chetkiyparen Опубликовано 29 марта, 2014 · Жалоба Добрый день! Ситуация следующая: в сегменте из тупых свичей периодически появляется раздача стороннего DHCP, чтобы его определить местоположение были расставлено несколько RB в разных местах, которые используются как свичи + фильтруют все кроме рррое, через которое пользователи выходят в инет. Также на каждом интерфейсе RB были включены DHCP-client, чтобы определить более точно откуда идет раздача по DHCP адресов. Проблема в неудобстве эксплуатации этой системы, т.к. чтобы определить есть раздача по DHCP или нет, то приходится поочереди заходить на каждый RB, начиная с ближайшего, проверять его состояние DHCP-client, далее отключать правила в bridge на фильтрацию трафика, чтобы попасть на следующий RB, что крайне неудобно. Поэтому требуется настроить: 1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать? 2. Организовать каким-то образом оповещение, в случае, когда в сети начинается раздача адресов сторонним DHCP, DHCP-client микротика получает от него адрес и чтобы данный микротик оповещал бы об этом на почту к примеру? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 29 марта, 2014 · Жалоба Затраты на эти микротики + секас с костылями разве не дороже управляемого доступа? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 29 марта, 2014 · Жалоба нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 29 марта, 2014 · Жалоба сякунду, а нафига вам несколько мелкотиков? Консолька: /ip dhcp-server alert /log print вывод дает макадрес и ip засранца. Или я что-то не понял Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
punker Опубликовано 29 марта, 2014 · Жалоба нет to chetkiyparen А что за проблема с вещанием чего-то роутера в сетку? Интернет же у него есть, а если он дебил и этим пользуются другие, то это его проблема. Правильное решение, и оно действительно правильное - это установка l2 коммутаторов. Можно сразу забыть про петли в сети и флудящие роутеры. Спокойствие оно дороже стоит! И сегментация VLAN на дом/подъезд и прочее. С наилучшими пожеланиями, твой коллега! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 29 марта, 2014 · Жалоба punker этот четкий чувачок явно не курит маны по routeros. Спортсмен, поди :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 29 марта, 2014 · Жалоба Уж если и брать неуправляшки, то покупать их с возможностью порт-изоляции(например вот http://shop.nag.ru/catalog/00001.Kommutatory/04963.SNR/04960.SNR-S1907-1S ), а их уже включить в управляемый свитч, каждый в свой vlan вывод дает макадрес и ip засранца. Почему засранца? Вы так говорите, как-будто бы абоненты специально гадят в сеть. Собственно 2 варианта чаще всего: - включается лан-портом - CPE сама раздаёт на WAN-е(тут вины абонента уж точно нет). Сам лично видел такие - DLink 5402 (точную модель и софт не помню) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 марта, 2014 · Жалоба 1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать? Можно создать фильтры на бридже, но лучше подключить эти микротики так же по PPPoE, тогда остается блокировка всего трафика без изменений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 29 марта, 2014 (изменено) · Жалоба Почему засранца? Вы так говорите, как-будто бы абоненты специально гадят в сеть. Собственно 2 варианта чаще всего: Профессиональный фольклор, никого обидеть не хотел. Когда сами увидите, как в одной промышленной шине (rs485, к примеру), в сети ведомые-к-ведущему дерется штуки четыре мастер-контроллеров этой самой шины)))) Других слов просто нет, осциллограф с ума сходит) Прямо даже стрелки у него расти ничаниют :D Изменено 29 марта, 2014 пользователем ChargeSet Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 29 марта, 2014 (изменено) · Жалоба 1. доступ ко всем микротикам сразу, без выключения фильтров поочереди, как я понимаю нужно добавить исключение для мака, с которого я захожу, как это правильно сделать? Можно создать фильтры на бридже, но лучше подключить эти микротики так же по PPPoE, тогда остается блокировка всего трафика без изменений. к примеру ip RB 10.0.1.0/24, поднял на них рррое-клиенты, им раздаются адреса при авторизации 10.0.2.0/24. Подключаюсь удаленно через рртр, могу подключится к микротикам только по локальным адресам 10.0.1.0/24, а не 10.0.2.0/24, но с самого рррое-сервера, которым выступает RB пингуются оба пула адресов! Нужно прописать дополнительный маршрут какой-то или подправить пул рртр, который выдается при удаленном подключении на 10.0.2.0/24 ? PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах! Изменено 29 марта, 2014 пользователем chetkiyparen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 марта, 2014 · Жалоба Вообще-то когда микротик получает адрес от PPPoE, он получает и маршрут по умолчанию в сторону сервера (если конечно галочку поставили), далее получается что он уже знает куда отправлять запросы. Что бы вы могли зайти на него извне, то ваше устройство должно знать, куда отправлять запросы на адреса подключенных микротиков. Соответственно трафик не должен попадать под двухсторонний НАТ, и под фильтры. Следовательно в центре нужно отключить НАТ для 10.0.2.0/24. Если все равно доступа нет по каким-то причинам, то настройте НАТ при заходе с адресов 10.0.1.0/24 в сторону адресов 10.0.2.0/24. И не забудьте удалить или увеличить метрику маршруту, который указали на этих микротиках при настройке IP на сетевом интерфейсе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
FATHER_FBI Опубликовано 29 марта, 2014 · Жалоба А что мешает поднять dhcdrop на виртуалке и натравить его в сеть? У меня вся сеть на l2 но у меня пока что vlan на дом, в основном спасают ACL но не всегда стоят железки которые жуют ACL да и иногда на разных версиях прошивки той же самой cisco 2950 ACL не корректно работает если прописан remark Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 29 марта, 2014 · Жалоба PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах! слышь, ты чо так базаришь йопта? Тебе прямым тестом сказали команду в консоли, по которой гуглится мануал по Rogue DHCP для Mikrotik RouterOS. Чтобы ты свой трабл решил нативно, средствами твоего оборудования в продакшене и без глупых костылей А ты выеживаешься. Не по-пацански так-то Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Liner's Опубликовано 31 марта, 2014 · Жалоба Просмотр сообщенияchetkiyparen (29 марта 2014 - 22:17) писал: PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах! у тс переходный возраст, прыщи, девки в глазах, отсюда и соотвественно тон разговора, просто не обращать внимания Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 31 марта, 2014 (изменено) · Жалоба PS Всем остальным флудерам советую плодиться и драть себя ершиком от избытка знаний в других темах! слышь, ты чо так базаришь йопта? Тебе прямым тестом сказали команду в консоли, по которой гуглится мануал по Rogue DHCP для Mikrotik RouterOS. Чтобы ты свой трабл решил нативно, средствами твоего оборудования в продакшене и без глупых костылей А ты выеживаешься. Не по-пацански так-то пацанчик гуляй лесом! Понты колоти в другой теме, я задал вопрос тем, кто сталкивался с подобной ситуацией как у меня или знает как организовать то, что я спрашиваю. Гуглом пользоваться умею, не переживай. В мануалах пишут общую информацию, которой не всегда достаточно для решения поставленной задачи, а чтобы решить ее с помощью мануалов нужно перечитать все что есть и еще пару книжок сторонних, только зачем тогда мне здесь будет вопросы задавать, если после этого моно все сертификаты получить и самому обучающий центр открыть! У тебя есть на это пару лет? У меня нет, и решить проблему нужно сейчас, а не потом! Изменено 31 марта, 2014 пользователем chetkiyparen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ChargeSet Опубликовано 31 марта, 2014 · Жалоба лол. Ты не можешь одну команду вбить в консольку, только ноешь. Эта одна команда при раскуривании двух манов (один на полстраницы и один чуть подлиннее, про скрипты) позволит автоматизировать процесс отсечения rogue dhcp. Здесь должна быть картинка с известным персонажем Светлакова и соответствующей надписью Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 31 марта, 2014 · Жалоба Здесь должна быть картинка с известным персонажем Светлакова и соответствующей надписью Скорее картика с Задорновым Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 31 марта, 2014 · Жалоба Для тех кто невнимательно читал первый пост повторю, что мне не надо отсекать левый dhcp, я его и так отсекаю, по маку определяю кто есть кто, но не всегда это получается, т.к. иногда раздача адресов идет с мака, который клиентом не является, т.е. авторизации с него нет, поэтому и несколько rb, чтобы территориально определить примерное расположение. Мне нужно оповещение от микротика о появившемся DHCP в сети, на почту к примеру или смс, чтобы не мониторить постоянно эту сетку! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 31 марта, 2014 · Жалоба если у вас гирлянда и в ней стоят несколько RB зачем отключать какие то правила на первом что бы попасть на второй и далее? вы не умеете настраивать RB? c стороны админа далее по цепочки вы должны попадать на любое оборудование без отключения каких то правил на RB, а с конца цепочки нет. Это легко настраивается на ваших RB. Далее решить проблему сторонних DHCP вы сможете только тем абонентам которые подключены к RB, все остальные абоненты которые подключены к мыльницам и имеют в своем сегменте сторонний DHCP по прежнему будут испытывать проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_Bondarenko Опубликовано 31 марта, 2014 · Жалоба Для тех кто невнимательно читал первый пост повторю, что мне не надо отсекать левый dhcp, я его и так отсекаю, по маку определяю кто есть кто, но не всегда это получается, т.к. иногда раздача адресов идет с мака, который клиентом не является, т.е. авторизации с него нет, поэтому и несколько rb, чтобы территориально определить примерное расположение. Мне нужно оповещение от микротика о появившемся DHCP в сети, на почту к примеру или смс, чтобы не мониторить постоянно эту сетку! Ну так в чем проблема? Про /ip dhcp-server alert Вам уже рассказали, а дальше: настройте на микротиках syslog на лог-сервер и на нем парсите вывод тиков результат куда уже угодно... Есть готовые syslog сервера, но в принципе это напишет и любой вменяемый студент программист. Не уверен, что есть но возможно тик и snmp trap-ы умеет, суть в принипе та же, что и с сислогом, просто способ доставки другой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 31 марта, 2014 · Жалоба да читайте же маны, на самом микрике можна и почту отправлять и смс !!! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 31 марта, 2014 · Жалоба если у вас гирлянда и в ней стоят несколько RB зачем отключать какие то правила на первом что бы попасть на второй и далее? вы не умеете настраивать RB? c стороны админа далее по цепочки вы должны попадать на любое оборудование без отключения каких то правил на RB, а с конца цепочки нет. Это легко настраивается на ваших RB. Далее решить проблему сторонних DHCP вы сможете только тем абонентам которые подключены к RB, все остальные абоненты которые подключены к мыльницам и имеют в своем сегменте сторонний DHCP по прежнему будут испытывать проблемы. с этим я согласен, по поводу настройки rb, доступ с порта, который обращен к серверу я также фильтрую в виду того, что rb стоят не в последовательной цепочке, а лишь на узловых местах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 31 марта, 2014 · Жалоба Вообще-то когда микротик получает адрес от PPPoE, он получает и маршрут по умолчанию в сторону сервера (если конечно галочку поставили), далее получается что он уже знает куда отправлять запросы. Что бы вы могли зайти на него извне, то ваше устройство должно знать, куда отправлять запросы на адреса подключенных микротиков. Соответственно трафик не должен попадать под двухсторонний НАТ, и под фильтры. Следовательно в центре нужно отключить НАТ для 10.0.2.0/24. Если все равно доступа нет по каким-то причинам, то настройте НАТ при заходе с адресов 10.0.1.0/24 в сторону адресов 10.0.2.0/24. И не забудьте удалить или увеличить метрику маршруту, который указали на этих микротиках при настройке IP на сетевом интерфейсе. Спасибо! Дело в метрике было Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 1 апреля, 2014 · Жалоба я также фильтрую в виду того, что rb стоят не в последовательной цепочке, а лишь на узловых местах какая разница где они стоят? все что за ними должно быть видно со стороны админа, это же как сегметтация все порты могут работать только с аплинком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
chetkiyparen Опубликовано 1 апреля, 2014 · Жалоба с доступом решил вопрос, осталось настроить rb, чтобы он оповещал на почту о получении адреса по DHCP-client Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...