Jump to content
Калькуляторы

DHCP клиент. Как блокировать адреса, прописанные вручную?

Здравствуйте.

 

Настраиваю "выносной" сервер доступа на Микротике.

В user manager прописаны МАС-адреса из локальной сети, которые могут получать IP по DHCP. Там же прописаны ограничения скорости.

Устройства с прописанными МАС-адресами получают IP по DHCP и доступ за пределы сети. Если МАС отсутствует - адрес не выдаётся, доступа нет.

 

Но если вручную на устройстве из локальной сети прописать IP из пула, из которого выдаются адреса - устройство получает доступ за пределы локалки вне зависимости от его МАС адреса.

Как эту лазейку правильно заблокировать?

 

Спасибо.

Share this post


Link to post
Share on other sites

Отключить автоматический ARP, добавлять через лизы.

Share this post


Link to post
Share on other sites

на интерфейсе в сторону клиента arp - reply only

в dhcp server галка - add ARP for Lease

 

и счастливо .... прописать адрес ручками

 

и да привязывать мак к ip не стоит, отлично это работает на vlan for clients

Share this post


Link to post
Share on other sites

большое спасибо за помощь!

всё очень просто - когда знаешь, как :)

Share this post


Link to post
Share on other sites
1 час назад, Constantin сказал:

на интерфейсе в сторону клиента arp - reply only

в dhcp server галка - add ARP for Lease

а если у меня dhcp не на этом микротике, а на этом только релай?

 

Share this post


Link to post
Share on other sites
2 минуты назад, LostSoul сказал:

а если у меня dhcp не на этом микротике, а на этом только релай?

рисовать нуна )) в уме виртализировать уже сложновато )))

Share this post


Link to post
Share on other sites
51 минуту назад, Constantin сказал:

рисовать нуна )) в уме виртализировать уже сложновато )))

да простейшая там картина маслом.

висит у меня где-то в частном секторе MikroTik CRS106-1C-5S ,  настроен в режиме свитча  ( так как в режиме роутера без правил он больше 200-400мбит не прокачивает )

включен dhcp relay , чтоб 82 опцию в пакеты добавлять.

хочу теперь, чтоб абонент на порту мог использовать только тот IP , который к нему по 82 опции прилетел, а не какой ему вздумается.

И хочу чтоб исходящий трафик с некорректных IP тоже резался, а не чтоб он по udp спуфил какой хочет src

 

 

Share this post


Link to post
Share on other sites

после микрота еще есть железо?  ибо не понимаю для чего 4 клиентам 400+ мбит )))

 

если после него управляемые свичи то влан на клиента и гнать все в ядро, это самая простая и не пробиваемая схема,

с релеем пока не представляю как полноценно оградить себя от умников

 

Share this post


Link to post
Share on other sites
6 минут назад, Constantin сказал:

после микрота еще есть железо?  ибо не понимаю для чего 4 клиентам 400+ мбит )))

что там непонятного то.

в москве рынок диктует тарифы по 500-1000 мбит уже

 

Share this post


Link to post
Share on other sites
1 минуту назад, LostSoul сказал:

в москве рынок диктует тарифы по 500-1000 мбит уже

да пусть диктует но 99% времени там будет 10 мбит по порту....ладно это лирика

хотите тупое л2, делайте влан на порт и гоните эти 4 влана к своим днср серверам.

и нагрузки минимум и настроек минимум.

Share this post


Link to post
Share on other sites
Только что, Constantin сказал:

хотите тупое л2, делайте влан на порт и гоните эти 4 влана к своим днср серверам.

так может ну его тогда нахрен этот микротик на доступе? :-)

 

Share this post


Link to post
Share on other sites
3 часа назад, LostSoul сказал:

да простейшая там картина маслом.

висит у меня где-то в частном секторе MikroTik CRS106-1C-5S ,  настроен в режиме свитча  ( так как в режиме роутера без правил он больше 200-400мбит не прокачивает )

включен dhcp relay , чтоб 82 опцию в пакеты добавлять.

хочу теперь, чтоб абонент на порту мог использовать только тот IP , который к нему по 82 опции прилетел, а не какой ему вздумается.

И хочу чтоб исходящий трафик с некорректных IP тоже резался, а не чтоб он по udp спуфил какой хочет src

 

 

Плохое решение выбор такого оборудования, ему не место у оператора.  Ищите с поддержкой ip source guard и ip arp spoofing

Share this post


Link to post
Share on other sites
7 часов назад, SyJet сказал:

Плохое решение выбор такого оборудования, ему не место у оператора.

глупое утверждение.... отличная железка для своего места.....альтернативы просто нет, по форм фактору, по надежности, и по возможностям и по цене.

Share this post


Link to post
Share on other sites
12 часов назад, SyJet сказал:

Ищите с поддержкой ip source guard и ip arp spoofing

Если бы сейчас строил сеть с нуля, забил бы на все эти софтовые фичи, тупые свитчи в которых есть только вланы, vpc, qnq, это кмк на данный момент лучшая схема.

Share this post


Link to post
Share on other sites

Да. Подход "тупой доступ, умное ядро" себя хорошо показывает.

Share this post


Link to post
Share on other sites
13 часов назад, SyJet сказал:

Плохое решение выбор такого оборудования, ему не место у оператора.  Ищите с поддержкой ip source guard и ip arp spoofing

поможете найти?  такое,  чтоб в пластиковый бокс для GPON на столбе помещалось и работало там без вентиляторов и охлаждения от акб напряжением 12V

 

 

56 минут назад, pppoetest сказал:

тупые свитчи в которых есть только вланы, vpc

ну ничего себе тупые свитчи с vpc  :-)

 

смысл "софтовых фич" , что абонент прицепив к провайдеру новое неизвестное устройство проводит его идентификацию через веб-логин.    А так же в закрытии возможности спуфинга прямо на порту доступа. 

Для реализации такого функционала без "интеллекта" на доступе, вам придется тащить vlan per user до агрегации или ядра.

 

Share this post


Link to post
Share on other sites
21 минуту назад, LostSoul сказал:

ну ничего себе тупые свитчи с vpc

vpc это vlan per client|customer (или vpu — vlan per user). Можно реализовать почти на чем угодно при большом желании.

Если сеть устроена так, что на доступе работает провижнгинг или автонастройка с прописыванием VLAN, то это самая гибкая и универсальная схема из всех возможных.

(L3-доступ я не учитываю, делать его нормально и за соответствующие деньги не на чем, микротики по схеме Saab95 с кучей костылей/подпорок под "нормально" я не учитываю)

 

22 минуты назад, LostSoul сказал:

Для реализации такого функционала без "интеллекта" на доступе, вам придется тащить vlan per user до агрегации или ядра.

Ну да. В этом и смысл, чтобы l2-connected дотащить до нормального узла с нормальными возможностями.

Share this post


Link to post
Share on other sites
8 минут назад, alibek сказал:

микротики по схеме Saab95 с кучей костылей/подпорок под "нормально" я не учитываю)

никаких костылей,  много  ручной работы, но можно и скрипт запилить

 

1 создать влан

2 создать адрес на влан

3 создать машрут

4 создать пул

5 создать днср сервер

 

в принципе и все, я делаю ручками, приток клиентов позволяет, скрипт писать просто лень.

Share this post


Link to post
Share on other sites

5 пункт означает создание DHCP-сервера на каждого клиента?

Я никак не могу считать нормальным создание нескольких тысяч DHCP-серверов на шлюзе доступа.

Share this post


Link to post
Share on other sites
Только что, alibek сказал:

5 пункт означает создание DHCP-сервера на каждого клиента?

Я никак не могу считать нормальным создание нескольких тысяч DHCP-серверов на шлюзе доступа.

да не , ну с этим как раз можно жить.

просто переформатируйте у себя в голове как "создание dhcp профиля на коммутаторе доступа для каждого клиента"

по аналогии с созданием "ip mac binding"  привязки.

но там все равно целая огромная куча вопросов.

типа как ловить события что пользователь попытался воткнуть что-то новое или вообще не на своем порту оказался

как направлять не прошедшего под ACL в dhcp-сервере пользователя на некий веб-портал идентификации

итп

 

Share this post


Link to post
Share on other sites
1 час назад, LostSoul сказал:

поможете найти?  такое,  чтоб в пластиковый бокс для GPON на столбе помещалось и работало там без вентиляторов и охлаждения от акб напряжением 12V

Да, еще проще - кабель использовать с большим количеством волокон. Не считаете ваш вариант изначально ущербным «бай дизайн»? А то, ведь можно и еще упростить - тупарики повесить (они по 100р за кг). 

 

6 часов назад, Constantin сказал:

глупое утверждение.... отличная железка для своего места.....альтернативы просто нет, по форм фактору, по надежности, и по возможностям и по цене.

Кому-то и рак рыба. 

Share this post


Link to post
Share on other sites
1 минуту назад, SyJet сказал:

Мы обычно делитель ставим :-) узлы модернизируем и тд 

это надо покупать OLT и ONU , выше требования к сварке итп

 

Share this post


Link to post
Share on other sites
19 часов назад, LostSoul сказал:

хочу теперь, чтоб абонент на порту мог использовать только тот IP , который к нему по 82 опции прилетел, а не какой ему вздумается.

В режиме коммутатора так нельзя. По сути можно создать DHCP сервер на этом устройстве и по радиусу связать с центром, микротик выдаст ему нужный IP и все, с ним его трафик должна пропускать вся сеть.

 

15 часов назад, SyJet сказал:

Плохое решение выбор такого оборудования, ему не место у оператора.  Ищите с поддержкой ip source guard и ip arp spoofing

Ага эти софтовые фичи ни у какого другого производителя не зависают, не создают нагрузку на CPU и всячески не выносят мозг? По сути это все для ленивых - зачем делать вланы или QinQ, можно сделать влан на коммутатор и туда навешать всяких плюшек, а случись что весь коммутатор и потухнет разом.

 

2 часа назад, LostSoul сказал:

смысл "софтовых фич" , что абонент прицепив к провайдеру новое неизвестное устройство проводит его идентификацию через веб-логин. 

Если выдавать IP через радиус, можно посмотреть в базе авторизован ли клиент, если нет - или выдать ему другой серый IP, или на свой привязанный через правило сделать перенаправление на веб авторизацию.

 

2 часа назад, alibek сказал:

Если сеть устроена так, что на доступе работает провижнгинг или автонастройка с прописыванием VLAN, то это самая гибкая и универсальная схема из всех возможных.

Так я выше написал. Через радиус раздавать адреса, если мак клиента не известен (или порт, откуда пришел запрос), то выдать или некий серый адрес, или постоянный для этого порта, но с перенаправлением в центре. Соответственно центр всех этих товарищей отправит на веб авторизацию, по результатам которой им уже будет выдаваться постоянный адрес по окончании времени аренды временного. Все это работает и на микротике, если пачкой на все порты загнать вланы, IP адреса и DHCP сервера.

 

1 час назад, alibek сказал:

5 пункт означает создание DHCP-сервера на каждого клиента?

Я никак не могу считать нормальным создание нескольких тысяч DHCP-серверов на шлюзе доступа.

Это просто вид реализации. Что там циска разве не создает кучу DHCP серверов? Да она просто их в конфиге не показывает. А микротик показывает и никаких проблем в этом нет.

 

1 час назад, LostSoul сказал:

типа как ловить события что пользователь попытался воткнуть что-то новое или вообще не на своем порту оказался

как направлять не прошедшего под ACL в dhcp-сервере пользователя на некий веб-портал идентификации

Просто тут без привязок по маку не обойтись. В центре хранить привязку порт + мак. Если этот мак пришел с другого порта, или с этого порта другой мак - перекидывать на веб авторизацию.

Только так целесообразно делать лишь в многоэтажках, и то, когда абонентов тысяч 50 и всем сотрудникам пофиг на проблемы клиента. Т.к. многие абоненты вообще ни номера договора не знают, ни названия провайдера, ни логина и пароля от ЛК. Очень часто такие ситуации, что договор заключает один человек, а пользуются другие, например со смартфонов и т.п., и когда кончаются деньги, или меняется роутер, начинаются проблемы что надо куда-то звонить, узнавать свое подключение по адресу и номеру дома + квартиры, короче это все сложно. Проще следить за этим другими методами.

 

1 час назад, SyJet сказал:

Да, еще проще - кабель использовать с большим количеством волокон. Не считаете ваш вариант изначально ущербным «бай дизайн»?

Просто очень многие тянут не верный дизайн сети с момента строительства. Самое распространенное это шина - звезда из центра, когда в начале 2000 протянули по паре волокон через весь город, а теперь нет возможностей заменить или протянуть новые, вот и вешаются гирляндами коммутаторы, прописываются тысячи вланов и через STP типа резервирование. А если откинуть старье, поставить в такие места мини узлы, которые все заворачивают в IP транспорт - сразу все проблемы и уйдут. Не будет в центре брасов и прочего барахла, который терминирует десятки тысяч абонентов, слушает весь мусор с них. Но куда тут такое - циски дорого а микротики это не серьезно=) Вот потихоньку и разваливаются такие операторы.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this