1

Temat: OpenWRT identyfikuje się na WAN poprzez dwa adresy MAC

Cześć,

Otóż mam problem mój ISP twierdzi, że OpenWRT identyfikuje mu się jako dwa adresy MAC.
Jeden adres MAC to adres MAC karty LAN drugi to karty WAN.
Nie mogę dojść do tego dlaczego adres MAC karty LAN jest wysyłany, według mnie wszystko co za WAN (po stronie LAN) powinno być ukryte. Przez ten problem muszę ręcznie za każdym razem po uruchomieniu modemu uzyskiwać na nowo konfigurację DHCP od ISP.
Ma ktoś jakiś pomysł dlaczego router rozsyła dwa adresy MAC do ISP? Jak to zablokować?
ISP to sieć kablowa.

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         91.225.186.1    0.0.0.0         UG    0      0        0 eth0
91.225.186.0    0.0.0.0         255.255.254.0   U     0      0        0 eth0
91.225.186.1    0.0.0.0         255.255.255.255 UH    0      0        0 eth0
192.168.188.0   0.0.0.0         255.255.255.0   U     0      0        0 br-lan
config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fdb9:4764:e2e8::/48'

config interface 'lan'
        option ifname 'eth1'
        option force_link '1'
        option type 'bridge'
        option proto 'static'
        option netmask '255.255.255.0'
        option ip6assign '60'
        option ipaddr '192.168.188.13'

config interface 'wan'
        option ifname 'eth0'
        option proto 'dhcp'

config interface 'wan6'
        option ifname 'eth0'
        option proto 'dhcpv6'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option ports '0 1 2 3 4'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '5 6'
config defaults
        option syn_flood        1
        option input            ACCEPT
        option output           ACCEPT
        option forward          REJECT
# Uncomment this line to disable ipv6 rules
#       option disable_ipv6     1

config zone
        option name             lan
        list   network          'lan'
        option input            ACCEPT
        option output           ACCEPT
        option forward          ACCEPT

config zone
        option name             wan
        list   network          'wan'
        list   network          'wan6'
        option input            REJECT
        option output           ACCEPT
        option forward          REJECT
        option masq             1
        option mtu_fix          1

config forwarding
        option src              lan
        option dest             wan

# We need to accept udp packets on port 68,
# see https://dev.openwrt.org/ticket/4108
config rule
        option name             Allow-DHCP-Renew
        option src              wan
        option proto            udp
        option dest_port        68
        option target           ACCEPT
        option family           ipv4

# Allow IPv4 ping
config rule
        option name             Allow-Ping
        option src              wan
        option proto            icmp
        option icmp_type        echo-request
        option family           ipv4
        option target           ACCEPT

config rule
        option name             Allow-IGMP
        option src              wan
        option proto            igmp
        option family           ipv4
        option target           ACCEPT

# Allow DHCPv6 replies
# see https://dev.openwrt.org/ticket/10381
config rule
        option name             Allow-DHCPv6
        option src              wan
        option proto            udp
        option src_ip           fe80::/10
        option src_port         547
        option dest_ip          fe80::/10
        option dest_port        546
        option family           ipv6
        option target           ACCEPT

config rule
        option name             Allow-MLD
        option src              wan
        option proto            icmp
        option src_ip           fe80::/10
        list icmp_type          '130/0'
        list icmp_type          '131/0'
        list icmp_type          '132/0'
        list icmp_type          '143/0'
        option family           ipv6
        option target           ACCEPT

# Allow essential incoming IPv6 ICMP traffic
config rule
        option name             Allow-ICMPv6-Input
        option src              wan
        option proto    icmp
        list icmp_type          echo-request
        list icmp_type          echo-reply
        list icmp_type          destination-unreachable
        list icmp_type          packet-too-big
        list icmp_type          time-exceeded
        list icmp_type          bad-header
        list icmp_type          unknown-header-type
        list icmp_type          router-solicitation
        list icmp_type          neighbour-solicitation
        list icmp_type          router-advertisement
        list icmp_type          neighbour-advertisement
        option limit            1000/sec
        option family           ipv6
        option target           ACCEPT

# Allow essential forwarded IPv6 ICMP traffic
config rule
        option name             Allow-ICMPv6-Forward
        option src              wan
        option dest             *
        option proto            icmp
        list icmp_type          echo-request
        list icmp_type          echo-reply
        list icmp_type          destination-unreachable
        list icmp_type          packet-too-big
        list icmp_type          time-exceeded
        list icmp_type          bad-header
        list icmp_type          unknown-header-type
        option limit            1000/sec
        option family           ipv6
        option target           ACCEPT

# include a file with users custom iptables rules
config include
        option path /etc/firewall.user

# allow IPsec/ESP and ISAKMP passthrough
config rule
        option src              wan
        option dest             lan
        option proto            esp
        option target           ACCEPT

config rule
        option src              wan
        option dest             lan
        option dest_port        500
        option proto            udp
        option target           ACCEPT

Dziękuję za pomoc :)

2

Odp: OpenWRT identyfikuje się na WAN poprzez dwa adresy MAC

klys4 napisał/a:

[...]ISP to sieć kablowa.[...]

A router to...?
A wersja OpenWrt to...?

klys4 napisał/a:

Otóż mam problem mój ISP twierdzi, że OpenWRT identyfikuje mu się jako dwa adresy MAC.
Jeden adres MAC to adres MAC karty LAN drugi to karty WAN.
[...]
Ma ktoś jakiś pomysł dlaczego router rozsyła dwa adresy MAC do ISP? Jak to zablokować?
[...]

W routerze (no tak, nie wiemy jakim) masz switch, z którego część portów wydzielona jest jako LAN i jeden na WAN (ogólny przypadek). Samo urządzenie zazwyczaj ma jeden adres MAC, z którego potem generowane są pozostałe (np. dla LAN/WAN i WLAN), najczęściej przez dodanie lub odjęcie 1 (czyli możesz mieć adres MAC WAN xyz, a LAN xyz + 1 lub odwrotnie).

Skoro ISP coś twierdzi, to niech chociaż pochwali Ci się jakie adresy MAC widzi... przynajmniej będziesz wiedzieć, o które urządzenia się rozchodzi.

Jak bym miał strzelać, to obstawiam że dzieje się tak podczas restartu/uruchamiania routera, kiedy wbudowany w routerze switch nie jest skonfigurowany (VLAN) i pracuje jako zwykły/głupi przełącznik, przepuszczając pakiety z urządzeń podpiętych do gniazd LAN, w tym żądania DHCP, które następnie docierają do Twojego ISP.

3

Odp: OpenWRT identyfikuje się na WAN poprzez dwa adresy MAC

Router TP-Link TL-WRD1043ND Ver2.1
OpenWrt: Powered by LuCI for-15.05 branch (git-16.110.26779-c0ae328) / OpenWrt Chaos Calmer 15.05.1 r49294
Te dwa adresy MAC, które ISP widzi to jeden interfejsu LAN (routera) a drugi interfejsu WAN (routera).
I tak jak powiedziałeś adres MAC WAN jest o 1 większy od adresu MAC LAN.
VLAN mam tak samo skonfigurowany jak na schemacie tutaj:
https://wiki.openwrt.org/_detail/media/ … l-wr1043nd

4 (edytowany przez mar_w 2016-09-10 15:42:10)

Odp: OpenWRT identyfikuje się na WAN poprzez dwa adresy MAC

@klys4
Przeczytaj ten temat :       http://eko.one.pl/forum/viewtopic.php?id=10180
Na orig fw nie ma tych problemów

* WNDR 4300v2 * ||  * Xiaomi Miwifi Mini * || Netgear R6220 *
* DVBT2 - T230C *

5

Odp: OpenWRT identyfikuje się na WAN poprzez dwa adresy MAC

Powiem tak, miałem identyczny problem który występował zawsze po wyłączeniu zasilania przy routerze. Router Nexx WT3020 16 MB flash + Gargoyle PL 1.9.1.1 (55922fb) [we wczesniejszej wersji z LUCI też było to u mnie widoczne). Czego się spodziewać po zabawce za paręnaście dolarów. Możliwe po zmianie flasha zaczeło się to sypać.
Problem rozwiązałem softowo- szybka reguła w cronie żeby po restarcie ustawiłał MAC taki jaki chce i problem rozwiązany.

6

Odp: OpenWRT identyfikuje się na WAN poprzez dwa adresy MAC

Ja nigdy nie miałem takich problemów z moim byłym ISP i nawet nie wiedziałem, że ten MAC jest przepisywany ale skoro już się taki temat pojawił, to mam pytanie.

W pliku /etc/config/network są dwa bloki konfigurujące interfejs eth0 i eth1. Nie prościej dodać do konfiguracji tych interfejsów opcję macaddr i zamienić im adresy MAC, tak by na porcie WAN był ten co jest pakiecie failsafe? Przykładowo

config interface 'lan'
        option ifname 'eth1'
...
        option macaddr 'E8:94:F6:68:79:F1'

config interface 'wan'
        option ifname 'eth0'
...
        option macaddr 'E8:94:F6:68:79:F0'

W prawdzie teraz zarówno interfejs eth0 i eth1 mają taki sam MAC ale br-lan ma ten, który jest ustawiony wyżej w bloku LAN:

# ifconfig
br-lan    Link encap:Ethernet  HWaddr E8:94:F6:68:79:F1
...
eth0      Link encap:Ethernet  HWaddr E8:94:F6:68:79:F0
...
eth1      Link encap:Ethernet  HWaddr E8:94:F6:68:79:F0
...

Przeszkadza w czymś takie ustawienie? Sprawdziłem jak to wygląda na wiresharku podpinając się do portu WAN i:

http://i.imgur.com/Cv0PpUU.png

Jak widać, jest ten sam MAC wszędzie.

7 (edytowany przez xrace 2016-09-11 19:28:05)

Odp: OpenWRT identyfikuje się na WAN poprzez dwa adresy MAC

dopisanie do interfejsu adresu MAC nie pomagało dlatego zrobilem mały workaround. Ważne ze działa, a te 10 sekund wiecej na startupie (po restarcie prądowym) jest do przeżycia.