Как запретить хождение пакетов DHCP на интерфейсе?

Обсуждение ПО и его настройки
Ответить
rassini
Сообщения: 6
Зарегистрирован: 18 май 2015, 13:47

На интерфейсе две сети локальная и сеть для WiFi.
Пользователям WiFi выдаются адреса DHCP сервером на Mikrotik.
Но в локальной сети также есть DHCP сервер, и получается что пользователь WiFi может получить адрес от Mikrotik и от сервера в локальной сети (что не допустимо) случайным образом, видимо кто быстрее ответит.
Убрать на интерфейсе локальную сеть нельзя, нужен доступ к локальным ресурсам, цель чтобы пользователя WiFi получали адреса от только от DHCP сервера настроенного на Mikrotik.

Что смотреть?
Firewall
Настройки интерфейса
Или прикрутить VLAN

Конечная цель: на интерфейсе №4 Mikrotik работает WiFi роутер, на котором создано две сети: сеть №1 гостевая (только интернет), сеть №2 и интернет и локальная сеть. Роутер позволяет создавать WiFi сети с разными VLAN, как этот функционал использовать с возможностями Mikrotik OS для реализации этой цели?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

rassini писал(а):Убрать на интерфейсе локальную сеть нельзя, нужен доступ к локальным ресурсам, цель чтобы пользователя WiFi получали адреса от только от DHCP сервера настроенного на Mikrotik.

Разделите WiFi сеть и сеть локальную на логическо-адресном уровне, а между ними сделайте простую статическую маршрутизацию и всё. (то есть сеть А знает как дойти до сети В и также и наоброт, В значет где искать сеть А).
В любом случаи, есть основы сетей, и надо этих правил придерживаться, а делать два DHCP сервера и устраивать "перетягивания" канатов по выдаче адресов - ну это просто непрофессионализм.
rassini писал(а):Конечная цель: на интерфейсе №4 Mikrotik работает WiFi роутер, на котором создано две сети: сеть №1 гостевая (только интернет), сеть №2 и интернет и локальная сеть. Роутер позволяет создавать WiFi сети с разными VLAN, как этот функционал использовать с возможностями Mikrotik OS для реализации этой цели?

Ну как, это вообще просто и VLAN'ы это основа сетей.

Делаете два вилана, скажем гостевая сеть-вифи это вилан 10, локальная сеть вифи - это вилан 20.
Всё это Ваш ВиФИ роутер эти виланы закидывает на 4й порт микротика, на чётвёртом порту создаёте эти же виланы(для принятия),
и уже дальше, например добавляете каждый вилан в свой бридж, на каждом бридже свой DHCP и соответственно
сети разделены, работают в своих адресациях, DHCP друг другу не мешают, ну и на микротике по IP они будут между собой доступны(сети),
а если не надо доступы = файрволом заблокируете между сетями общение.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
rassini
Сообщения: 6
Зарегистрирован: 18 май 2015, 13:47

Спасибо за развернутый ответ!

Что такое бридж? И где его создать?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

rassini писал(а):Спасибо за развернутый ответ!
Что такое бридж? И где его создать?

Открываем утилиту администрирование устройств микротик - это Winbox и подключаемся к микротику по МАС-серверу,
и там слева будет кнопка - Bridge , это и есть инструмент к работе с нашими бриджами.
Откроется окно, и Вы сможете:
а) в первой закладке этого окна, там создаёте/удаляете бридж(и), давая им какие то понятные названия.
б) во второй закладке этого же окна (закладка Ports),Вы уже добавляете/удаляете кто(какой вилан и/или интерфейс) в какой бридж будет входить(являться его частью)

Потом идёте в IP (кнопка также слева в Winbox'е) и там будет под-меню - Addresses (откроется отдельное окно),
через это окно задаётся/устанавливаются любые IP-адресация на интерфейсы/виланы. (ВНИМАНИЕ: адреса задаются вместе с маской!!!!!!!!!!)
Тут Вы должны Вашему бриджу(бриджам) задать адресацию (локальную скорее всего!?).
(при работе с бриджами - иногда может произойти разъединение от микротика, пугаться не надо, просто нажать кнопку - Reconect!)

Ну и уже сделав бридж(и) + дав адреса им, Вы подходите к запуску и настройке DHCP сервера.
(по нему как настраивать уже поищите в Интернете) или даже тут,на форуме....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
rassini
Сообщения: 6
Зарегистрирован: 18 май 2015, 13:47

Мне нужно: создать бридж для порта №2 (локальная сеть) и порта №4 (wifi сеть с отличной от локальной адресации)?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

rassini писал(а):Мне нужно: создать бридж для порта №2 (локальная сеть) и порта №4 (wifi сеть с отличной от локальной адресации)?

Не правильно подходите, надо взять бумажку и нарисовать...схему хотя!

А в целом, сначала создаются сети, потом им дают адресацию, делают связи, и так далее....
сеть в упрощённом варианте - это бридж для Вас, а уже физически какая сеть будет через какой порт общаться, это уже второе или третье.

Я Вам специально описал всё подробно, чтобы не сделали самые обычные ошибки,
ну а что Вам создавать, всё же лучше и ближе знаете только Вы,
в целом создайте пока только бриджи, дайте им адресацию, а уже потом привязывайте физические порты.

И в моём предыдущем ответе, забыл уточнить - DHCP при настройке его,
должен быть "привязан" к интерфейсу - бриджу (каждый свой DHCP к каждому своему бриджу).
Как-то так...

Ну и если отвечать на Ваш вопрос, то да, можно и так сделать, задействовав 2 и 4 порты.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
rassini
Сообщения: 6
Зарегистрирован: 18 май 2015, 13:47

В отчете затер только внешние IP адреса!
Остальное все как есть.

Код: Выделить всё

# may/02/2017 08:36:55 by RouterOS 6.28
# software id = EXC0-P0AW
#
/interface bridge
add admin-mac=4C:5E:0C:EC:7F:99 auto-mac=no mtu=1500 name=bridge-local
/interface ethernet
set [ find default-name=ether1 ] name=ether1-gateway
set [ find default-name=ether2 ] name=ether2-master-local
set [ find default-name=ether3 ] name=ether3-shluz6
set [ find default-name=ether4 ] name=ether4_Wi-fi-Unifi
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-ht-above distance=indoors l2mtu=2290 mode=ap-bridge ssid=\
MikroTik-EC7F9D
/ip neighbor discovery
set ether1-gateway discover=no
/ip dhcp-server option
add code=121 name=121 value=0x18c0a86000c0a85a01
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-128-cbc,aes-256-cbc,aes-128-ctr,aes-256-ctr
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
add name=PPTP ranges=192.168.90.10-192.168.90.40
add name=L2TP_DHCP_Server ranges=192.168.91.1-192.168.91.25
add name=pool_wi-fi ranges=192.168.86.100-192.168.86.200
add name=dhcp_pool1 ranges=192.168.96.100-192.168.96.239
add name=dhcp_pool2 ranges=192.168.96.100-192.168.96.240
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge-local name=default
add add-arp=yes address-pool=pool_wi-fi always-broadcast=yes authoritative=yes disabled=no interface=ether4_Wi-fi-Unifi name=\
server_wifi_dhcp
/ppp profile
add local-address=172.16.0.1 name=openvpn
add dns-server=192.168.96.2 local-address=192.168.90.1 name=pptp remote-address=PPTP wins-server=192.168.96.2
add change-tcp-mss=yes dns-server=192.168.96.2 local-address=192.168.91.1 name=L2tp-server remote-address=L2TP_DHCP_Server use-compression=\
no use-encryption=yes use-mpls=yes use-vj-compression=no wins-server=192.168.96.2
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/interface l2tp-server server
set authentication=mschap2 default-profile=L2tp-server enabled=yes
/interface ovpn-server server
set certificate=cert_2 default-profile=openvpn enabled=yes port=1195 require-client-certificate=yes
/interface pptp-server server
set default-profile=pptp enabled=yes
/ip address
add address=192.168.101.1/24 comment="default configuration" interface=bridge-local network=192.168.101.0
add address=.../30 interface=ether1-gateway network=...
add address=192.168.96.10/24 interface=ether5 network=192.168.96.0
add address=192.168.86.1/24 interface=ether4_Wi-fi-Unifi network=192.168.86.0
add address=192.168.96.6/24 interface=ether3-shluz6 network=192.168.96.0
add address=192.168.222.1/24 comment="IP address for IP Videoregistrator" interface=ether5 network=192.168.222.0
/ip dhcp-client
add comment="default configuration" dhcp-options=hostname,clientid disabled=no interface=ether1-gateway
/ip dhcp-server network
add address=192.168.86.0/24 dns-server=192.168.96.2,8.8.4.4,8.8.8.8 domain=kzp.in gateway=192.168.86.1 wins-server=192.168.96.2
add address=192.168.88.0/24 comment="default configuration" dns-server=192.168.88.1 gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.88.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input in-interface=ether1-gateway protocol=ipsec-esp
add chain=input in-interface=ether1-gateway port=1701,500,4500 protocol=udp
add chain=input dst-port=1723 in-interface=ether1-gateway protocol=tcp
add chain=input in-interface=ether1-gateway protocol=gre
add chain=input dst-port=1195 protocol=tcp src-address=...
add chain=input dst-port=80 in-interface=ether1-gateway protocol=tcp src-address=...
add chain=input dst-port=80 in-interface=ether1-gateway protocol=tcp src-address=...
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=forward comment="default configuration" connection-state=established
add chain=forward comment="default configuration" connection-state=related
add action=drop chain=forward comment="default configuration" connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface=ether1-gateway src-address=192.168.96.0/24
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=192.168.101.0/24
add action=masquerade chain=srcnat out-interface=ether1-gateway src-address=192.168.86.0/24
add action=dst-nat chain=dstnat protocol=udp src-address=... to-addresses=192.168.96.7
add action=dst-nat chain=dstnat protocol=udp src-address=... to-addresses=192.168.96.7
add action=netmap chain=dstnat comment="Web server Directum" dst-port=80 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.86 \
to-ports=80
add action=netmap chain=dstnat dst-port=13292 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.3 to-ports=13292
add action=netmap chain=dstnat dst-port=7000 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.70 to-ports=7000
add action=netmap chain=dstnat dst-port=7001 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.71 to-ports=7001
add action=netmap chain=dstnat dst-port=7002 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.72 to-ports=7002
add action=netmap chain=dstnat dst-port=7003 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.73 to-ports=7003
add action=netmap chain=dstnat dst-port=7004 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.74 to-ports=7004
add action=netmap chain=dstnat dst-port=7005 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.75 to-ports=7005
add action=netmap chain=dstnat dst-port=7006 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.76 to-ports=7006
add action=netmap chain=dstnat dst-port=7007 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.77 to-ports=7007
add action=netmap chain=dstnat dst-port=33 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.101.6 to-ports=33
add action=netmap chain=dstnat dst-port=443 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.101.6 to-ports=443
add action=netmap chain=dstnat disabled=yes dst-port=17100 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.3
add action=netmap chain=dstnat dst-port=8000 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.222.20 to-ports=8000
add action=netmap chain=dstnat disabled=yes dst-port=3389 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.3 to-ports=3389
add action=netmap chain=dstnat disabled=yes dst-port=35300 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.96.9 to-ports=35300
add action=netmap chain=dstnat dst-port=8001 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.222.21 to-ports=8001
add action=netmap chain=dstnat dst-port=8002 in-interface=ether1-gateway protocol=tcp to-addresses=192.168.222.22 to-ports=8002
/ip firewall service-port
set sip disabled=yes
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
/ip route
add check-gateway=ping distance=1 gateway=...
add check-gateway=ping disabled=yes distance=1 dst-address=192.168.96.0/24 gateway=192.168.101.2
add check-gateway=ping distance=1 dst-address=192.168.100.0/24 gateway=172.16.0.10
add check-gateway=ping distance=1 dst-address=192.168.186.0/24 gateway=172.16.0.10
add check-gateway=ping distance=1 dst-address=192.168.186.0/24 gateway=ether4_Wi-fi-Unifi
add check-gateway=ping distance=1 dst-address=192.168.196.0/24 gateway=172.16.0.10
/ppp secret
add local-address=172.16.0.1 name=kazan profile=openvpn remote-address=172.16.0.10 service=ovpn
add name=salrum profile=default-encryption service=pptp
add name=rasim profile=default-encryption service=pptp
add name=tarasov profile=default-encryption service=pptp
add name=t.sadikova profile=default-encryption service=pptp
add name=r.zamaliev profile=default-encryption service=pptp
add name=e.murashov profile=default-encryption service=pptp
add name=g.vildanova profile=default-encryption service=pptp
add name=r.stolbov profile=default-encryption service=pptp
add name=g.ahmetshina profile=default-encryption service=pptp
add name=a.nabiullina profile=default-encryption service=pptp
add name=ur profile=default-encryption service=pptp
add name=sorokin profile=default-encryption service=pptp
add name=e.nabiullina profile=default-encryption service=pptp
/romon port
add disabled=no
/system clock
set time-zone-autodetect=no time-zone-name=Europe/Moscow
/system ntp client
set enabled=yes primary-ntp=80.69.163.42 secondary-ntp=95.213.132.250
/tool mac-server
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-shluz6
add interface=ether4_Wi-fi-Unifi
add interface=ether5
add interface=wlan1
add interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-shluz6
add interface=ether4_Wi-fi-Unifi
add interface=ether5
add interface=wlan1
add interface=bridge-local


Ответить