Forum Debian Users Gang

Komenda:

nmap -sP -PI -PT 192.168.11.251/24

wylistowala tylko urzadzenia polaczone przewodowo, o wifi zadnej informacji.

Komenda:

nmap -sn 192.168.11.251/24

Daje taki sam wynik.

Ostatnio edytowany przez Karoll (2022-07-01 19:49:56)

Przepraszam, za malo precyzyjnie sformulowalem watek. Szerszy opis - jest budynek 4 pietrowy:
- brama jest router na parterze
- siec jest rozprowadzona switchami na kazdym pietrze
- dodatkowo na kazdym pietrze sa WiFi AP.
- na kazdym pietrze sa urzadzenia:
a/ - stala liczba (TV - przewodowa)
b/ - zmienna liczba (komorki)
c/ - zmienna liczba (laptopy uzyszkodnikow po WiFi - jestem jednym z nich)
Szukam narzedzia/programu/procedury, ktory pozwoli zinwentaryzowac wszystkie unikalne IP w budynku (czyli sieci bramy i jej kolejnych podsieci)
O zbudowaniu schematu graficznego to nawet nie smiem marzyc.

Sprawdzasz na systemie robiącym za bramę? czy na innym?

Sprawdzam na laptopie z Debianem10 jako zwykly uzytkownik.
Komendy:

cat /proc/net/nf_conntrack

oraz

iptstate

oraz

netstat -ant

listuja zawartosc sieci w ktorej jest moj laptop, nie mowia nic o wszystkich urzadzeniach w budynku czyli calej sieci bramy.
Dodatkowe info - Nie mam wejscia do menu routera.

Ostatnio edytowany przez Karoll (2022-07-02 10:18:50)

Jest jeszcze

arpwath

powinie być w repo
po włączeniu bardzo grzecznie informuje na maila o każdej nowej stacji, informując o jej adresie MAC.
W obrębie najbliższego routera działa grzecznie.
ARP chodzi na II warstwie modelu stopniu ISO/OSI, czyli przez switche widzisz, za routerem już nie.


Do szybkiego skanowania adresów arp jest też:

arp-scan

Powinien też być w repo.

Tu jest strona programu:
https://github.com/royhills/arp-scan

Możesz też np puścić pinga na adresy broadcast,  wszystkie aktywne hosty w danej podsieci powinny odpowiedzieć.
Ten numer może  pokonać także routery, jeśli wpuszczają ICMP na adresy broadcast.
Biorąc pod uwagę, że ten numer jest dobrze znany w atakach ddos, profesjonalnie skonfigurowane routery zazwyczaj powinny blokować ICMP na broadcast.

W Ipv6 nie ma broadcastu, ale masz adresy mulicast ff02::1 i ff02::2, gdzie pingując je poznasz wszystkie urządzenia w danej podsieci z ich adresami link.local.

Ostatnio edytowany przez Jacekalex (2022-07-02 21:36:15)

Trochę hostów znalazł ten arp-scan.
Jeżeli broadcast nie odpowiada na ping, to znaczy, że producent softu zadbał o zabezpieczenie, przed generowaniem ddos używając sieci jako gigantycznej dźwigni ICMP.
Lepiej późno niż wcale, choć to Tobie utrudnia robotę.

Ile tam masz podsieci?

W ogóle to dosyć beznadziejne zadanie z punktu, w jakim próbujesz to robić.

Tego arp-scana też masz trochę dziwnego:

192.168.10.19    18:e8:29:50:b8:34    (Unknown)
192.168.10.20    18:e8:29:50:ba:44    (Unknown)
192.168.10.21    18:e8:29:50:e1:5d    (Unknown)

grep 18E829 /usr/share/arp-scan/ieee-oui.txt 
18E829    Ubiquiti Networks Inc.

mam wersję:

net-analyzer/arp-scan-1.9.7

arpwatch się odpala jako demona sieciowego, słucha na interfejsie i informuje na maila o każdej nowej stacji, której adres mac widzi po raz pierwszy.
konfiguracja jest banalna, trzeba mu wskazać interfejs oraz adres email, na który ma raporty wysyłać.
Oczywiście w zależności od adresu emali może być konieczność skonfigurowania jakiegoś połączenia z kontem SMTP, jeśli ma być zdalne.
Czyli najczęściej to będzie połączenie typu smarthost ze zdalnym serwerem SMTP, z użyciem autoryzacji SMTP.

Ostatnio edytowany przez Jacekalex (2022-07-04 00:14:17)

Masz jakis pomysl ?

Podłączyć się kablem bezpośrednio do routera bramy,  tam odpalić np Ntop, Snort, Tcpdump, Wireshark, Darkstat, Etherape i co tylko chcesz.

Jeśli router ma wbudowany switch, i cała sieć idzie przez porty tego switcha, to ten router jest jedynym miejscem, gdzie widzisz całą sieć i możesz ją dowolnie monitorować.

W innych miejscach obejmujesz tylko najbliższy segment sieci, czyli może to czasem być cała sieć, ale przeważnie po drodze jest jakiś kolejny router, który ogranicza zasięg węzła sieciowego.

Zabawy z Nmapem czy Arp-scanem są chwilowe, czyli nie widzą tego, co się dzieje przed i po skanowaniu.
Arpwatch ma tą wadę, ze zarówno Iphone, jak i Android, ostatnio także Windows 11 mają opcję losowania mac-adresu.
Kilka takich urządzeń losujących swój adres MAC co godzinę w sieci może Ci tak strollować Arpwatcha, że będzie bezużyteczny.

Pomijam już problem Ipv6 i privacy-extensions, bo tam naprawdę będziesz mail pozamiatane, ale to dopiero za chwilkę, jak nam putin w czynie społecznym przestawi sieć na Ipv6.
xD

Jeśli natomiast chcesz dopiero tą sieć skonfigurować, żeby ludzie z ulicy się do niej nie łączyli po wifi, to czeka Cię gimnastyka z Radiusem i hasłami tymczasowymi.
Był kiedyś z resztą taki panel logowania chilispot, do sieci hotelowych, nie jest za bardzo rozwijany, ale chyba działa.
Publiczne hotspoty używają takiego rozwiązania, zanim wejdziesz do sieci, musisz zaakceptować regulamin.
http://www.chillispot.org/

Ostatnio edytowany przez Jacekalex (2022-07-04 12:10:43)

@ Jacekalex.
Twoj ostatni wpis uporzadkowal mi poglad na to zagadnienie. Dostepu do routera/bramy - nie mam, wiec wiekszosc opcji odpada.
Przypuszczam, ze powodem klopotow sa nadmiernie liczne komorki, ktore automatycznie logujac sie do sieci budynku czy podsieci pieter powoduja przeciazenie (niemlodego) routera czy tez przepustowosci sieci i w konsekwencji brak sygnalu (zamarzanie) na wielu odbiornikach.

Jakość/brak sygnału maja się nijak go ilości hostów wewnątrz sieci.

Przepustowosc glownego lacza nie okresla maksymalnego poboru transferu poza brama ???
To po co w umowie z ISP sa gwarantowane detale transferu i jakosci uslugi ?
Problemem jest zamarzanie/zawieszanie sie Internetu kiedy (szczegolnie w godzinach wieczornych) jest wielu uzytkowikow, po kablu i wifi.

Ostatnio edytowany przez Karoll (2022-07-05 16:20:04)

Karoll napisał(-a):

Przepustowosc glownego lacza nie okresla maksymalnego poboru transferu poza brama ???

I tak i nie. To jest przepustowość dla operatora a nie dla użytkownika.

Operator powinien mieć zapas łącza tak, żeby uśredniona wartość ruchu się mieściła ale nigdy nie będzie miał tak dużej rurki, żeby każdy mógł ciągnąć z pełną przepustowością

Karoll napisał(-a):

To po co w umowie z ISP sa gwarantowane detale transferu i jakosci uslugi ?

Afaik operator rzadko gwarantuje minimalną prędkość, zwykle jest podawana maksymalna i to do bramy a nie Internetu jako takiego.

Robiąc testy przepustowości powinieneś poprosić operatora o serwer z jakiego możeś wykonać test. Sporo dostawców hostuje u siebie speedtesty, zobacz czy nie masz swojego?

Karoll napisał(-a):

Problemem jest zamarzanie/zawieszanie sie Internetu kiedy (szczegolnie w godzinach wieczornych) jest wielu uzytkowikow, po kablu i wifi.

Powodów może być tyle ile gwiazd na niebie...
- za słabe łącze,
- za dużo użytkowników,
- kiepska infrastruktura,
- przegrzewający się switch,
- uszkodzone kable,
- problemy w tranzycie,
- zła konfiguracja
itp, itd.

Nie będąc administratorem sieci/urządzenia nie masz technicznie możliwości zdiagnozowania takiej sytuacji.
Co więcej, takie skanowania mogą zostać uznane za próby ataku - jakby nie patrzeć próbujesz wymacać co jest w sieci co też powinno być odpowiednio uwzględnione w regulaminie.


To co mogę polecić w takiej sytuacji

Jedyne co możesz zrobić to monitorować kiedy sa problemy, zgłaszać to operatorowi a jak nie pomoże to szukać innego.


Poszukaj ping grafów opartych o rrd, mogą być pomocne
https://gist.github.com/fortitudepub/d881740ba9c35143d348c5fe00df53b9

Karoll napisał(-a):

@urbinek
Ten punkt mnie najbardziej przekonuje:

- za dużo użytkowników,

To jest prawidlowosc, usterka wystepuje kiedy budynek ma maksymalne oblozenie, a nigdy nie wystepuje rano kiedy wszyscy robia wypad na miasto.
Bardzo dziekuje za obszerna wypowiedz i probe niesienia pomocy.

Jeszcze są 2 opcje techniczne:
1. za mały zakres puli DHCP, np router ma pulę DHCP ustaloną przykładowo na 192.168.1.1 -192.168.1.51 - czyli 50 adresów unikalnych, odejmijmy od niego 3 kompy w biurze, AP na piętrach, dla gości zostaje około 40 adresów, gość o numerze ponad  42 nie dostanie adresu IP, bo dostępna pula DHCP się wyczerpała.

2. Za małe wartości w kluczach sysctl:

net.netfilter.nf_conntrack_max
net.nf_conntrack_max

Jeżeli tam wartości maksymalne są mniejsze wyraźnie, niż faktyczna liczba połączeń, którą próbują nawiązać użytkownicy, to przy NAT oznacza, że spora część połączeń trafi w próżnię, bo nie zmieści się na zbyt małej tablicy conntrack netfiltera.
Oczywiście router też może mieć za mało wolnej pamięci, 1 wpis NAT w tablicy conntrack to jest jakieś 1500 bajtów.

Operator też może opowiadać nie wiadomo jakie bajki, ale np limitować liczbę równoczesnych połączeń, żeby wciskać "szybsze" i  dużo droższe łącza.

Operatorzy też często stosują overselling na poziomie np 2000% i potem się cuda dzieją przy trochę większym obciążeniu.

Ostatnio edytowany przez Jacekalex (2022-07-06 09:43:56)

Ten Hitron już z wyglądu nie nadaje się do hotelu.

Stara zasada, jak chcesz net na np 50 pacjentów, to musisz poszukać dutków na porządny router.

Ja do łącza rzędu 1 Gbit brałbym Ubiuquiti, modele ER-12, ER-12P albo ER-6P.
Kosztują najtaniej jakie ś 1000-1300 netto, ale mają w brzuchu stabilnego Debiana LTS z nakładką UBI, mają opcjonalnie bez żadnego problemu OpenWRT, albo dowolnego innego Linuxa.

I do tego ER-12 ma 12 portów Gigabit, a modele 6P i 12P mają odpowiednio 6 albo 12 portów PoE.
Switche też muszą mieć odpowiednią gwarantowaną wydajność.
Kable też powinny być co najmniej klasy CAT6A żelowane i ekranowane, ale jak znam życie, na pewno macie takie, jakie w sklepie były tanio.

Poza tym bez wjazdu do powłoki routera to tylko czas tracisz.


EDIT - ER-12:

https://sklep.ui.pl/edgemax/338-ER-12.html napisał(-a):

EdgeRouter ™ 12  oferuje stosunek ceny do wydajności następnej generacji: do 3,4 miliona pakietów na sekundę przetwarzania z szybkością linii do 8 Gb / s.

Chyba by wystarczyło, prawda?

Pozdro
:P

Ostatnio edytowany przez Jacekalex (2022-07-09 18:53:05)