Jump to content
Калькуляторы

Найти сторонний DHCP с помощью микротика

Добрый день!

 

Ситуация следующая: в сегменте из тупых свичей периодически появляется раздача стороннего DHCP, чтобы его определить местоположение были расставлено несколько RB в разных местах, которые используются как свичи + фильтруют все кроме рррое, через которое пользователи выходят в инет. Также на каждом интерфейсе RB были включены DHCP-client, чтобы определить более точно откуда идет раздача по DHCP адресов. Проблема в неудобстве эксплуатации этой системы, т.к. чтобы определить есть раздача по DHCP или нет, то приходится поочереди заходить на каждый RB, начиная с ближайшего, проверять его состояние DHCP-client, далее отключать правила в bridge на фильтрацию трафика, чтобы попасть на следующий RB, что крайне неудобно.

 

Поэтому требуется настроить:

 

1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать?

 

2. Организовать каким-то образом оповещение, в случае, когда в сети начинается раздача адресов сторонним DHCP, DHCP-client микротика получает от него адрес и чтобы данный микротик оповещал бы об этом на почту к примеру?

Share this post


Link to post
Share on other sites

Затраты на эти микротики + секас с костылями разве не дороже управляемого доступа?

Share this post


Link to post
Share on other sites

сякунду, а нафига вам несколько мелкотиков?

Консолька:

/ip dhcp-server alert

/log print

вывод дает макадрес и ip засранца. Или я что-то не понял

Share this post


Link to post
Share on other sites

нет

 

to chetkiyparen

А что за проблема с вещанием чего-то роутера в сетку? Интернет же у него есть, а если он дебил и этим пользуются другие, то это его проблема.

Правильное решение, и оно действительно правильное - это установка l2 коммутаторов. Можно сразу забыть про петли в сети и флудящие роутеры.

Спокойствие оно дороже стоит! И сегментация VLAN на дом/подъезд и прочее.

С наилучшими пожеланиями, твой коллега!

Share this post


Link to post
Share on other sites

punker

этот четкий чувачок явно не курит маны по routeros. Спортсмен, поди :)

Share this post


Link to post
Share on other sites

Уж если и брать неуправляшки, то покупать их с возможностью порт-изоляции(например вот http://shop.nag.ru/catalog/00001.Kommutatory/04963.SNR/04960.SNR-S1907-1S ), а их уже включить в управляемый свитч, каждый в свой vlan

 

вывод дает макадрес и ip засранца.

 

Почему засранца? Вы так говорите, как-будто бы абоненты специально гадят в сеть. Собственно 2 варианта чаще всего:

- включается лан-портом

- CPE сама раздаёт на WAN-е(тут вины абонента уж точно нет). Сам лично видел такие - DLink 5402 (точную модель и софт не помню)

Share this post


Link to post
Share on other sites

1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать?

 

Можно создать фильтры на бридже, но лучше подключить эти микротики так же по PPPoE, тогда остается блокировка всего трафика без изменений.

Share this post


Link to post
Share on other sites

Почему засранца? Вы так говорите, как-будто бы абоненты специально гадят в сеть. Собственно 2 варианта чаще всего:

Профессиональный фольклор, никого обидеть не хотел.

Когда сами увидите, как в одной промышленной шине (rs485, к примеру), в сети ведомые-к-ведущему дерется штуки четыре мастер-контроллеров этой самой шины)))) Других слов просто нет, осциллограф с ума сходит) Прямо даже стрелки у него расти ничаниют :D

Edited by ChargeSet

Share this post


Link to post
Share on other sites

1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать?

 

Можно создать фильтры на бридже, но лучше подключить эти микротики так же по PPPoE, тогда остается блокировка всего трафика без изменений.

 

к примеру ip RB 10.0.1.0/24, поднял на них рррое-клиенты, им раздаются адреса при авторизации 10.0.2.0/24. Подключаюсь удаленно через рртр, могу подключится к микротикам только по локальным адресам 10.0.1.0/24, а не 10.0.2.0/24, но с самого рррое-сервера, которым выступает RB пингуются оба пула адресов! Нужно прописать дополнительный маршрут какой-то или подправить пул рртр, который выдается при удаленном подключении на 10.0.2.0/24 ?

 

 

PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах!

Edited by chetkiyparen

Share this post


Link to post
Share on other sites

Вообще-то когда микротик получает адрес от PPPoE, он получает и маршрут по умолчанию в сторону сервера (если конечно галочку поставили), далее получается что он уже знает куда отправлять запросы. Что бы вы могли зайти на него извне, то ваше устройство должно знать, куда отправлять запросы на адреса подключенных микротиков. Соответственно трафик не должен попадать под двухсторонний НАТ, и под фильтры.

 

Следовательно в центре нужно отключить НАТ для 10.0.2.0/24. Если все равно доступа нет по каким-то причинам, то настройте НАТ при заходе с адресов 10.0.1.0/24 в сторону адресов 10.0.2.0/24.

 

И не забудьте удалить или увеличить метрику маршруту, который указали на этих микротиках при настройке IP на сетевом интерфейсе.

Share this post


Link to post
Share on other sites

А что мешает поднять dhcdrop на виртуалке и натравить его в сеть?

У меня вся сеть на l2 но у меня пока что vlan на дом, в основном спасают ACL но не всегда стоят железки которые жуют ACL да и иногда на разных версиях прошивки той же самой cisco 2950 ACL не корректно работает если прописан remark

Share this post


Link to post
Share on other sites

PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах!

слышь, ты чо так базаришь йопта?

Тебе прямым тестом сказали команду в консоли, по которой гуглится мануал по Rogue DHCP для Mikrotik RouterOS. Чтобы ты свой трабл решил нативно, средствами твоего оборудования в продакшене и без глупых костылей

А ты выеживаешься. Не по-пацански так-то

Share this post


Link to post
Share on other sites

Просмотр сообщенияchetkiyparen (29 марта 2014 - 22:17) писал:

PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах!

у тс переходный возраст, прыщи, девки в глазах, отсюда и соотвественно тон разговора, просто не обращать внимания

Share this post


Link to post
Share on other sites

PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах!

слышь, ты чо так базаришь йопта?

Тебе прямым тестом сказали команду в консоли, по которой гуглится мануал по Rogue DHCP для Mikrotik RouterOS. Чтобы ты свой трабл решил нативно, средствами твоего оборудования в продакшене и без глупых костылей

А ты выеживаешься. Не по-пацански так-то

 

пацанчик гуляй лесом!

 

Понты колоти в другой теме, я задал вопрос тем, кто сталкивался с подобной ситуацией как у меня или знает как организовать то, что я спрашиваю.

 

Гуглом пользоваться умею, не переживай. В мануалах пишут общую информацию, которой не всегда достаточно для решения поставленной задачи, а чтобы решить ее с помощью мануалов нужно перечитать все что есть и еще пару книжок сторонних, только зачем тогда мне здесь будет вопросы задавать, если после этого моно все сертификаты получить и самому обучающий центр открыть! У тебя есть на это пару лет? У меня нет, и решить проблему нужно сейчас, а не потом!

Edited by chetkiyparen

Share this post


Link to post
Share on other sites

лол. Ты не можешь одну команду вбить в консольку, только ноешь. Эта одна команда при раскуривании двух манов (один на полстраницы и один чуть подлиннее, про скрипты) позволит автоматизировать процесс отсечения rogue dhcp.

 

Здесь должна быть картинка с известным персонажем Светлакова и соответствующей надписью

Share this post


Link to post
Share on other sites

Здесь должна быть картинка с известным персонажем Светлакова и соответствующей надписью

Скорее картика с Задорновым

Share this post


Link to post
Share on other sites

Для тех кто невнимательно читал первый пост повторю, что мне не надо отсекать левый dhcp, я его и так отсекаю, по маку определяю кто есть кто, но не всегда это получается, т.к. иногда раздача адресов идет с мака, который клиентом не является, т.е. авторизации с него нет, поэтому и несколько rb, чтобы территориально определить примерное расположение.

 

Мне нужно оповещение от микротика о появившемся DHCP в сети, на почту к примеру или смс, чтобы не мониторить постоянно эту сетку!

Share this post


Link to post
Share on other sites

если у вас гирлянда и в ней стоят несколько RB зачем отключать какие то правила на первом что бы попасть на второй и далее? вы не умеете настраивать RB? c стороны админа далее по цепочки вы должны попадать на любое оборудование без отключения каких то правил на RB, а с конца цепочки нет. Это легко настраивается на ваших RB. Далее решить проблему сторонних DHCP вы сможете только тем абонентам которые подключены к RB, все остальные абоненты которые подключены к мыльницам и имеют в своем сегменте сторонний DHCP по прежнему будут испытывать проблемы.

Share this post


Link to post
Share on other sites

Для тех кто невнимательно читал первый пост повторю, что мне не надо отсекать левый dhcp, я его и так отсекаю, по маку определяю кто есть кто, но не всегда это получается, т.к. иногда раздача адресов идет с мака, который клиентом не является, т.е. авторизации с него нет, поэтому и несколько rb, чтобы территориально определить примерное расположение.

 

Мне нужно оповещение от микротика о появившемся DHCP в сети, на почту к примеру или смс, чтобы не мониторить постоянно эту сетку!

 

Ну так в чем проблема? Про /ip dhcp-server alert Вам уже рассказали, а дальше: настройте на микротиках syslog на лог-сервер и на нем парсите вывод тиков результат куда уже угодно...

Есть готовые syslog сервера, но в принципе это напишет и любой вменяемый студент программист.

Не уверен, что есть но возможно тик и snmp trap-ы умеет, суть в принипе та же, что и с сислогом, просто способ доставки другой.

Share this post


Link to post
Share on other sites

да читайте же маны, на самом микрике можна и почту отправлять и смс !!!

Share this post


Link to post
Share on other sites

если у вас гирлянда и в ней стоят несколько RB зачем отключать какие то правила на первом что бы попасть на второй и далее? вы не умеете настраивать RB? c стороны админа далее по цепочки вы должны попадать на любое оборудование без отключения каких то правил на RB, а с конца цепочки нет. Это легко настраивается на ваших RB. Далее решить проблему сторонних DHCP вы сможете только тем абонентам которые подключены к RB, все остальные абоненты которые подключены к мыльницам и имеют в своем сегменте сторонний DHCP по прежнему будут испытывать проблемы.

 

с этим я согласен, по поводу настройки rb, доступ с порта, который обращен к серверу я также фильтрую в виду того, что rb стоят не в последовательной цепочке, а лишь на узловых местах

Share this post


Link to post
Share on other sites

Вообще-то когда микротик получает адрес от PPPoE, он получает и маршрут по умолчанию в сторону сервера (если конечно галочку поставили), далее получается что он уже знает куда отправлять запросы. Что бы вы могли зайти на него извне, то ваше устройство должно знать, куда отправлять запросы на адреса подключенных микротиков. Соответственно трафик не должен попадать под двухсторонний НАТ, и под фильтры.

 

Следовательно в центре нужно отключить НАТ для 10.0.2.0/24. Если все равно доступа нет по каким-то причинам, то настройте НАТ при заходе с адресов 10.0.1.0/24 в сторону адресов 10.0.2.0/24.

 

И не забудьте удалить или увеличить метрику маршруту, который указали на этих микротиках при настройке IP на сетевом интерфейсе.

 

Спасибо! Дело в метрике было

Share this post


Link to post
Share on other sites

я также фильтрую в виду того, что rb стоят не в последовательной цепочке, а лишь на узловых местах

какая разница где они стоят? все что за ними должно быть видно со стороны админа, это же как сегметтация все порты могут работать только с аплинком.

Share this post


Link to post
Share on other sites

с доступом решил вопрос, осталось настроить rb, чтобы он оповещал на почту о получении адреса по DHCP-client

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this