logo elektroda
logo elektroda
X
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Mikrotik: ruch z prywatnego IP na publiczny adres WAN – jak to możliwe?

qbadm 08 Maj 2025 20:38 447 6
REKLAMA
  • #1 21543443
    qbadm
    Poziom 19  
    Posty: 575
    Pomógł: 1
    Ocena: 18
    Prywatne IP puka do mojego Mikrotika, widze to w logach gdyż jedna z rul RAW blokuje takie próby - pytanie jednak moje jest takie - jak IP z podsieci prywatnej może dobijać się do publicznego IP od strony WAN? Ktoś może jak krowie na rowie?

    Wyciąg z logów Mikrotika pokazujący zablokowane próby połączeń ICMP z prywatnego adresu IP 10.20.0.10 przez interfejs WAN.

    Dodano po 2 [godziny] 32 [minuty]:

    Edit: zrobiłem test. Wyłączyłem rule RAW i okazuje się, ze mogę pingować IP z puli prywatnej mojego ISP. Jedna z ruli RAW blokuje tak naprawdę odpowiedzi ICMP na pingi z mojego Mikrotika, pozostaje mi ustalić jakie IP z mojej sieci pinguje ten adres 10.20.0.10. Myślicie, że warto zgłosić to ISP, ze mogę sobie pingować adresy z jego prywatnej puli mając publiczny IP? To tak chyba nie powinno działać i ISP powinien separować obie sieci?
  • REKLAMA
  • #2 21543682
    netTv
    Poziom 32  
    Posty: 1462
    Pomógł: 193
    Ocena: 579
    Pokaż tę regułę.
  • REKLAMA
  • #3 21543927
    m.jastrzebski
    Specjalista Sieci, Internet
    Posty: 5246
    Pomógł: 679
    Ocena: 864
    qbadm napisał:
    Prywatne IP puka do mojego Mikrotika, widze to w logach gdyż jedna z rul RAW blokuje takie próby - pytanie jednak moje jest takie - jak IP z podsieci prywatnej może dobijać się do publicznego IP od strony WAN? Ktoś może jak krowie na rowie?

    Wyciąg z logów Mikrotika pokazujący zablokowane próby połączeń ICMP z prywatnego adresu IP 10.20.0.10 przez interfejs WAN.

    Dodano po 2 [godziny] 32 [minuty]:

    Edit: zrobiłem test. Wyłączyłem rule RAW i okazuje się, ze mogę pingować IP z puli prywatnej mojego ISP. Jedna z ruli RAW blokuje tak naprawdę odpowiedzi ICMP na pingi z mojego Mikrotika, pozostaje mi ustalić jakie IP z mojej sieci pinguje ten adres 10.20.0.10. Myślicie, że warto zgłosić to ISP, ze mogę sobie pingować adresy z jego prywatnej puli mając publiczny IP? To tak chyba nie powinno działać i ISP powinien separować obie sieci?

    A masz na tym WANie faktycznie publiczny adres? Lata temu byłem klientem jednego lokalnego druciarza to publiczne IP dawał robiąć NAT 1:1 ze swojego brzegowego router na CPE u mnie. Interfejs miał więc adres prywatny i mogłem pingować innych klientów w sieci lokalnej.
  • REKLAMA
  • #4 21544221
    qbadm
    Poziom 19  
    Posty: 575
    Pomógł: 1
    Ocena: 18
    m.jastrzebski napisał:
    A masz na tym WANie faktycznie publiczny adres?


    Tak, na interfejsie mam publiczne IP, korzystam zresztą z serwera ipsec na mikrotiku, bez publicznego było by słabo :)
  • #5 21544281
    IC_Current
    Specjalista Sieci, Internet
    Posty: 9144
    Pomógł: 1499
    Ocena: 2511
    To normalna sprawa. Segment L2 a adresacja L3 to dwie rozłączne kwestie. Na jednym segmencie L2 można stworzyć wiele sieci L3.
    Dodatkowa adresacja może przykładowo być dla klientów nie korzystających z adresów publicznych
    lub zarządzania (choć tu już raczej bywa oddzielny vlan)
    qbadm napisał:
    Myślicie, że warto zgłosić to ISP, ze mogę sobie pingować adresy z jego prywatnej puli mając publiczny IP

    Ping jak ping. Pokaż traceroute. Sprawdź tablicę MAC, czy czasem brama do tej sieci 10.xxx to nie jest też Twoja brama domyślna. Potem znajdź bramę domyślną, jaka jest w sieci 10.xx. Porównaj MAC i pokaz co Ci wyszło.
    Pomogłem? Kup mi kawę.
  • REKLAMA
  • #6 21544706
    qbadm
    Poziom 19  
    Posty: 575
    Pomógł: 1
    Ocena: 18
    IC_Current napisał:
    Sprawdź tablicę MAC, czy czasem brama do tej sieci 10.xxx to nie jest też Twoja brama domyślna. Potem znajdź bramę domyślną, jaka jest w sieci 10.xx. Porównaj MAC i pokaz co Ci wyszło.


    Spróbuję
  • #7 21545181
    qbadm
    Poziom 19  
    Posty: 575
    Pomógł: 1
    Ocena: 18
    netTv napisał:
    Pokaż tę regułę.


    Reguła jest prosta:
    /ip firewall raw add action=drop chain=prerouting comment="drop private IP from WAN" in-interface-list=WAN log=no src-address-list=not_global_ipv4

Podsumowanie tematu

✨ W dyskusji poruszono problem pojawiania się ruchu z prywatnych adresów IP na publicznym interfejsie WAN routera Mikrotik. Użytkownik zauważył w logach próby połączeń z prywatnych adresów IP, które blokuje reguła RAW w firewallu Mikrotika. Testy wykazały, że po wyłączeniu tej reguły możliwe jest pingowanie adresów z prywatnej puli ISP z publicznego IP. Sugeruje to, że ISP nie separuje odpowiednio sieci prywatnej i publicznej, co może być nieprawidłowe. Jeden z uczestników wyjaśnił, że na jednym segmencie warstwy 2 (L2) może funkcjonować wiele sieci warstwy 3 (L3), co tłumaczy obecność prywatnych adresów w ruchu WAN. Zaproponowano analizę trasowania (traceroute) i tablicy MAC, aby zweryfikować, czy brama do sieci 10.x jest również bramą domyślną użytkownika. Podano przykładową regułę RAW blokującą ruch z prywatnych adresów na interfejsie WAN: /ip firewall raw add action=drop chain=prerouting comment="drop private IP from WAN" in-interface-list=WAN log=no src-address-list=not_global_ipv4. Użytkownik potwierdził, że na interfejsie WAN posiada publiczny adres IP, co jest konieczne do działania serwera IPsec na Mikrotiku.
Wygenerowane przez model językowy.
REKLAMA