Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-12 Par sujet David Ponzone 
Pierre,

Oui, pardon, je sous-entendais un environnement où on sait qu’il n’y a rien de 
« sérieux » qui exploite le Multicast (clustering, VRRP, etc..).
Ton argument est valable, c’est peut-être ce qui explique ce choix généralisé 
chez les constructeurs.

> Le 12 déc. 2019 à 11:22, Pierre LANCASTRE  a 
> écrit :
> 
> Bonjour 
> 
> Pas que du bien, quand la partie querier/report est pas configurée / mal 
> gérée, ça casse pas mal de choses. Déjà vu ça avec des softs de clustering 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-12 Par sujet Pierre LANCASTRE 
Bonjour

Pas que du bien, quand la partie querier/report est pas configurée / mal
gérée, ça casse pas mal de choses. Déjà vu ça avec des softs de clustering

++

Pierre

Le jeu. 12 déc. 2019 à 10:49, David Ponzone  a
écrit :

> Oui tout à fait, mais j’avais pas anticipé une merde pareil sur le LAN :)
>
> D’ailleurs, je comprends pas pourquoi l’IGMP snooping est (quasi)
> systématiquement désactivé par défaut sur les switch, alors qu’à priori ça
> peut faire que du bien  non ?
>
> > Le 12 déc. 2019 à 10:11, Thierry Chich  a
> écrit :
> >
> >
> >
> >> -Message d'origine-
> >> De : frnog-requ...@frnog.org  De la part de
> >> David Ponzone
> >> Envoyé : jeudi 12 décembre 2019 09:48
> >> À : Hugues Voiturier 
> >> Cc : FRnOG 
> >> Objet : Re: [FRnOG] [TECH] Mikrotik et Multicast
> >>
> >> Yep, le mettre à no sur le/les ports egress, ça aide, merci!
> >>
> >> Je vais activer l’IGMP snooping aussi, ça va aider aussi.
> >
> >
> > J'y connais pas grand-chose, mais activer l'IGMP snooping , a priori,
> c'est vital ,sinon, le multicast c'est du broadcast.
> >>
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-12 Par sujet David Ponzone 
Oui tout à fait, mais j’avais pas anticipé une merde pareil sur le LAN :)

D’ailleurs, je comprends pas pourquoi l’IGMP snooping est (quasi) 
systématiquement désactivé par défaut sur les switch, alors qu’à priori ça peut 
faire que du bien  non ?

> Le 12 déc. 2019 à 10:11, Thierry Chich  a écrit 
> :
> 
> 
> 
>> -Message d'origine-
>> De : frnog-requ...@frnog.org  De la part de
>> David Ponzone
>> Envoyé : jeudi 12 décembre 2019 09:48
>> À : Hugues Voiturier 
>> Cc : FRnOG 
>> Objet : Re: [FRnOG] [TECH] Mikrotik et Multicast
>> 
>> Yep, le mettre à no sur le/les ports egress, ça aide, merci!
>> 
>> Je vais activer l’IGMP snooping aussi, ça va aider aussi.
> 
> 
> J'y connais pas grand-chose, mais activer l'IGMP snooping , a priori, c'est 
> vital ,sinon, le multicast c'est du broadcast.
>> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-12 Par sujet Thierry Chich 



> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : jeudi 12 décembre 2019 09:48
> À : Hugues Voiturier 
> Cc : FRnOG 
> Objet : Re: [FRnOG] [TECH] Mikrotik et Multicast
> 
> Yep, le mettre à no sur le/les ports egress, ça aide, merci!
> 
> Je vais activer l’IGMP snooping aussi, ça va aider aussi.


J'y connais pas grand-chose, mais activer l'IGMP snooping , a priori, c'est 
vital ,sinon, le multicast c'est du broadcast.
> 
> > Le 11 déc. 2019 à 23:33, Hugues Voiturier  a
> écrit :
> >
> > Tu as essayé de décocher “Unknown Multicast Flood” dans ton interface
> dans l’onglet Bridge / Port ?
> > Ça coupe tout le multicast chez moi…
> > Hugues
> > AS57199 - AS50628
> >
> >> On 11 Dec 2019, at 23:09, David Ponzone  <mailto:david.ponz...@gmail.com>> wrote:
> >>
> >> Le challenge de la nuit: filtrer un flux multicast qui entre sur le port
> ethernet (membre d’un bridge) d’un ROUTEUR Mikrotik.
> >>
> >> Moi je dis: impossible.
> >> J’ai essayé au niveau du firewall ip (mais c’est normal que ça marche pas,
> j’avais pas activé use-ip-firewall) et au niveau du bridge filter:
> >>
> >> /interface bridge filter
> >> add action=drop chain=input in-interface=ether8 packet-type=multicast
> >>
> >> Ca donne:
> >>
> >> /interface bridge filter print stats
> >> Flags: X - disabled, I - invalid, D - dynamic
> >> #   CHAINACTION BYTES 
> >> PACKETS
> >> 0   inputdrop  8155389475 
> >> 7791558
> >>
> >> Ca semble dropper mais le flux est toujours là en out sur l’autre port du
> bridgeU
> >>
> >> J’ai essayé:
> >>
> >> /interface bridge filter
> >> add action=drop chain=input in-bridge=bridge packet-type=multicast
> >>
> >> Pas mieux.
> >>
> >> Globalement, Google semble confirmer que c’est pas possible, mais je
> trouve ça incroyable.
> >>
> >> Quand j’aurais réussi à bloquer, je chercherai d’où ce vient ce flux alors
> qu’il va vers un switch qui le réplique vers des téléphones Yealink, donc à
> priori pas des clients Multicast….
> >>
> >> Note du troll: il y a de plus en plus de « prestataires » qui font mumuse
> avec des trucs multicast sans rien y comprendre et c’est inquiétant. Moi j’y
> comprends rien, et j’essaie pas de jouer avec.
> >>
> >>
> >>
> >> ---
> >> Liste de diffusion du FRnOG
> >> http://www.frnog.org/ <http://www.frnog.org/>
> >
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-12 Par sujet David Ponzone 
Yep, le mettre à no sur le/les ports egress, ça aide, merci!

Je vais activer l’IGMP snooping aussi, ça va aider aussi.

> Le 11 déc. 2019 à 23:33, Hugues Voiturier  a écrit 
> :
> 
> Tu as essayé de décocher “Unknown Multicast Flood” dans ton interface dans 
> l’onglet Bridge / Port ?
> Ça coupe tout le multicast chez moi… 
> Hugues
> AS57199 - AS50628
> 
>> On 11 Dec 2019, at 23:09, David Ponzone > > wrote:
>> 
>> Le challenge de la nuit: filtrer un flux multicast qui entre sur le port 
>> ethernet (membre d’un bridge) d’un ROUTEUR Mikrotik.
>> 
>> Moi je dis: impossible.
>> J’ai essayé au niveau du firewall ip (mais c’est normal que ça marche pas, 
>> j’avais pas activé use-ip-firewall) et au niveau du bridge filter:
>> 
>> /interface bridge filter
>> add action=drop chain=input in-interface=ether8 packet-type=multicast
>> 
>> Ca donne:
>> 
>> /interface bridge filter print stats
>> Flags: X - disabled, I - invalid, D - dynamic
>> #   CHAINACTION BYTES 
>> PACKETS
>> 0   inputdrop  8155389475 
>> 7791558
>> 
>> Ca semble dropper mais le flux est toujours là en out sur l’autre port du 
>> bridgeU
>> 
>> J’ai essayé:
>> 
>> /interface bridge filter
>> add action=drop chain=input in-bridge=bridge packet-type=multicast
>> 
>> Pas mieux.
>> 
>> Globalement, Google semble confirmer que c’est pas possible, mais je trouve 
>> ça incroyable.
>> 
>> Quand j’aurais réussi à bloquer, je chercherai d’où ce vient ce flux alors 
>> qu’il va vers un switch qui le réplique vers des téléphones Yealink, donc à 
>> priori pas des clients Multicast….
>> 
>> Note du troll: il y a de plus en plus de « prestataires » qui font mumuse 
>> avec des trucs multicast sans rien y comprendre et c’est inquiétant. Moi j’y 
>> comprends rien, et j’essaie pas de jouer avec.
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/ 
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-12 Par sujet David Ponzone 
Ah bien essayé, mais c’est pas le cas.
L’IPBX est même pas sur site :)


> Le 12 déc. 2019 à 09:12, Oliver varenne  a écrit :
> 
>> Quand j’aurais réussi à bloquer, je chercherai d’où ce vient ce flux alors
>> qu’il va vers un switch qui le réplique vers des téléphones Yealink, donc à
>> priori pas des clients Multicast….
> 
> Les téléphones SIP modernes (Yealink, Fanvil, Htek, Grandstream) font 
> tous du multicast
> Le truc le plus courant est le SIP plug n play
> Les téléphone s'abonnent au 224.0.1.75
> Quand un IPBX est compatible avec ça, il utilise cela pour distribuer les 
> adresses d'auto provisionning.
> 
> Donc désactiver cette fonction dans les téléphone sera peut-être un premier 
> truc à faire.
> 
> 
> 
> 
> Cordialement,
>  
> 
> 
> Olivier Varenne
> Co-gérant, Commercial & Développeur
> T +33 (0)4 27 04 40 00 | ipconnect.fr
> 
> Suivez-nous ! 
> 
> 
> 
>> -Message d'origine-
>> De : frnog-requ...@frnog.org  De la part de
>> David Ponzone
>> Envoyé : mercredi 11 décembre 2019 23:09
>> À : FRnOG 
>> Objet : [FRnOG] [TECH] Mikrotik et Multicast
>> 
>> Le challenge de la nuit: filtrer un flux multicast qui entre sur le port
>> ethernet (membre d’un bridge) d’un ROUTEUR Mikrotik.
>> 
>> Moi je dis: impossible.
>> J’ai essayé au niveau du firewall ip (mais c’est normal que ça marche
>> pas, j’avais pas activé use-ip-firewall) et au niveau du bridge filter:
>> 
>> /interface bridge filter
>> add action=drop chain=input in-interface=ether8 packet-type=multicast
>> 
>> Ca donne:
>> 
>> /interface bridge filter print stats
>> Flags: X - disabled, I - invalid, D - dynamic
>> #   CHAINACTION BYTES 
>> PACKETS
>> 0   inputdrop  8155389475 
>> 7791558
>> 
>> Ca semble dropper mais le flux est toujours là en out sur l’autre port du
>> bridge.
>> 
>> J’ai essayé:
>> 
>> /interface bridge filter
>> add action=drop chain=input in-bridge=bridge packet-type=multicast
>> 
>> Pas mieux.
>> 
>> Globalement, Google semble confirmer que c’est pas possible, mais je
>> trouve ça incroyable.
>> 
>> Quand j’aurais réussi à bloquer, je chercherai d’où ce vient ce flux alors
>> qu’il va vers un switch qui le réplique vers des téléphones Yealink, donc à
>> priori pas des clients Multicast….
>> 
>> Note du troll: il y a de plus en plus de « prestataires » qui font mumuse
>> avec des trucs multicast sans rien y comprendre et c’est inquiétant. Moi
>> j’y comprends rien, et j’essaie pas de jouer avec.
>> 
>> 
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-12 Par sujet David Ponzone 
Vu le profil du client, je le sens pas.
Ca doit être une caméra IP qui multicast ce qu’elle filme (ce qui me semble 
dénuer d’intérêt, sauf pour regarder en live le flux sur plusieurs TV).

D’ailleurs, j’ai trouvé d’autres victimes:

https://fr.coredump.biz/questions/49374642/cant-capture-multicast-packets-with-python
 


L’adresse MAC source est exactement la même chez moi: Taifatec_00:60:01

C’est legit ça ?

Bon j’ai trouvé, c’est une saloperie de HDMI-extender-over-IP:
https://blog.danman.eu/reverse-engineering-lenkeng-hdmi-over-ip-extender/ 


La boite taiwaianse qui fait le SoC (Taifatech) semble ne plus exister (en tout 
cas, plus de site web, les liens vers la doc marchent plus).


> Le 12 déc. 2019 à 08:08, Xavier Beaudouin  a écrit :
> 
> Hello David,
> 
> J'y connais rien mikrotik mais...
> 
>> Note du troll: il y a de plus en plus de « prestataires » qui font mumuse 
>> avec
>> des trucs multicast sans rien y comprendre et c’est inquiétant. Moi j’y
>> comprends rien, et j’essaie pas de jouer avec.
> 
> Je pense que ça viens du fait que VxLAN peux être transmit en multicast et vu 
> que 
> certains trucs sont en train de l'implem par défaut, ca joue dans tous les 
> sens.
> 
> Après quand on ne sais pas comment mcast joue on y touche pas (ou on demande 
> a 
> des personnes qui savent)...
> 
> Courage car bcp de device se font exploser le CPU avec du mcast (surtout le 
> Dense Mode...aka je bourrine et je flode)...
> 
> Xavier
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-12 Par sujet Oliver varenne 
> Quand j’aurais réussi à bloquer, je chercherai d’où ce vient ce flux alors
> qu’il va vers un switch qui le réplique vers des téléphones Yealink, donc à
> priori pas des clients Multicast….

Les téléphones SIP modernes (Yealink, Fanvil, Htek, Grandstream) font tous 
du multicast
Le truc le plus courant est le SIP plug n play
Les téléphone s'abonnent au 224.0.1.75
Quand un IPBX est compatible avec ça, il utilise cela pour distribuer les 
adresses d'auto provisionning.

Donc désactiver cette fonction dans les téléphone sera peut-être un premier 
truc à faire.




Cordialement,
 


Olivier Varenne
Co-gérant, Commercial & Développeur
T +33 (0)4 27 04 40 00 | ipconnect.fr

Suivez-nous ! 



> -Message d'origine-
> De : frnog-requ...@frnog.org  De la part de
> David Ponzone
> Envoyé : mercredi 11 décembre 2019 23:09
> À : FRnOG 
> Objet : [FRnOG] [TECH] Mikrotik et Multicast
> 
> Le challenge de la nuit: filtrer un flux multicast qui entre sur le port
> ethernet (membre d’un bridge) d’un ROUTEUR Mikrotik.
> 
> Moi je dis: impossible.
> J’ai essayé au niveau du firewall ip (mais c’est normal que ça marche
> pas, j’avais pas activé use-ip-firewall) et au niveau du bridge filter:
> 
> /interface bridge filter
> add action=drop chain=input in-interface=ether8 packet-type=multicast
> 
> Ca donne:
> 
> /interface bridge filter print stats
> Flags: X - disabled, I - invalid, D - dynamic
>  #   CHAINACTION BYTES 
> PACKETS
>  0   inputdrop  8155389475 
> 7791558
> 
> Ca semble dropper mais le flux est toujours là en out sur l’autre port du
> bridge.
> 
> J’ai essayé:
> 
> /interface bridge filter
> add action=drop chain=input in-bridge=bridge packet-type=multicast
> 
> Pas mieux.
> 
> Globalement, Google semble confirmer que c’est pas possible, mais je
> trouve ça incroyable.
> 
> Quand j’aurais réussi à bloquer, je chercherai d’où ce vient ce flux alors
> qu’il va vers un switch qui le réplique vers des téléphones Yealink, donc à
> priori pas des clients Multicast….
> 
> Note du troll: il y a de plus en plus de « prestataires » qui font mumuse
> avec des trucs multicast sans rien y comprendre et c’est inquiétant. Moi
> j’y comprends rien, et j’essaie pas de jouer avec.
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-11 Par sujet Xavier Beaudouin 
Hello David,

J'y connais rien mikrotik mais...

> Note du troll: il y a de plus en plus de « prestataires » qui font mumuse avec
> des trucs multicast sans rien y comprendre et c’est inquiétant. Moi j’y
> comprends rien, et j’essaie pas de jouer avec.

Je pense que ça viens du fait que VxLAN peux être transmit en multicast et vu 
que 
certains trucs sont en train de l'implem par défaut, ca joue dans tous les sens.

Après quand on ne sais pas comment mcast joue on y touche pas (ou on demande a 
des personnes qui savent)...

Courage car bcp de device se font exploser le CPU avec du mcast (surtout le 
Dense Mode...aka je bourrine et je flode)...

Xavier


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-11 Par sujet David Ponzone 
J’ai bien sûr essayé.
Pas mieux avec forward, et c’est perturbant.


> Le 11 déc. 2019 à 23:29, Paul Caranton  a écrit :
> 
> Il faut appliquer la règle sur chain=forward aussi, non ?
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-11 Par sujet Hugues Voiturier 
Tu as essayé de décocher “Unknown Multicast Flood” dans ton interface dans 
l’onglet Bridge / Port ?
Ça coupe tout le multicast chez moi… 
Hugues
AS57199 - AS50628

> On 11 Dec 2019, at 23:09, David Ponzone  wrote:
> 
> Le challenge de la nuit: filtrer un flux multicast qui entre sur le port 
> ethernet (membre d’un bridge) d’un ROUTEUR Mikrotik.
> 
> Moi je dis: impossible.
> J’ai essayé au niveau du firewall ip (mais c’est normal que ça marche pas, 
> j’avais pas activé use-ip-firewall) et au niveau du bridge filter:
> 
> /interface bridge filter
> add action=drop chain=input in-interface=ether8 packet-type=multicast
> 
> Ca donne:
> 
> /interface bridge filter print stats
> Flags: X - disabled, I - invalid, D - dynamic
> #   CHAINACTION BYTES 
> PACKETS
> 0   inputdrop  8155389475 
> 7791558
> 
> Ca semble dropper mais le flux est toujours là en out sur l’autre port du 
> bridgeU
> 
> J’ai essayé:
> 
> /interface bridge filter
> add action=drop chain=input in-bridge=bridge packet-type=multicast
> 
> Pas mieux.
> 
> Globalement, Google semble confirmer que c’est pas possible, mais je trouve 
> ça incroyable.
> 
> Quand j’aurais réussi à bloquer, je chercherai d’où ce vient ce flux alors 
> qu’il va vers un switch qui le réplique vers des téléphones Yealink, donc à 
> priori pas des clients Multicast….
> 
> Note du troll: il y a de plus en plus de « prestataires » qui font mumuse 
> avec des trucs multicast sans rien y comprendre et c’est inquiétant. Moi j’y 
> comprends rien, et j’essaie pas de jouer avec.
> 
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Mikrotik et Multicast

2019-12-11 Par sujet Paul Caranton 

Il faut appliquer la règle sur chain=forward aussi, non ?

Paul

Le mer. 11 déc. 2019 à 23:09, David Ponzone  
a écrit :
Le challenge de la nuit: filtrer un flux multicast qui entre sur le 
port ethernet (membre d’un bridge) d’un ROUTEUR Mikrotik.


Moi je dis: impossible.
J’ai essayé au niveau du firewall ip (mais c’est normal que ça 
marche pas, j’avais pas activé use-ip-firewall) et au niveau du 
bridge filter:


/interface bridge filter
add action=drop chain=input in-interface=ether8 packet-type=multicast

Ca donne:

/interface bridge filter print stats
Flags: X - disabled, I - invalid, D - dynamic
 #   CHAINACTION BYTES
 PACKETS
 0   inputdrop  8155389475
 7791558


Ca semble dropper mais le flux est toujours là en out sur l’autre 
port du bridge.


J’ai essayé:

/interface bridge filter
add action=drop chain=input in-bridge=bridge packet-type=multicast

Pas mieux.

Globalement, Google semble confirmer que c’est pas possible, mais 
je trouve ça incroyable.


Quand j’aurais réussi à bloquer, je chercherai d’où ce vient 
ce flux alors qu’il va vers un switch qui le réplique vers des 
téléphones Yealink, donc à priori pas des clients Multicast….


Note du troll: il y a de plus en plus de « prestataires » qui font 
mumuse avec des trucs multicast sans rien y comprendre et c’est 
inquiétant. Moi j’y comprends rien, et j’essaie pas de jouer 
avec.




---
Liste de diffusion du FRnOG
http://www.frnog.org/





---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] Mikrotik et Multicast

2019-12-11 Par sujet David Ponzone 
Le challenge de la nuit: filtrer un flux multicast qui entre sur le port 
ethernet (membre d’un bridge) d’un ROUTEUR Mikrotik.

Moi je dis: impossible.
J’ai essayé au niveau du firewall ip (mais c’est normal que ça marche pas, 
j’avais pas activé use-ip-firewall) et au niveau du bridge filter:

/interface bridge filter
add action=drop chain=input in-interface=ether8 packet-type=multicast

Ca donne:

/interface bridge filter print stats
Flags: X - disabled, I - invalid, D - dynamic
 #   CHAINACTION BYTES 
PACKETS
 0   inputdrop  8155389475 
7791558

Ca semble dropper mais le flux est toujours là en out sur l’autre port du 
bridge.

J’ai essayé:

/interface bridge filter
add action=drop chain=input in-bridge=bridge packet-type=multicast

Pas mieux.

Globalement, Google semble confirmer que c’est pas possible, mais je trouve ça 
incroyable.

Quand j’aurais réussi à bloquer, je chercherai d’où ce vient ce flux alors 
qu’il va vers un switch qui le réplique vers des téléphones Yealink, donc à 
priori pas des clients Multicast….

Note du troll: il y a de plus en plus de « prestataires » qui font mumuse avec 
des trucs multicast sans rien y comprendre et c’est inquiétant. Moi j’y 
comprends rien, et j’essaie pas de jouer avec.



---
Liste de diffusion du FRnOG
http://www.frnog.org/