Permalänk
Medlem

Edgerouter Lite - martian source?

Tjenare.
Införskaffade en Edgerouter Lite i helgen.
Uppdaterade den till 1.9.0 och körde Wizarden för 1Wan 2Lan.
Så det blev
Eth0 - 81.186.244.xxx/24 - Wan med mitt IP
Eth1 - 192.168.1.1/24 - Lan
Eth2 - 192.168.2.1/24 - Wifi

Men igår tappade jag anslutningen till alla mina enheter i ca 1min, så jag hoppade in i routern och kollade loggen.
Då ser jag att det pumpas ut följande meddelande konstant.

Oct 25 05:56:12 ubnt kernel: ll header: 00000000: ff ff ff ff ff ff 0c 96 bf 85 98 c6 08 06 .............. Oct 25 05:56:12 ubnt kernel: IPv4: martian source 81.186.244.166 from 192.168.1.1, on dev eth0 Oct 25 05:56:12 ubnt kernel: ll header: 00000000: ff ff ff ff ff ff 1c 8e 5c 61 15 fa 08 06 ........\a.... Oct 25 05:56:12 ubnt kernel: IPv4: martian source 81.186.244.166 from 192.168.1.1, on dev eth0 Oct 25 05:56:12 ubnt kernel: net_ratelimit: 9 callbacks suppressed Oct 25 05:55:35 ubnt kernel: ll header: 00000000: ff ff ff ff ff ff 1c 8e 5c 61 15 fa 08 06 ........\a.... Oct 25 05:55:35 ubnt kernel: IPv4: martian source 81.186.244.42 from 192.168.1.1, on dev eth0 Oct 25 05:55:35 ubnt kernel: ll header: 00000000: ff ff ff ff ff ff 1c 8e 5c 61 15 fa 08 06 ........\a.... Oct 25 05:55:35 ubnt kernel: IPv4: martian source 81.186.244.70 from 192.168.1.1, on dev eth0 Oct 25 05:55:35 ubnt kernel: ll header: 00000000: ff ff ff ff ff ff 1c 8e 5c 61 15 fa 08 06 ........\a.... Oct 25 05:55:35 ubnt kernel: IPv4: martian source 81.186.244.219 from 192.168.1.1, on dev eth0 Oct 25 05:55:35 ubnt kernel: ll header: 00000000: ff ff ff ff ff ff 1c 8e 5c 61 15 fa 08 06 ........\a.... Oct 25 05:55:35 ubnt kernel: IPv4: martian source 89.236.39.60 from 192.168.1.1, on dev eth0 Oct 25 05:55:35 ubnt kernel: ll header: 00000000: ff ff ff ff ff ff 1c 8e 5c 61 15 fa 08 06 ........\a.... Oct 25 05:55:35 ubnt kernel: IPv4: martian source 81.186.244.65 from 192.168.1.1, on dev eth0

Jag tror inte att detta är anledningen till att jag tappade nätet, eftersom meddelande verkligen kommer konstant.
Vad kan jag göra för att rätta till detta?
Känns "Fel" att bara ta bort loggningen som internet rekommenderar om det nu kan orsaka fel.

Ingen av adresserna ovan är min IP, men ser ut att va i samma serie som min IP dock.

Permalänk
Medlem

Detta innebär att ditt wan interface i detta fallet får packet från ej publica addresser utifrån. Det står en public ip men detta är förmodligen för att paketen är modifierade eller har en ogiltigt mål dvs en privataddress.
Kan även vara Broadcast / DHCP requests från andra i ditt publica subnät.
https://en.wikipedia.org/wiki/Martian_packet

kör log-martians disable och se till att dina brandväggs regler är som de bör.

Permalänk
Medlem

@Palme_570:

Hmm okej..
Antar att jag får lägga upp en regel då som "Blockar" trafiken.
Men eftersom det ligger inom samma span som mitt eget IP så kan det bli lite klurigt.
Lite osäker på hur jag ska göra det.. sitter remote uppkopplad mot servern hemma, man vill ju inte råka döda hela nätet.

Permalänk
Medlem

Sitter du på kabelanslutning tex comhem eller dyl?
Inte helt ovanligt att andra på samma subnät sitter med felkonfigurerade lådor som skickar broadcast packets.

Precis som Palme_570 skriver.

innan du kör log-martians disable så kontrollera att du inte råkat få en loop i ditt nät.

Permalänk
Medlem

@Redtooth:
Sitter med Kabelanslutning från väggen.

Har så pass litet nätverk så loop har jag nog inte.
Har enbart en Switch på Eth1 & AP på Eth2.

Men om det inte finns mer att göra än att stänga av loggen i så fall.

Permalänk
Medlem

@h3l1m4n:

Okey, din AP skickar inte broadcast paket då?
Annars är det nog inget mer du kan påverka

Permalänk
Medlem

@Redtooth:
Om jag kollar up Mac adressens vendor( 0c 96 bf 85 98 c6 08 06) så ser det ut att vara en HUAWEI.
Min AP är en Unifi så det är ju inte den då.

Verkar ju vara ISP utrustning antar jag då jag inte äger något med HUAWEI Nätverkskort.

Permalänk
Medlem

Låter nog att det inte är just Huawei, men kanske det är chipset som kommit därifrån som man har lött in i kretsen. Enklast är att kolla vilken/a enheter som har den mac adressen. Och prova koppla bort den tillfälligt och se om det löser ditt problem i loggarna.

Permalänk
Medlem

@DragonII:
Kollade precis i DHCPn, inga enheter hemma hos mig har den Mac adressen och jag saknar inte någon i listan i heller.
Måste komma ute ifrån.

Permalänk
Medlem

Gjorde en Pack loggning i router.
Fick följande resultat.

09:38:45.656438 ARP, Request who-has h59ec27b8.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.664054 Loopback, skipCount 0, invalid (256) 09:38:45.673004 ARP, Request who-has h59ec2775.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.693189 ARP, Request who-has 169.254.227.24 tell 192.168.1.1, length 46 09:38:45.712969 ARP, Request who-has h59ec2752.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.728598 ARP, Request who-has h59ec2722.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:45.733243 ARP, Request who-has h59ec27ba.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.748618 ARP, Request who-has h59ec27d1.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:45.753895 ARP, Request who-has h59ec279a.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.754837 ARP, Request who-has h59ec274e.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:45.772957 ARP, Request who-has h59ec27af.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.795048 ARP, Request who-has h51baf493.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.812359 ARP, Request who-has h51baf473.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:45.867195 ARP, Request who-has h59ec27e4.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:45.872410 IP h59ec27e7.sehjjak.dyn.perspektivbredband.net.3389 > h-213-80-115-178.na.cust.bahnhof.se.50769: UDP, length 491 09:38:46.003147 ARP, Request who-has h51baf44f.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.220803 ARP, Request who-has h51baf44f.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.221167 ARP, Request who-has h51baf459.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.221642 ARP, Request who-has h59ec2740.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.221753 ARP, Request who-has h59ec274d.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.222336 ARP, Request who-has h59ec2772.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.222804 ARP, Request who-has h59ec27b0.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.222954 ARP, Request who-has h51baf447.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223070 ARP, Request who-has h59ec27ed.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223180 ARP, Request who-has h51baf442.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223289 ARP, Request who-has h51baf4da.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223517 ARP, Request who-has h59ec276b.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223870 ARP, Request who-has h59ec2765.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223981 ARP, Request who-has h51baf409.sehjjak.sta.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.224094 ARP, Request who-has h51baf471.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.226074 ARP, Request who-has h59ec27e4.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.227198 ARP, Request who-has h51baf4ec.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.227428 ARP, Request who-has h59ec27cb.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.227655 ARP, Request who-has h51baf49b.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.227998 ARP, Request who-has 192.168.1.1 tell h51baf466.sehjjak.dyn.perspektivbredband.net, length 46 09:38:46.228762 ARP, Request who-has h51baf473.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.230924 ARP, Request who-has h59ec2766.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.231748 ARP, Request who-has h59ec274e.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.233507 ARP, Request who-has h59ec27d1.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.233901 ARP, Request who-has h51baf406.sehjjak.sta.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234119 ARP, Request who-has h59ec2798.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234229 ARP, Request who-has h51baf45f.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234340 ARP, Request who-has h59ec272a.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234451 ARP, Request who-has h51baf438.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234632 ARP, Request who-has h51baf433.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234704 ARP, Request who-has h51baf4ed.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234797 ARP, Request who-has h51baf4f1.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234888 ARP, Request who-has h51baf47c.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234998 ARP, Request who-has h51baf428.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.235112 ARP, Request who-has h59ec273d.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46

Ser ju ut som att det e min router som spammar ISPn?

Permalänk
Medlem
Skrivet av h3l1m4n:

Gjorde en Pack loggning i router.
Fick följande resultat.

09:38:45.656438 ARP, Request who-has h59ec27b8.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.664054 Loopback, skipCount 0, invalid (256) 09:38:45.673004 ARP, Request who-has h59ec2775.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.693189 ARP, Request who-has 169.254.227.24 tell 192.168.1.1, length 46 09:38:45.712969 ARP, Request who-has h59ec2752.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.728598 ARP, Request who-has h59ec2722.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:45.733243 ARP, Request who-has h59ec27ba.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.748618 ARP, Request who-has h59ec27d1.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:45.753895 ARP, Request who-has h59ec279a.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.754837 ARP, Request who-has h59ec274e.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:45.772957 ARP, Request who-has h59ec27af.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.795048 ARP, Request who-has h51baf493.sehjjak.dyn.perspektivbredband.net tell 192.168.1.1, length 46 09:38:45.812359 ARP, Request who-has h51baf473.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:45.867195 ARP, Request who-has h59ec27e4.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:45.872410 IP h59ec27e7.sehjjak.dyn.perspektivbredband.net.3389 > h-213-80-115-178.na.cust.bahnhof.se.50769: UDP, length 491 09:38:46.003147 ARP, Request who-has h51baf44f.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.220803 ARP, Request who-has h51baf44f.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.221167 ARP, Request who-has h51baf459.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.221642 ARP, Request who-has h59ec2740.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.221753 ARP, Request who-has h59ec274d.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.222336 ARP, Request who-has h59ec2772.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.222804 ARP, Request who-has h59ec27b0.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.222954 ARP, Request who-has h51baf447.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223070 ARP, Request who-has h59ec27ed.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223180 ARP, Request who-has h51baf442.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223289 ARP, Request who-has h51baf4da.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223517 ARP, Request who-has h59ec276b.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223870 ARP, Request who-has h59ec2765.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.223981 ARP, Request who-has h51baf409.sehjjak.sta.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.224094 ARP, Request who-has h51baf471.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.226074 ARP, Request who-has h59ec27e4.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.227198 ARP, Request who-has h51baf4ec.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.227428 ARP, Request who-has h59ec27cb.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.227655 ARP, Request who-has h51baf49b.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.227998 ARP, Request who-has 192.168.1.1 tell h51baf466.sehjjak.dyn.perspektivbredband.net, length 46 09:38:46.228762 ARP, Request who-has h51baf473.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.230924 ARP, Request who-has h59ec2766.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.231748 ARP, Request who-has h59ec274e.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.233507 ARP, Request who-has h59ec27d1.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.233901 ARP, Request who-has h51baf406.sehjjak.sta.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234119 ARP, Request who-has h59ec2798.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234229 ARP, Request who-has h51baf45f.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234340 ARP, Request who-has h59ec272a.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234451 ARP, Request who-has h51baf438.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234632 ARP, Request who-has h51baf433.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234704 ARP, Request who-has h51baf4ed.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234797 ARP, Request who-has h51baf4f1.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234888 ARP, Request who-has h51baf47c.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.234998 ARP, Request who-has h51baf428.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46 09:38:46.235112 ARP, Request who-has h59ec273d.sehjjak.dyn.perspektivbredband.net tell ve5.sehjjakdr00.perspektivbredband.net, length 46

Ser ju ut som att det e min router som spammar ISPn?

Jag tycker det ser ut som om din ISP's router som skickar ut ARP.

Det verkar som om din ISP sprider broadcast till samtliga kunder och det är även därför du ser en massa dhcp-paket. De har gjort en fullösning.

Permalänk
Medlem

@madtop:

Då förstår jag.
Stänger av loggen för dessa packet då, så slipper den ligga o slita i onödan.

Tackar alla för hjälpen.