Перейти к содержимому
Калькуляторы

DHCP клиент. Как блокировать адреса, прописанные вручную?

Здравствуйте.

 

Настраиваю "выносной" сервер доступа на Микротике.

В user manager прописаны МАС-адреса из локальной сети, которые могут получать IP по DHCP. Там же прописаны ограничения скорости.

Устройства с прописанными МАС-адресами получают IP по DHCP и доступ за пределы сети. Если МАС отсутствует - адрес не выдаётся, доступа нет.

 

Но если вручную на устройстве из локальной сети прописать IP из пула, из которого выдаются адреса - устройство получает доступ за пределы локалки вне зависимости от его МАС адреса.

Как эту лазейку правильно заблокировать?

 

Спасибо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отключить автоматический ARP, добавлять через лизы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на интерфейсе в сторону клиента arp - reply only

в dhcp server галка - add ARP for Lease

 

и счастливо .... прописать адрес ручками

 

и да привязывать мак к ip не стоит, отлично это работает на vlan for clients

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

большое спасибо за помощь!

всё очень просто - когда знаешь, как :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Constantin сказал:

на интерфейсе в сторону клиента arp - reply only

в dhcp server галка - add ARP for Lease

а если у меня dhcp не на этом микротике, а на этом только релай?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, LostSoul сказал:

а если у меня dhcp не на этом микротике, а на этом только релай?

рисовать нуна )) в уме виртализировать уже сложновато )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

51 минуту назад, Constantin сказал:

рисовать нуна )) в уме виртализировать уже сложновато )))

да простейшая там картина маслом.

висит у меня где-то в частном секторе MikroTik CRS106-1C-5S ,  настроен в режиме свитча  ( так как в режиме роутера без правил он больше 200-400мбит не прокачивает )

включен dhcp relay , чтоб 82 опцию в пакеты добавлять.

хочу теперь, чтоб абонент на порту мог использовать только тот IP , который к нему по 82 опции прилетел, а не какой ему вздумается.

И хочу чтоб исходящий трафик с некорректных IP тоже резался, а не чтоб он по udp спуфил какой хочет src

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

после микрота еще есть железо?  ибо не понимаю для чего 4 клиентам 400+ мбит )))

 

если после него управляемые свичи то влан на клиента и гнать все в ядро, это самая простая и не пробиваемая схема,

с релеем пока не представляю как полноценно оградить себя от умников

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, Constantin сказал:

после микрота еще есть железо?  ибо не понимаю для чего 4 клиентам 400+ мбит )))

что там непонятного то.

в москве рынок диктует тарифы по 500-1000 мбит уже

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, LostSoul сказал:

в москве рынок диктует тарифы по 500-1000 мбит уже

да пусть диктует но 99% времени там будет 10 мбит по порту....ладно это лирика

хотите тупое л2, делайте влан на порт и гоните эти 4 влана к своим днср серверам.

и нагрузки минимум и настроек минимум.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, Constantin сказал:

хотите тупое л2, делайте влан на порт и гоните эти 4 влана к своим днср серверам.

так может ну его тогда нахрен этот микротик на доступе? :-)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 часа назад, LostSoul сказал:

да простейшая там картина маслом.

висит у меня где-то в частном секторе MikroTik CRS106-1C-5S ,  настроен в режиме свитча  ( так как в режиме роутера без правил он больше 200-400мбит не прокачивает )

включен dhcp relay , чтоб 82 опцию в пакеты добавлять.

хочу теперь, чтоб абонент на порту мог использовать только тот IP , который к нему по 82 опции прилетел, а не какой ему вздумается.

И хочу чтоб исходящий трафик с некорректных IP тоже резался, а не чтоб он по udp спуфил какой хочет src

 

 

Плохое решение выбор такого оборудования, ему не место у оператора.  Ищите с поддержкой ip source guard и ip arp spoofing

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, SyJet сказал:

Плохое решение выбор такого оборудования, ему не место у оператора.

глупое утверждение.... отличная железка для своего места.....альтернативы просто нет, по форм фактору, по надежности, и по возможностям и по цене.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

12 часов назад, SyJet сказал:

Ищите с поддержкой ip source guard и ip arp spoofing

Если бы сейчас строил сеть с нуля, забил бы на все эти софтовые фичи, тупые свитчи в которых есть только вланы, vpc, qnq, это кмк на данный момент лучшая схема.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да. Подход "тупой доступ, умное ядро" себя хорошо показывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

13 часов назад, SyJet сказал:

Плохое решение выбор такого оборудования, ему не место у оператора.  Ищите с поддержкой ip source guard и ip arp spoofing

поможете найти?  такое,  чтоб в пластиковый бокс для GPON на столбе помещалось и работало там без вентиляторов и охлаждения от акб напряжением 12V

 

 

56 минут назад, pppoetest сказал:

тупые свитчи в которых есть только вланы, vpc

ну ничего себе тупые свитчи с vpc  :-)

 

смысл "софтовых фич" , что абонент прицепив к провайдеру новое неизвестное устройство проводит его идентификацию через веб-логин.    А так же в закрытии возможности спуфинга прямо на порту доступа. 

Для реализации такого функционала без "интеллекта" на доступе, вам придется тащить vlan per user до агрегации или ядра.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

21 минуту назад, LostSoul сказал:

ну ничего себе тупые свитчи с vpc

vpc это vlan per client|customer (или vpu — vlan per user). Можно реализовать почти на чем угодно при большом желании.

Если сеть устроена так, что на доступе работает провижнгинг или автонастройка с прописыванием VLAN, то это самая гибкая и универсальная схема из всех возможных.

(L3-доступ я не учитываю, делать его нормально и за соответствующие деньги не на чем, микротики по схеме Saab95 с кучей костылей/подпорок под "нормально" я не учитываю)

 

22 минуты назад, LostSoul сказал:

Для реализации такого функционала без "интеллекта" на доступе, вам придется тащить vlan per user до агрегации или ядра.

Ну да. В этом и смысл, чтобы l2-connected дотащить до нормального узла с нормальными возможностями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 минут назад, alibek сказал:

микротики по схеме Saab95 с кучей костылей/подпорок под "нормально" я не учитываю)

никаких костылей,  много  ручной работы, но можно и скрипт запилить

 

1 создать влан

2 создать адрес на влан

3 создать машрут

4 создать пул

5 создать днср сервер

 

в принципе и все, я делаю ручками, приток клиентов позволяет, скрипт писать просто лень.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

5 пункт означает создание DHCP-сервера на каждого клиента?

Я никак не могу считать нормальным создание нескольких тысяч DHCP-серверов на шлюзе доступа.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, alibek сказал:

5 пункт означает создание DHCP-сервера на каждого клиента?

Я никак не могу считать нормальным создание нескольких тысяч DHCP-серверов на шлюзе доступа.

да не , ну с этим как раз можно жить.

просто переформатируйте у себя в голове как "создание dhcp профиля на коммутаторе доступа для каждого клиента"

по аналогии с созданием "ip mac binding"  привязки.

но там все равно целая огромная куча вопросов.

типа как ловить события что пользователь попытался воткнуть что-то новое или вообще не на своем порту оказался

как направлять не прошедшего под ACL в dhcp-сервере пользователя на некий веб-портал идентификации

итп

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, LostSoul сказал:

поможете найти?  такое,  чтоб в пластиковый бокс для GPON на столбе помещалось и работало там без вентиляторов и охлаждения от акб напряжением 12V

Да, еще проще - кабель использовать с большим количеством волокон. Не считаете ваш вариант изначально ущербным «бай дизайн»? А то, ведь можно и еще упростить - тупарики повесить (они по 100р за кг). 

 

6 часов назад, Constantin сказал:

глупое утверждение.... отличная железка для своего места.....альтернативы просто нет, по форм фактору, по надежности, и по возможностям и по цене.

Кому-то и рак рыба. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, SyJet сказал:

Мы обычно делитель ставим :-) узлы модернизируем и тд 

это надо покупать OLT и ONU , выше требования к сварке итп

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

19 часов назад, LostSoul сказал:

хочу теперь, чтоб абонент на порту мог использовать только тот IP , который к нему по 82 опции прилетел, а не какой ему вздумается.

В режиме коммутатора так нельзя. По сути можно создать DHCP сервер на этом устройстве и по радиусу связать с центром, микротик выдаст ему нужный IP и все, с ним его трафик должна пропускать вся сеть.

 

15 часов назад, SyJet сказал:

Плохое решение выбор такого оборудования, ему не место у оператора.  Ищите с поддержкой ip source guard и ip arp spoofing

Ага эти софтовые фичи ни у какого другого производителя не зависают, не создают нагрузку на CPU и всячески не выносят мозг? По сути это все для ленивых - зачем делать вланы или QinQ, можно сделать влан на коммутатор и туда навешать всяких плюшек, а случись что весь коммутатор и потухнет разом.

 

2 часа назад, LostSoul сказал:

смысл "софтовых фич" , что абонент прицепив к провайдеру новое неизвестное устройство проводит его идентификацию через веб-логин. 

Если выдавать IP через радиус, можно посмотреть в базе авторизован ли клиент, если нет - или выдать ему другой серый IP, или на свой привязанный через правило сделать перенаправление на веб авторизацию.

 

2 часа назад, alibek сказал:

Если сеть устроена так, что на доступе работает провижнгинг или автонастройка с прописыванием VLAN, то это самая гибкая и универсальная схема из всех возможных.

Так я выше написал. Через радиус раздавать адреса, если мак клиента не известен (или порт, откуда пришел запрос), то выдать или некий серый адрес, или постоянный для этого порта, но с перенаправлением в центре. Соответственно центр всех этих товарищей отправит на веб авторизацию, по результатам которой им уже будет выдаваться постоянный адрес по окончании времени аренды временного. Все это работает и на микротике, если пачкой на все порты загнать вланы, IP адреса и DHCP сервера.

 

1 час назад, alibek сказал:

5 пункт означает создание DHCP-сервера на каждого клиента?

Я никак не могу считать нормальным создание нескольких тысяч DHCP-серверов на шлюзе доступа.

Это просто вид реализации. Что там циска разве не создает кучу DHCP серверов? Да она просто их в конфиге не показывает. А микротик показывает и никаких проблем в этом нет.

 

1 час назад, LostSoul сказал:

типа как ловить события что пользователь попытался воткнуть что-то новое или вообще не на своем порту оказался

как направлять не прошедшего под ACL в dhcp-сервере пользователя на некий веб-портал идентификации

Просто тут без привязок по маку не обойтись. В центре хранить привязку порт + мак. Если этот мак пришел с другого порта, или с этого порта другой мак - перекидывать на веб авторизацию.

Только так целесообразно делать лишь в многоэтажках, и то, когда абонентов тысяч 50 и всем сотрудникам пофиг на проблемы клиента. Т.к. многие абоненты вообще ни номера договора не знают, ни названия провайдера, ни логина и пароля от ЛК. Очень часто такие ситуации, что договор заключает один человек, а пользуются другие, например со смартфонов и т.п., и когда кончаются деньги, или меняется роутер, начинаются проблемы что надо куда-то звонить, узнавать свое подключение по адресу и номеру дома + квартиры, короче это все сложно. Проще следить за этим другими методами.

 

1 час назад, SyJet сказал:

Да, еще проще - кабель использовать с большим количеством волокон. Не считаете ваш вариант изначально ущербным «бай дизайн»?

Просто очень многие тянут не верный дизайн сети с момента строительства. Самое распространенное это шина - звезда из центра, когда в начале 2000 протянули по паре волокон через весь город, а теперь нет возможностей заменить или протянуть новые, вот и вешаются гирляндами коммутаторы, прописываются тысячи вланов и через STP типа резервирование. А если откинуть старье, поставить в такие места мини узлы, которые все заворачивают в IP транспорт - сразу все проблемы и уйдут. Не будет в центре брасов и прочего барахла, который терминирует десятки тысяч абонентов, слушает весь мусор с них. Но куда тут такое - циски дорого а микротики это не серьезно=) Вот потихоньку и разваливаются такие операторы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.