[chetkiyparen]

Добрый день!

 

Ситуация следующая: в сегменте из тупых свичей периодически появляется раздача стороннего DHCP, чтобы его определить местоположение были расставлено несколько RB в разных местах, которые используются как свичи + фильтруют все кроме рррое, через которое пользователи выходят в инет. Также на каждом интерфейсе RB были включены DHCP-client, чтобы определить более точно откуда идет раздача по DHCP адресов. Проблема в неудобстве эксплуатации этой системы, т.к. чтобы определить есть раздача по DHCP или нет, то приходится поочереди заходить на каждый RB, начиная с ближайшего, проверять его состояние DHCP-client, далее отключать правила в bridge на фильтрацию трафика, чтобы попасть на следующий RB, что крайне неудобно.

 

Поэтому требуется настроить:

 

1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать?

 

2. Организовать каким-то образом оповещение, в случае, когда в сети начинается раздача адресов сторонним DHCP, DHCP-client микротика получает от него адрес и чтобы данный микротик оповещал бы об этом на почту к примеру?

[pppoetest]

Затраты на эти микротики + секас с костылями разве не дороже управляемого доступа?

[chetkiyparen]

нет

[ChargeSet]

сякунду, а нафига вам несколько мелкотиков?

Консолька:

/ip dhcp-server alert

/log print

вывод дает макадрес и ip засранца. Или я что-то не понял

[punker]

нет

 

to chetkiyparen

А что за проблема с вещанием чего-то роутера в сетку? Интернет же у него есть, а если он дебил и этим пользуются другие, то это его проблема.

Правильное решение, и оно действительно правильное - это установка l2 коммутаторов. Можно сразу забыть про петли в сети и флудящие роутеры.

Спокойствие оно дороже стоит! И сегментация VLAN на дом/подъезд и прочее.

С наилучшими пожеланиями, твой коллега!

[ChargeSet]

punker

этот четкий чувачок явно не курит маны по routeros. Спортсмен, поди :)

[s.lobanov]

Уж если и брать неуправляшки, то покупать их с возможностью порт-изоляции(например вот http://shop.nag.ru/catalog/00001.Kommutatory/04963.SNR/04960.SNR-S1907-1S ), а их уже включить в управляемый свитч, каждый в свой vlan

 

вывод дает макадрес и ip засранца.

 

Почему засранца? Вы так говорите, как-будто бы абоненты специально гадят в сеть. Собственно 2 варианта чаще всего:

- включается лан-портом

- CPE сама раздаёт на WAN-е(тут вины абонента уж точно нет). Сам лично видел такие - DLink 5402 (точную модель и софт не помню)

[Saab95]

1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать?

 

Можно создать фильтры на бридже, но лучше подключить эти микротики так же по PPPoE, тогда остается блокировка всего трафика без изменений.

[ChargeSet]

Почему засранца? Вы так говорите, как-будто бы абоненты специально гадят в сеть. Собственно 2 варианта чаще всего:

Профессиональный фольклор, никого обидеть не хотел.

Когда сами увидите, как в одной промышленной шине (rs485, к примеру), в сети ведомые-к-ведущему дерется штуки четыре мастер-контроллеров этой самой шины)))) Других слов просто нет, осциллограф с ума сходит) Прямо даже стрелки у него расти ничаниют :D

Edited March 29, 2014 by ChargeSet

[chetkiyparen]

1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать?

 

Можно создать фильтры на бридже, но лучше подключить эти микротики так же по PPPoE, тогда остается блокировка всего трафика без изменений.

 

к примеру ip RB 10.0.1.0/24, поднял на них рррое-клиенты, им раздаются адреса при авторизации 10.0.2.0/24. Подключаюсь удаленно через рртр, могу подключится к микротикам только по локальным адресам 10.0.1.0/24, а не 10.0.2.0/24, но с самого рррое-сервера, которым выступает RB пингуются оба пула адресов! Нужно прописать дополнительный маршрут какой-то или подправить пул рртр, который выдается при удаленном подключении на 10.0.2.0/24 ?

 

 

PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах!

Edited March 29, 2014 by chetkiyparen

[Saab95]

Вообще-то когда микротик получает адрес от PPPoE, он получает и маршрут по умолчанию в сторону сервера (если конечно галочку поставили), далее получается что он уже знает куда отправлять запросы. Что бы вы могли зайти на него извне, то ваше устройство должно знать, куда отправлять запросы на адреса подключенных микротиков. Соответственно трафик не должен попадать под двухсторонний НАТ, и под фильтры.

 

Следовательно в центре нужно отключить НАТ для 10.0.2.0/24. Если все равно доступа нет по каким-то причинам, то настройте НАТ при заходе с адресов 10.0.1.0/24 в сторону адресов 10.0.2.0/24.

 

И не забудьте удалить или увеличить метрику маршруту, который указали на этих микротиках при настройке IP на сетевом интерфейсе.

[FATHER_FBI]

А что мешает поднять dhcdrop на виртуалке и натравить его в сеть?

У меня вся сеть на l2 но у меня пока что vlan на дом, в основном спасают ACL но не всегда стоят железки которые жуют ACL да и иногда на разных версиях прошивки той же самой cisco 2950 ACL не корректно работает если прописан remark

[ChargeSet]

PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах!

слышь, ты чо так базаришь йопта?

Тебе прямым тестом сказали команду в консоли, по которой гуглится мануал по Rogue DHCP для Mikrotik RouterOS. Чтобы ты свой трабл решил нативно, средствами твоего оборудования в продакшене и без глупых костылей

А ты выеживаешься. Не по-пацански так-то

[Liner's]

Просмотр сообщенияchetkiyparen (29 марта 2014 - 22:17) писал:

PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах!

у тс переходный возраст, прыщи, девки в глазах, отсюда и соотвественно тон разговора, просто не обращать внимания

[chetkiyparen]

PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах!

слышь, ты чо так базаришь йопта?

Тебе прямым тестом сказали команду в консоли, по которой гуглится мануал по Rogue DHCP для Mikrotik RouterOS. Чтобы ты свой трабл решил нативно, средствами твоего оборудования в продакшене и без глупых костылей

А ты выеживаешься. Не по-пацански так-то

 

пацанчик гуляй лесом!

 

Понты колоти в другой теме, я задал вопрос тем, кто сталкивался с подобной ситуацией как у меня или знает как организовать то, что я спрашиваю.

 

Гуглом пользоваться умею, не переживай. В мануалах пишут общую информацию, которой не всегда достаточно для решения поставленной задачи, а чтобы решить ее с помощью мануалов нужно перечитать все что есть и еще пару книжок сторонних, только зачем тогда мне здесь будет вопросы задавать, если после этого моно все сертификаты получить и самому обучающий центр открыть! У тебя есть на это пару лет? У меня нет, и решить проблему нужно сейчас, а не потом!

Edited March 31, 2014 by chetkiyparen

[ChargeSet]

лол. Ты не можешь одну команду вбить в консольку, только ноешь. Эта одна команда при раскуривании двух манов (один на полстраницы и один чуть подлиннее, про скрипты) позволит автоматизировать процесс отсечения rogue dhcp.

 

Здесь должна быть картинка с известным персонажем Светлакова и соответствующей надписью

[EShirokiy]

Здесь должна быть картинка с известным персонажем Светлакова и соответствующей надписью

Скорее картика с Задорновым

[chetkiyparen]

Для тех кто невнимательно читал первый пост повторю, что мне не надо отсекать левый dhcp, я его и так отсекаю, по маку определяю кто есть кто, но не всегда это получается, т.к. иногда раздача адресов идет с мака, который клиентом не является, т.е. авторизации с него нет, поэтому и несколько rb, чтобы территориально определить примерное расположение.

 

Мне нужно оповещение от микротика о появившемся DHCP в сети, на почту к примеру или смс, чтобы не мониторить постоянно эту сетку!

[sherwood]

если у вас гирлянда и в ней стоят несколько RB зачем отключать какие то правила на первом что бы попасть на второй и далее? вы не умеете настраивать RB? c стороны админа далее по цепочки вы должны попадать на любое оборудование без отключения каких то правил на RB, а с конца цепочки нет. Это легко настраивается на ваших RB. Далее решить проблему сторонних DHCP вы сможете только тем абонентам которые подключены к RB, все остальные абоненты которые подключены к мыльницам и имеют в своем сегменте сторонний DHCP по прежнему будут испытывать проблемы.

[B_Bondarenko]

Для тех кто невнимательно читал первый пост повторю, что мне не надо отсекать левый dhcp, я его и так отсекаю, по маку определяю кто есть кто, но не всегда это получается, т.к. иногда раздача адресов идет с мака, который клиентом не является, т.е. авторизации с него нет, поэтому и несколько rb, чтобы территориально определить примерное расположение.

 

Мне нужно оповещение от микротика о появившемся DHCP в сети, на почту к примеру или смс, чтобы не мониторить постоянно эту сетку!

 

Ну так в чем проблема? Про /ip dhcp-server alert Вам уже рассказали, а дальше: настройте на микротиках syslog на лог-сервер и на нем парсите вывод тиков результат куда уже угодно...

Есть готовые syslog сервера, но в принципе это напишет и любой вменяемый студент программист.

Не уверен, что есть но возможно тик и snmp trap-ы умеет, суть в принипе та же, что и с сислогом, просто способ доставки другой.

[martini]

да читайте же маны, на самом микрике можна и почту отправлять и смс !!!

[chetkiyparen]

если у вас гирлянда и в ней стоят несколько RB зачем отключать какие то правила на первом что бы попасть на второй и далее? вы не умеете настраивать RB? c стороны админа далее по цепочки вы должны попадать на любое оборудование без отключения каких то правил на RB, а с конца цепочки нет. Это легко настраивается на ваших RB. Далее решить проблему сторонних DHCP вы сможете только тем абонентам которые подключены к RB, все остальные абоненты которые подключены к мыльницам и имеют в своем сегменте сторонний DHCP по прежнему будут испытывать проблемы.

 

с этим я согласен, по поводу настройки rb, доступ с порта, который обращен к серверу я также фильтрую в виду того, что rb стоят не в последовательной цепочке, а лишь на узловых местах

[chetkiyparen]

Вообще-то когда микротик получает адрес от PPPoE, он получает и маршрут по умолчанию в сторону сервера (если конечно галочку поставили), далее получается что он уже знает куда отправлять запросы. Что бы вы могли зайти на него извне, то ваше устройство должно знать, куда отправлять запросы на адреса подключенных микротиков. Соответственно трафик не должен попадать под двухсторонний НАТ, и под фильтры.

 

Следовательно в центре нужно отключить НАТ для 10.0.2.0/24. Если все равно доступа нет по каким-то причинам, то настройте НАТ при заходе с адресов 10.0.1.0/24 в сторону адресов 10.0.2.0/24.

 

И не забудьте удалить или увеличить метрику маршруту, который указали на этих микротиках при настройке IP на сетевом интерфейсе.

 

Спасибо! Дело в метрике было

[sherwood]

я также фильтрую в виду того, что rb стоят не в последовательной цепочке, а лишь на узловых местах

какая разница где они стоят? все что за ними должно быть видно со стороны админа, это же как сегметтация все порты могут работать только с аплинком.

[chetkiyparen]

с доступом решил вопрос, осталось настроить rb, чтобы он оповещал на почту о получении адреса по DHCP-client