.
Todas outras soluções são mais dramáticas.
Tente o que falei, vai funcionar e viaje tranquilo.

Citação:

---

Postado originalmente por stevefox

Então se o trafego for na Intranet, Não vai aparecer, exemplo um cliente ta compartilhando arquivos com outro via lan (wifi ou cabo) esse trafego não cai no torch mais é exibido na interface wireless dos dois...
Se quer isolar os clientes use ppoe neles, você pode trabalhar com PPOE/IpxMax/Hotspot ao mesmo tempo.
Todas outras soluções são mais dramáticas.
Tente o que falei, vai funcionar e viaje tranquilo.

---

Certo, mas eu sei só o cliente onde aparece o trafego entrando na WLan dele, não sei de onde parte esse trafego.
Poderia ser mais detalhado, por gentileza? Reconheço que meus conhecimentos são limitados quanto a isso.

Obrigado.

Coisa boba, mas vai que...
Já bloqueou netbios pra testar?

chain=forward mac-protocol=ip dst-port=455 ip-protocol=tcp action=drop
chain=forward mac-protocol=ip dst-port=135-139 ip-protocol=tcp action=drop
chain=forward mac-protocol=ip dst-port=135-139 ip-protocol=udp action=drop

E a famosa lista de "vírus" (Que é só uma lista de portas a bloquear)? Dá uma procurada no under sobre bloquear virus mikrotik ou algo assim, tem muitas listas, são muitas portas (A maioria é de malware fora de moda, mas geralmente são portas que os clientes não usam mesmo, tipo 42689...)

Já ví pc com tanto adware que transformava switch CISCO CATALIST 12p em carroça! O PC gerava trafego pra tudo que é lado, e onde entra 1 adware sempre entram outros (Usuario confia em coisa tipo Avast), pegam ip's e mac's e então começam a floodar a rede com lixo ou escaneando/sniffando sei lá o que, mas enfim, PC causar lentidão em rede só de ser plugado na rede já ví muito. Aí pelo visto esse lixo está ficando sem resposta na bridge, já que só tem valor alto no RX (Só chega).

Caro Rubens, tais regras já existem em todas as RBs aqui.

Infelizmente, até o momento, não consegui chegar a conclusão alguma, apenas que existem mais clientes do que eu imaginava com esse fuxo entrando pela WLan e não saindo pela Lan do rádio dele.

Citação:

---

Postado originalmente por stevefox

Então se o trafego for na Intranet, Não vai aparecer, exemplo um cliente ta compartilhando arquivos com outro via lan (wifi ou cabo) esse trafego não cai no torch mais é exibido na interface wireless dos dois...
Se quer isolar os clientes use ppoe neles, você pode trabalhar com PPOE/IpxMax/Hotspot ao mesmo tempo.
Todas outras soluções são mais dramáticas.
Tente o que falei, vai funcionar e viaje tranquilo.

---

Stevefox, sua ideia talvez funcione sim, mais instalar um servidor PPPOE e passar mais de 700 clientes em coisa de uma semana seria impossível.

Poxa 700 Clientes né um Hotspot sem vlan sem nada ?
Me desculpe Corajoso em , Ne uma semana é impossível mesmo.

Citação:

---

Postado originalmente por stevefox

Poxa 700 Clientes né um Hotspot sem vlan sem nada ?
Me desculpe Corajoso em , Ne uma semana é impossível mesmo.

---

Pois é, a coisa deu uma crescida rápida nos últimos meses e por falta de orientação profissional acabamos não percebendo o risco.
Assim que voltar de viagem o projeto é dar início a uma reestruturação da rede, mas primeiro vou ter de encontrar um profissional que seja responsável para isso. Já tivemos diversos que na hora que mais se precisava deles, estavam viajando, em outro cliente, doentes, no churrasco ou sem comunicação. Isso nos fez desacreditar um pouco nesse tipo de assessoria remota.

Poderia ate te ajuda mais, porém me falta tempo, já trabalho pra dois provedores aqui (Parte técnica) e ainda resta o meu pra toma conta...
Mais provedor desse nível (Perto de 1K), tem que ter um consulto disponível 24 horas, Nem que seja a distancia.
Abre um tópico aqui no fórum, tem muita gente habilidosa e profissional pra isso.
Seu maior problema na rede seria esse ? ou tem outros...

Citação:

---

Postado originalmente por stevefox

Poderia ate te ajuda mais, porém me falta tempo, já trabalho pra dois provedores aqui (Parte técnica) e ainda resta o meu pra toma conta...
Mais provedor desse nível (Perto de 1K), tem que ter um consulto disponível 24 horas, Nem que seja a distancia.
Abre um tópico aqui no fórum, tem muita gente habilidosa e profissional pra isso.
Seu maior problema na rede seria esse ? ou tem outros...

---

No que vejo de imediato seria apenas este. Como ja disse, sei que preciso reestruturar. Rotear a rede, passar para PPPOE, talvez implementar um cash. A rede em si esta funcionando bem, os P2P estão rendendo bem, tanto que notei esse problema por acaso mesmo, não por alguma deficiência. Mas sei que pode ficar melhor, mais segura. Quando começamos, ninguém sabia nada, começamos com uma LP de 512k e fomos progredindo na raça mesmo.

Existe um negocio chamado contrato que resolver muitos dos problemas por parte do provedor e por parte do técnico responsável, agora a pergunta alguém faz ?
Muitos terá problemas caso não faça tudo dentro da lei, caso tenha prejuízo por algum técnico não resolver seu problema sera responsabilizado e caso provedor não cumpra com a parte dele o sera responsabilizado também.

Citação:

---

Postado originalmente por deson00

Existe um negocio chamado contrato que resolver muitos dos problemas por parte do provedor e por parte do técnico responsável, agora a pergunta alguém faz ?
Muitos terá problemas caso não faça tudo dentro da lei, caso tenha prejuízo por algum técnico não resolver seu problema sera responsabilizado e caso provedor não cumpra com a parte dele o sera responsabilizado também.

---

Caro deson00, executar a parte que descumpriu um contrato firmado em cartório é simples, o problema é que o provedor pode ficar parado até dias e isso não existe indenização que pague, mesmo porque dificilmente o infrator terá posses o suficiente para quitar a ação.

O que se discute neste off-topc não é de quem seria a culpa ou responsabilidade. É o tempo que o provedor fica parado por irresponsabilidade do contratado, onde o maior prejudicado é o cliente.

Citação:

---

Postado originalmente por gfqsw

Caro deson00, executar a parte que descumpriu um contrato firmado em cartório é simples, o problema é que o provedor pode ficar parado até dias e isso não existe indenização que pague, mesmo porque dificilmente o infrator terá posses o suficiente para quitar a ação.

O que se discute neste off-topc não é de quem seria a culpa ou responsabilidade. É o tempo que o provedor fica parado por irresponsabilidade do contratado, onde o maior prejudicado é o cliente.

---

Realmente acho que me equivoquei desculpe.

Problema não solucionado.

Faz um torch por porta e lista por up e down.

Ola amigos, tambem estou com mesmo problema com alguns clientes usando sxt, autenticando pppoe, o trafego fica alto no pppoe-out e na wlan, mesmo que o cabo da ether1 esteja desligado, agradeço se alguem puder contribuir

Manda print do torch por porta.

Quando o problema começar, pingue o IP 10.250.250.154 (é pra esse que a tua routerboard tá enviando, né?). Se ele responder, e já que a sua rede está toda em bridge, abra o prompt de comando e digite "nslookup 10.250.250.154" e cole aqui o que retornou.

Verifique se as configuracoes do servidor NTP estao desativadas, e tambem se tem alguma conexao pppoe, conexoes pppoe tem encapsulamento diferente e nao mostra trafego dentro da interface local com torch, nao me recordo agora mas creio que esse tipo de conexao cria uma interface virtual, com isso o torch so funciona na mesma.

Parece que resolveu o problema aqui, o torch mostrando as portas, tava com muitas requisições na porta 53, fiz uma regra bloqueando acesso externo ao dns e pronto, segue regra:
chain=input action=drop protocol=udp in-interface=ether1 dst-port=53