Russian Users MikroTik | Форум пользователей MikroTik

Столкнулся со странной, на мой взгляд, штукой:
Некоторые посмеются, скажут чайник спрашивает, но не понятно, заранее простите ...

1.
Если какому-либо сетевому устройству присвоить статический IP-адрес в его настройках и НЕ ПРОПИСАТЬ этот адрес на роутере Микротик в ARP - все равно устройство получает этот адрес от роутера и спокойно работает в локальной сети
(если, конечно, это адрес из подсети Микротика и не пересекается с диапазоном сервера DHCP этого интерфейса)
Неужели оно так правильно ? То есть любой хмырь зная или подобрав сетку роутера (если она близка к более часто употребляемым 192.168 бла бла ...) может воткнуть устройство с постоянным IP в эту сетку и оно пусть работает пожалуйста !
Так же не должно быть ? Или у меня что-то неверно настроено, вероятнее всего ...

2.
С динамическими адресами тоже не понятно - что ставил в DHCP сервере "ADD ARP for Lease", что не ставил - похоже один эффект - адрес из динамического диапазона устройству всегда дается.
Тоже не верная настройка ? Как правильно сделано должно быть чтобы адрес устройству роутером давался только есть устройство и его МАК прописаны в "разрешенных" (ARP) ?

Подскажите, плиз !

Хотя, про динамические IP, я наверное зря спросил, забыл что уже нормально все настроил там если не хочешь чтобы адреса давались надо в DHCP сервере "Static only" ставить и ручками прописывать - тут все ясно.

А вот по моему первому вопросу как ?

Всё верно работает.
Маршрутизацию в рамках одного сегмента выполняет не роутер а сами устройства.
Например есть два компа 192.168.0.100 и 192.168.0.200 и подсеть /24. Есть запрос с 100 на 200 комп. Логика компа 100: " адрес 192.168.0.200 находится в моей подсети, значит я отправлю запрос напрямую", что он и делает, не используя для этого шлюз. А вот если подсети будут разные, то комп не сможет понять куда слать пакет и отправит его на адрес шлюза и уже роутер будет маршрутизацию делать.

Sertik писал(а): ↑09 фев 2018, 11:05 А вот по моему первому вопросу как ?

по первому вопросу читайте про связку DHCP Snooping и Source Guard

Интерфейс на котором висит DHCP сервер переводим в режим arp-reply-only
В DHCP сервер втыкаем галку Add ARP for leasses

Собственно все, статические адреса не канают (если он не прописан а ARP), канают те что выдал ваш же DHCP сервер

Спасибо, товарищ, Дракон !

Про это я забыл, да, да ... тут получается к маршрутиризатору то и не обращается никто ... Хреново выходит ...
Получается, что все сети со статическими IP для безопасности должны быть изолированными в помещениях, доступ куда контролируется скажем охраной, а по "улице" такие сети не должны гулять ...
А то "режь провод", подключай комп - и пожалуйста, если адресация совпадает, то ты в локалке ...

Sertik писал(а): ↑09 фев 2018, 11:44 А то "режь провод", подключай комп - и пожалуйста, если адресация совпадает, то ты в локалке ...

В какой-то степени от этого спасает использование теггированого vlan в котором "ходит" вполне определённая сеть. Между удалёнными участками сети (условно 2 коммутатора) пусть транк и туда теггированные виланы.

Obi Van, спасибо, но это не просто в настройке ... Для чайника сложновато ...

Sertik писал(а): ↑09 фев 2018, 18:07 Obi Van, спасибо, но это не просто в настройке ... Для чайника сложновато ...

Могу вас заверить, но ничего там сложного нет. В общих черта так:
1) Нужно соединить два коммутатора (или устройство поддерживающее теггированый трафик) - два порта этих устройств настраиваются как транк, т.к сетевые пакеты теггируются (маркируются). Можно передавать несколько сетей промаркированных разными тегами. Устройство-отправитель выставит нужный тег на нужном порту, устройство получатель получит этот тег.
2) Нужно прицепить к коммутатору ПК, но и дать ему доступ в нужную сеть - этот порт вводят в нужный вилан, но пакеты на выходе из коммутатора не маркируются, на входе (т.е идущие от ПК) маркируются нужным тегом. Так ПК попадает в "свою "сеть. Это так называемый access порт.
Бывают смешанный варианты, когда на одном порту идёт нетеггированный трафик и теггированный от нескольких вилан.
Таким образом ваш вариант №1. Линк между удалёнными устройствами будет содержать теггированый трафик. В общем случае, не зная какой вилан у сети, в эту сеть не попасть даже выставив нужный IP адрес.
Например между коммутаторами идёт vlan8 и сеть 192.168.8.0/24. Даже если выставить сеть на ПК в виде адреса для примера 192.168.8.1, в который воткнуть линк из коммутатора отправителя vlan8, в эту сеть вы не попадёте. Потому что вы не попадаете в этот вилан, а он является теггированым между коммутаторами. Только при условии использования на ПК программного обеспечения поддерживающего виланы на сетевом адаптере и знания какой вилан там передаётся.

Значит если я правильно понял "уличный" участок сети для создания "брони" должен быть соединен с внутренними сетями двумя специальными коммутаторами на входах/выходах, так ? Обычные свичи не пойдут - нужны такие, которые умеют "тегировать" трафик, так ? Что из недорогого но надежного железа можете посоветовать ? На выбранных портах каждой из этих железяк настраивается одинаковый VLAN, так ? Только когда одинаковая метка VLAN выставлена трафик между этими портами двух устройств начинает бегать ? И тогда в этот участок из вне не попасть ...
Я не сетевик, поэтому простите, что задаю тупые вопросы ... Сколько про VLAN не пытался читать не могу понять как это вообще работает и зачем нужно ...