MikroTik: NAT Masquerade kann ungewollt private IP weitergeben aber warum?

Mitglied: PackElend
Hallo Administrator-Forum,
Ich habe ein Verständnisproblem damit, was passiert, wenn WAN-Schnittstellen gewechselt werden und Masquerading aktiv ist.
Insbesondere, wie die Verbindung aktiv bleibt, wenn das Routing über die primäre Verbindung (primäre WAN-Schnittstelle) wiederhergestellt wird, nachdem sie über die Backup-Route (Backup-WAN-Schnittstelle) geroutet wurde


In NAT - RouterOS - MikroTik Documentation heisst es:
Masquerade

... it was designed for specific use in situations when public IP can randomly change,...
Unfortunately, this can lead to some issues with unstable links when the connection gets routed over different links after the primary link goes down. In such a scenario following things can happen:
  • on disconnect, all related connection tracking entries are purged;
*next packet from every purged (previously masqueraded) connection will come into firewall as new, and, if a primary interface is not back, a packet will be routed out via alternative route (if you have any) thus creating a new masqueraded connection;
  • the primary link comes back, routing is restored over the primary link, so packets that belong to existing connections are sent over the primary interface without being masqueraded, that way leaking local IPs to a public network.
To work around this situation blackhole route can be created as an alternative to the route that might disappear on disconnect.
...
overcome limitations RouterOS includes a number of so-called NAT helpers, that enable NAT traversal for various protocols. When action=srcnat is used instead, connection tracking entries remain and connections can simply resume.
Zudem steht in Most underused and overused RouterOS features. My holy war against masquerade MUM, USA da Gleiche nur in kurz:
On disconnect, all related connection tracking entries are purged
Next packet from every purged connection will come into firewall as connection-state=new, and, packet will be routed out via alternative route thus creating new connection entry
When primary link comes back, routing is restored over primary link, so packets that belong to existing connections are sent over primary interface without being masqueraded


aber nirgends wird gesagt, warum:
  1. auf die primäre Verbindung zurückgeschaltet wird?
  2. die Verbindung nicht unterbrochen wird (sie bleibt während dieses Prozesses ESTABLISHED, aber die Route ändert sich)?
  3. diese mysteriösen NAT-Helfer die Verbindung nicht als NEW Verbindung in der Connection Tracking erscheinen lassen?


Mein unvollstädniger Erklärungsversuch:
  1. Die Route über ETHER1 wird geschlossen --> alle Verbindungen über ETHER1 werden aus dem Connection-Tracking (CT) gelöscht. Der Datenverkehr wird über eine anderes Interface geleitet, sofern eine vorhanden ist.
  2. ETHER2 ist die Backup-Route, d.h. der Verkehr läuft jetzt über ETHER2 und wird wieder verfolgt und masqueraded. Dies liegt daran, dass die Verbindung unterbrochen wurde und neu aufgebaut werden muss, so dass CT den Verkehr als NEW und dann ESTABLISHED vom LAN durch NAT-Masquerade zu ETHER2 routed
  3. ETHER1 kommt wieder online, jetzt wird es mysteriös:
    1. Die Verbindung über ETHER2 wird zurück zu ETHER1 geschaltet, aber warum?
    2. Wie wird der ununterbrochene Datenfluss realisiert, wenn die Interface bei Routenänderungen umgeschaltet werden?
    3. warum ist die Verbindung jetzt ungültig?
      1. Die Verbindung wird von ETHER2 zu ETHER1 verschoben und bleibt verbunden, so dass kein TCP-Drei-Wege-Handshake stattfindet, bei dem SYN (+ACK) aus dem LAN gesendet wird.
      2. Die Verbindung wird nicht als NEW in CT eingetragen, da dies nur bei Verbindungen geschieht, die SYN (+ACK) aussenden?
      3. Sie wird also nicht MASQUERADED, wenn sie durch ETHER1 fließt, da NAT nur auf NEW reagiert?
      4. Die Regel drop connection-state=invalid packets funktioniert, da das Paket innerhalb des CT von ETHER1 nicht identifiziert werden kann, da das Paket keiner RELATED oder ESTABLISHED Verbindung zugeordnet werden kann?


Gruss und Danke

Stefan

Content-Key: 1101864804

Url: https://administrator.de/contentid/1101864804

Ausgedruckt am: 22.09.2021 um 05:09 Uhr

Mitglied: PackElend
PackElend 05.08.2021 um 22:22:58 Uhr
Goto Top
nach einigen Unterhaltungen im MikroTik Forum könnte es so sein:

  • ein verlieren oder dazukommen einer Link führt zu einer neu Berechnung der verfügbaren Routen
  • ROS merkt, dass es eine Router gibt, die kürzer ist als die jetzt aktive
  • aller Verkehr wird von der aktiven (Backup) zur wiederhergestellten primären Route umgeleitet
  • ConnTrack etc. sieht keine Spur von einem TCP-Handshake etc. in den Aufzeichnungen von dem wiederhergestellten Link --> Traffic = invalid

macht das Sinn?
Mitglied: PackElend
PackElend 06.08.2021 um 11:48:40 Uhr
Goto Top
Zitat von @aqui:

Solange eine Session aktiv ist bleibt auch das NAT aktiv. Egal was das Ruleset sagt. Das stoppt erst wenn die Session geschlossen wurde oder man die NAT Session Table löscht oder resettet.

@aqui aber wie soll dann das NAT nicht eingreifen, wenn der primäre Link wieder da ist?
Irgendetwas passiert da, es ist aber unklar was da passiert, es liest sich als wird die Session vom backup link zum primeray link verschoben, wenn Zweiteres sich wieder meldet.
Der einzige unterschied zwischen diesen kann eingentlich nur distance sein, was eine änderung des link veranlassen könnte. Es besteht ja kein Anlass eines Reset des NAT Session Table, nur weil ein Link sich wieder meldet.
Mitglied: PackElend
PackElend 15.08.2021 um 23:04:17 Uhr
Goto Top
Ich habe mal MT-Support angeschrieben und habe folgende Antwort erhalten:
It will switch automatically if the default route with a shorter distance will come up.

beisst sich das nicht mit deiner Aussage?
Auf die Gegenfrage, ob es mehr Details dazu gibt habe ich mehr oder weniger nur den Text erhalten, welcher im Wiki steht.
Gibt es in der Doku zu iptables etwas, dass dies nicht so sein sollte?
Ich versuche ihn mit passenden Fragen, zu einer detaillierten Antwort zu bewegen.
Heiß diskutierte Beiträge
tip
Outlook 2019 Konto hinzufügen - Kein Benutzername mehr bei IMAP Einstellungen - LösungFrankVor 23 StundenTippOutlook & Mail31 Kommentare

Eine weitere Kuriosität unter Office 2019 ist bei mir gerade hart aufgeschlagen. Ich wollte ein normales IMAP/SMTP Konto zu Outlook 2019 hinzufügen. Das war aber ...

question
Clonen einer SSD Platte auf eine grösserejensgebkenVor 1 TagFrageFestplatten, SSD, Raid9 Kommentare

Hallo Gemeinschaft habe in meinem Rechner eine alte SSD 128 und eine neu installierte mit Windows 10 drauf 512 GB nun möchte ich gerne die ...

question
Ablösung alte M.2 SSDUrx1974Vor 1 TagFrageFestplatten, SSD, Raid7 Kommentare

Hallo, ich habe in einem (anderen) Laptop eine ITE-ON CV3-8D128-11 128GB M2 / M.2 SSD 2280 drin. Ich wollte diese jetzt durch eine 1TB SSD ...

question
Dienst-PCs per Image sichern?Yan2021Vor 21 StundenFrageBackup10 Kommentare

Hallo Ihr Lieben ;-) So, Urlaub vorbei und schon kommt mal wieder eine Frage von mir. Wir haben hier so rund gerechnet 10 PCs. Da ...

general
VPN-Einwahl für UnternehmensnetzwerkjoergVor 1 TagAllgemeinLAN, WAN, Wireless12 Kommentare

Hallo zusammen, aktuell beschäftige ich mich mit der Frage, ob unsere aktuelle User-VPN-Lösung noch die Richtige ist oder ob es bessere Alternativen gibt. Wir setzen ...

question
Problem mit gespiegelten BackupsystemfisiyouVor 1 TagFrageCluster8 Kommentare

Hi liebe Community, Bin derzeit als Umschüler (Fisi) im Betriebspraktikum unterwegs. Mir wurde jetzt ein Problem mit unseren Backupstorage mitgeteilt, wo ich mir eine Lösung ...

question
Webseite signierenUserUWVor 22 StundenFrageInternet9 Kommentare

Gelegentlich möchte man auf einer Webseite kritische Daten veröffentlichen, zum Beispiel Checksummen von Dateien/Programmen oder den Fingerprint eines Schlüssels. Frage: Wie kann man diese Information ...

question
"Aktualisieren und Herunterfahren" nach Windows Update erzwingenFrM222Vor 21 StundenFrageWindows Update7 Kommentare

Hallo Zusammen, wir verteilen unsere Windows Updates über WSUS (2016) und haben hier inzwischen eigentlich einen ganz guten Stand. Die Updates werden sehr zügig auf ...