chetkiyparen Posted March 29, 2014 Добрый день! Ситуация следующая: в сегменте из тупых свичей периодически появляется раздача стороннего DHCP, чтобы его определить местоположение были расставлено несколько RB в разных местах, которые используются как свичи + фильтруют все кроме рррое, через которое пользователи выходят в инет. Также на каждом интерфейсе RB были включены DHCP-client, чтобы определить более точно откуда идет раздача по DHCP адресов. Проблема в неудобстве эксплуатации этой системы, т.к. чтобы определить есть раздача по DHCP или нет, то приходится поочереди заходить на каждый RB, начиная с ближайшего, проверять его состояние DHCP-client, далее отключать правила в bridge на фильтрацию трафика, чтобы попасть на следующий RB, что крайне неудобно. Поэтому требуется настроить: 1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать? 2. Организовать каким-то образом оповещение, в случае, когда в сети начинается раздача адресов сторонним DHCP, DHCP-client микротика получает от него адрес и чтобы данный микротик оповещал бы об этом на почту к примеру? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted March 29, 2014 Затраты на эти микротики + секас с костылями разве не дороже управляемого доступа? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted March 29, 2014 нет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted March 29, 2014 сякунду, а нафига вам несколько мелкотиков? Консолька: /ip dhcp-server alert /log print вывод дает макадрес и ip засранца. Или я что-то не понял Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
punker Posted March 29, 2014 нет to chetkiyparen А что за проблема с вещанием чего-то роутера в сетку? Интернет же у него есть, а если он дебил и этим пользуются другие, то это его проблема. Правильное решение, и оно действительно правильное - это установка l2 коммутаторов. Можно сразу забыть про петли в сети и флудящие роутеры. Спокойствие оно дороже стоит! И сегментация VLAN на дом/подъезд и прочее. С наилучшими пожеланиями, твой коллега! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted March 29, 2014 punker этот четкий чувачок явно не курит маны по routeros. Спортсмен, поди :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted March 29, 2014 Уж если и брать неуправляшки, то покупать их с возможностью порт-изоляции(например вот http://shop.nag.ru/catalog/00001.Kommutatory/04963.SNR/04960.SNR-S1907-1S ), а их уже включить в управляемый свитч, каждый в свой vlan вывод дает макадрес и ip засранца. Почему засранца? Вы так говорите, как-будто бы абоненты специально гадят в сеть. Собственно 2 варианта чаще всего: - включается лан-портом - CPE сама раздаёт на WAN-е(тут вины абонента уж точно нет). Сам лично видел такие - DLink 5402 (точную модель и софт не помню) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 29, 2014 1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать? Можно создать фильтры на бридже, но лучше подключить эти микротики так же по PPPoE, тогда остается блокировка всего трафика без изменений. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted March 29, 2014 (edited) Почему засранца? Вы так говорите, как-будто бы абоненты специально гадят в сеть. Собственно 2 варианта чаще всего: Профессиональный фольклор, никого обидеть не хотел. Когда сами увидите, как в одной промышленной шине (rs485, к примеру), в сети ведомые-к-ведущему дерется штуки четыре мастер-контроллеров этой самой шины)))) Других слов просто нет, осциллограф с ума сходит) Прямо даже стрелки у него расти ничаниют :D Edited March 29, 2014 by ChargeSet Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted March 29, 2014 (edited) 1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать? Можно создать фильтры на бридже, но лучше подключить эти микротики так же по PPPoE, тогда остается блокировка всего трафика без изменений. к примеру ip RB 10.0.1.0/24, поднял на них рррое-клиенты, им раздаются адреса при авторизации 10.0.2.0/24. Подключаюсь удаленно через рртр, могу подключится к микротикам только по локальным адресам 10.0.1.0/24, а не 10.0.2.0/24, но с самого рррое-сервера, которым выступает RB пингуются оба пула адресов! Нужно прописать дополнительный маршрут какой-то или подправить пул рртр, который выдается при удаленном подключении на 10.0.2.0/24 ? PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах! Edited March 29, 2014 by chetkiyparen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted March 29, 2014 Вообще-то когда микротик получает адрес от PPPoE, он получает и маршрут по умолчанию в сторону сервера (если конечно галочку поставили), далее получается что он уже знает куда отправлять запросы. Что бы вы могли зайти на него извне, то ваше устройство должно знать, куда отправлять запросы на адреса подключенных микротиков. Соответственно трафик не должен попадать под двухсторонний НАТ, и под фильтры. Следовательно в центре нужно отключить НАТ для 10.0.2.0/24. Если все равно доступа нет по каким-то причинам, то настройте НАТ при заходе с адресов 10.0.1.0/24 в сторону адресов 10.0.2.0/24. И не забудьте удалить или увеличить метрику маршруту, который указали на этих микротиках при настройке IP на сетевом интерфейсе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted March 29, 2014 А что мешает поднять dhcdrop на виртуалке и натравить его в сеть? У меня вся сеть на l2 но у меня пока что vlan на дом, в основном спасают ACL но не всегда стоят железки которые жуют ACL да и иногда на разных версиях прошивки той же самой cisco 2950 ACL не корректно работает если прописан remark Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted March 29, 2014 PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах! слышь, ты чо так базаришь йопта? Тебе прямым тестом сказали команду в консоли, по которой гуглится мануал по Rogue DHCP для Mikrotik RouterOS. Чтобы ты свой трабл решил нативно, средствами твоего оборудования в продакшене и без глупых костылей А ты выеживаешься. Не по-пацански так-то Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Liner's Posted March 31, 2014 Просмотр сообщенияchetkiyparen (29 марта 2014 - 22:17) писал: PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах! у тс переходный возраст, прыщи, девки в глазах, отсюда и соотвественно тон разговора, просто не обращать внимания Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted March 31, 2014 (edited) PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах! слышь, ты чо так базаришь йопта? Тебе прямым тестом сказали команду в консоли, по которой гуглится мануал по Rogue DHCP для Mikrotik RouterOS. Чтобы ты свой трабл решил нативно, средствами твоего оборудования в продакшене и без глупых костылей А ты выеживаешься. Не по-пацански так-то пацанчик гуляй лесом! Понты колоти в другой теме, я задал вопрос тем, кто сталкивался с подобной ситуацией как у меня или знает как организовать то, что я спрашиваю. Гуглом пользоваться умею, не переживай. В мануалах пишут общую информацию, которой не всегда достаточно для решения поставленной задачи, а чтобы решить ее с помощью мануалов нужно перечитать все что есть и еще пару книжок сторонних, только зачем тогда мне здесь будет вопросы задавать, если после этого моно все сертификаты получить и самому обучающий центр открыть! У тебя есть на это пару лет? У меня нет, и решить проблему нужно сейчас, а не потом! Edited March 31, 2014 by chetkiyparen Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ChargeSet Posted March 31, 2014 лол. Ты не можешь одну команду вбить в консольку, только ноешь. Эта одна команда при раскуривании двух манов (один на полстраницы и один чуть подлиннее, про скрипты) позволит автоматизировать процесс отсечения rogue dhcp. Здесь должна быть картинка с известным персонажем Светлакова и соответствующей надписью Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted March 31, 2014 Здесь должна быть картинка с известным персонажем Светлакова и соответствующей надписью Скорее картика с Задорновым Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted March 31, 2014 Для тех кто невнимательно читал первый пост повторю, что мне не надо отсекать левый dhcp, я его и так отсекаю, по маку определяю кто есть кто, но не всегда это получается, т.к. иногда раздача адресов идет с мака, который клиентом не является, т.е. авторизации с него нет, поэтому и несколько rb, чтобы территориально определить примерное расположение. Мне нужно оповещение от микротика о появившемся DHCP в сети, на почту к примеру или смс, чтобы не мониторить постоянно эту сетку! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sherwood Posted March 31, 2014 если у вас гирлянда и в ней стоят несколько RB зачем отключать какие то правила на первом что бы попасть на второй и далее? вы не умеете настраивать RB? c стороны админа далее по цепочки вы должны попадать на любое оборудование без отключения каких то правил на RB, а с конца цепочки нет. Это легко настраивается на ваших RB. Далее решить проблему сторонних DHCP вы сможете только тем абонентам которые подключены к RB, все остальные абоненты которые подключены к мыльницам и имеют в своем сегменте сторонний DHCP по прежнему будут испытывать проблемы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
B_Bondarenko Posted March 31, 2014 Для тех кто невнимательно читал первый пост повторю, что мне не надо отсекать левый dhcp, я его и так отсекаю, по маку определяю кто есть кто, но не всегда это получается, т.к. иногда раздача адресов идет с мака, который клиентом не является, т.е. авторизации с него нет, поэтому и несколько rb, чтобы территориально определить примерное расположение. Мне нужно оповещение от микротика о появившемся DHCP в сети, на почту к примеру или смс, чтобы не мониторить постоянно эту сетку! Ну так в чем проблема? Про /ip dhcp-server alert Вам уже рассказали, а дальше: настройте на микротиках syslog на лог-сервер и на нем парсите вывод тиков результат куда уже угодно... Есть готовые syslog сервера, но в принципе это напишет и любой вменяемый студент программист. Не уверен, что есть но возможно тик и snmp trap-ы умеет, суть в принипе та же, что и с сислогом, просто способ доставки другой. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
martini Posted March 31, 2014 да читайте же маны, на самом микрике можна и почту отправлять и смс !!! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted March 31, 2014 если у вас гирлянда и в ней стоят несколько RB зачем отключать какие то правила на первом что бы попасть на второй и далее? вы не умеете настраивать RB? c стороны админа далее по цепочки вы должны попадать на любое оборудование без отключения каких то правил на RB, а с конца цепочки нет. Это легко настраивается на ваших RB. Далее решить проблему сторонних DHCP вы сможете только тем абонентам которые подключены к RB, все остальные абоненты которые подключены к мыльницам и имеют в своем сегменте сторонний DHCP по прежнему будут испытывать проблемы. с этим я согласен, по поводу настройки rb, доступ с порта, который обращен к серверу я также фильтрую в виду того, что rb стоят не в последовательной цепочке, а лишь на узловых местах Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted March 31, 2014 Вообще-то когда микротик получает адрес от PPPoE, он получает и маршрут по умолчанию в сторону сервера (если конечно галочку поставили), далее получается что он уже знает куда отправлять запросы. Что бы вы могли зайти на него извне, то ваше устройство должно знать, куда отправлять запросы на адреса подключенных микротиков. Соответственно трафик не должен попадать под двухсторонний НАТ, и под фильтры. Следовательно в центре нужно отключить НАТ для 10.0.2.0/24. Если все равно доступа нет по каким-то причинам, то настройте НАТ при заходе с адресов 10.0.1.0/24 в сторону адресов 10.0.2.0/24. И не забудьте удалить или увеличить метрику маршруту, который указали на этих микротиках при настройке IP на сетевом интерфейсе. Спасибо! Дело в метрике было Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sherwood Posted April 1, 2014 я также фильтрую в виду того, что rb стоят не в последовательной цепочке, а лишь на узловых местах какая разница где они стоят? все что за ними должно быть видно со стороны админа, это же как сегметтация все порты могут работать только с аплинком. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
chetkiyparen Posted April 1, 2014 с доступом решил вопрос, осталось настроить rb, чтобы он оповещал на почту о получении адреса по DHCP-client Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...