LINUX.ORG.RU
ФорумGeneral

Прошу помощи с разбором ситуации по настройки сети для Moloch.

 


0

1

Доброго времени суток, друзья. Решил развернуть Moloch в виртуальной машине для анализа трафика.

Сразу к делу.

1. У нас есть провайдер с BGP Community. Он подключен в первый порт Mikrotik 750r2 с последней версией RouteOS.

2. На Mikrotik настроен Mirror из первого порта в третий. Все остальные порты свитч.

3. Из второго порта Mikrotik выполнено подключение к шлюзу с Opnsense.

Из третьего порта Mikrotik выполнено подключение к машине, где установлен Proxmox 5.2, на этой машине располагается виртуалка с Moloch.

4. Настройки сети на proxmox 5.2 для eth0 (eth0 это наш mirror от Mikrotik)

https://i.imgur.com/VLqFCY4.jpg

Виртуальной машине с moloch адресуется vmbr2 и vmbr3.

В ip a виртуальной машины интерфейсы определяются так

https://i.imgur.com/YPsH9Le.jpg

Если я moloch'y присваиваю интерфейс ens18, то трафик прослушивается тот, который адресуется виртуальной машине от Opnsense. Если указать ens19, то трафик не поступает вообще (ens19 это Mirror).

Если же тот же Mirror подключить к Opnsense, то зеркалирование работает.

Как мне быть?

★★

Последнее исправление: BitSum (всего исправлений: 3)

Ответ на: комментарий от Deleted

Два бриджа адресованы виртуальной машине (vmb2 и vmb3). Но moloch должен прослушивать vmbr3 - захватывать с него трафик.

vmb3 это Mirror (eth0)

BitSum ★★
() автор топика
Последнее исправление: BitSum (всего исправлений: 2)
Ответ на: комментарий от Deleted

Приношу извинения, не успел отредактировать предыдущее сообщение:

Два бриджа адресованы виртуальной машине (vmbr2 и vmbr3). Но moloch должен прослушивать vmbr3 - захватывать с него трафик.

vmbr3 это Mirror (eth0). vmbr2 это Opnsense (eth1).

В ip а виртуальной машины vmbr2 отображается как ens18, а vmbr3 как ens19. Если в настройках молоха указать ens18, то всё ок - трафик от eth1 прослушивается. с ens19 соответственно нет

BitSum ★★
() автор топика
Последнее исправление: BitSum (всего исправлений: 1)
Ответ на: комментарий от Deleted 
cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto ens18
iface ens18 inet static
	address 192.168.1.104
	netmask 255.255.255.0
	network 192.168.1.0
	broadcast 192.168.1.255
	gateway 192.168.1.1
	# dns-* options are implemented by the resolvconf package, if installed
	dns-nameservers 195.132.11.34 195.132.11.21
BitSum ★★
() автор топика
Ответ на: комментарий от BitSum

Линк поднял добавив в /etc/network/interfaces и выполнив ребут виртуальной машины:

auto ens19
iface ens19 inet manual

ifconfig: 

ens18     Link encap:Ethernet  HWaddr 42:f0:eb:5a:90:ab  
          inet addr:192.168.1.104  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::40f0:ebff:fe5a:90ab/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4340 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2204 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1774283 (1.7 MB)  TX bytes:2055730 (2.0 MB)

ens19     Link encap:Ethernet  HWaddr 1a:e1:4b:53:a5:b4  
          inet6 addr: fe80::18e1:4bff:fe53:a5b4/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:318 errors:0 dropped:15 overruns:0 frame:0
          TX packets:2 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:19950 (19.9 KB)  TX bytes:168 (168.0 B)

ip a 

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: ens18: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 42:f0:eb:5a:90:ab brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.104/24 brd 192.168.1.255 scope global ens18
       valid_lft forever preferred_lft forever
    inet6 fe80::40f0:ebff:fe5a:90ab/64 scope link 
       valid_lft forever preferred_lft forever
3: ens19: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 1a:e1:4b:53:a5:b4 brd ff:ff:ff:ff:ff:ff
    inet6 fe80::18e1:4bff:fe53:a5b4/64 scope link tentative dadfailed 
       valid_lft forever preferred_lft forever

Но в молохе всё также тишина.

BitSum ★★
() автор топика
Последнее исправление: BitSum (всего исправлений: 1)
Ответ на: комментарий от Deleted

Короче говоря, если провода сунуть в сетевухи сервера наоборот, то появляется траф в ens19|ens18 ?

Deleted
()
Ответ на: комментарий от Deleted

Короче говоря, если провода сунуть в сетевухи сервера наоборот, то появляется траф в ens19|ens18 ?

Я проверял иначе. тк у нас BGP Community, а он настроен только на шлюзе (Opnsense) и если втыкать в шлюз из любых портов Mikrotik, то всё работает - сеть в шлюзе и от шлюза есть (выход в мир). В частности 2 и 3ий порт (3ий mirror).

BitSum ★★
() автор топика
Последнее исправление: BitSum (всего исправлений: 1)
Ответ на: комментарий от BitSum

Прошарил я тут более глобально настройки миррора... Пишет «ансуппорт» и в маназ есть указание на crs серию, а у меня 750r2...

BitSum ★★
() автор топика
Последнее исправление: BitSum (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General