2 DHCP и фильтр по MAC

Обсуждение ПО и его настройки
Oleandr
Сообщения: 10
Зарегистрирован: 07 мар 2018, 09:22

Приветствую!

Имеется небольшой 2х этажный офис с 2011UiAS.
До определенного момента сеть не росла, все пользователи были на виду и все легко отслеживалась.
Сейчас поставили точку доступа Wi-Fi, ну и как оно бывает, пароль начал передаваться по сарафанному радио. WiFi не микротик, а сторонний. Работает как мост и просто раздает сеть. Переводить его в режим роутера нехотят. WiFi используют так же рабочие ПК и устройства, которые в DHCP микротика сделаны статичными по MAC адресу. А вот остальные устройства надо отправить в гостевую сеть, которую я хочу сделать на микротике.

Стоит следующая задача:
На микротике запущен DHCP, рабочая сетка с адресом 192.168.86.1.
Все устройства работающие в 86.1 были ранее известны, известны их MAC и сделана привязка IP->MAC (DHCP->Leases "Make static") из диапазона в 86 сети.
Новые устройства через вайфай получают так же IP из диапазона 86.2-86.100, т.е. из рабочего диапазона.
Что я хочу реализовать: что бы все устройства с неизвестными MAC попадали в совершенно другую сеть, например, 192.168.10.0/24 не имели доступа в 192.168.86.0/24 , имели доступ только к интернету с зарезанной скоростью.

1. Есть список устройств с заранее известными MAC/IP в 86.1 (Leases -> Make static)
2. В разделе DHCP -> Networks добавил сеть Guest 192.168.10.0/24
3. В разделе Pools добавлен диапазон 10.2-10.100
4. А вот дальше не получается сделать следующее. Добавить еще один новый DHCP сервер Guest с выше указанными диапазонами (Guest) поскольку основной сервер уже работает на Bridge-Work, а Bridge-Work объединяет в себе порты микротика со 2го по 10й. Собственно в этом и загвоздка. Создавать новый BridgeGuest бессмысленно, поскольку на те же порты его не удастся присвоить.
5. Следующим этапом не знаю (только предполагаю) как сделать жесткую привязку рабочего DHCP 86.0/24 к известным mac адресам в разделе Leases, а все неизвестные MAC оправлять в гостевую сеть 10.0/24
6. С ограничением скорости гостевого диапазона, думаю проблем не должно возникнуть в разделе Queues.
7. Запрет на хождение между 86.0/24 и 10.0/24 потребует отдельного правила в Firewall.

Возможно ли реализовать данную затею?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Даю наводку.
ДХЦП выдает адреса либо по статическим записам, либо из пула, но из пула он выдает адреса в случае если нет статической записи.

Ну а параметры сетей можно сенсколько прописать...

Тобиш в вашем случае получается если нет статической записи (одна сеть) то выдать из пула (другая сеть)


Есть интересная задача и бюджет? http://mikrotik.site
Oleandr
Сообщения: 10
Зарегистрирован: 07 мар 2018, 09:22

vqd писал(а): 07 мар 2018, 13:04 Тобиш в вашем случае получается если нет статической записи (одна сеть) то выдать из пула (другая сеть)
Вы меня поняли верно. Как на практике реализовать и каким способом. Вот в чем вопрос. Firewall или же все таки 2й ДХЦП? Судя по вашей наводке Вы клоните в сторону Firewall?


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Собственно я вам и написал как реализовать


Есть интересная задача и бюджет? http://mikrotik.site
Oleandr
Сообщения: 10
Зарегистрирован: 07 мар 2018, 09:22

vqd писал(а): 07 мар 2018, 16:30 Собственно я вам и написал как реализовать
Хотя бы пример команды можно привести ? Так понятнее будет. Спасибо.


Oleandr
Сообщения: 10
Зарегистрирован: 07 мар 2018, 09:22

Опять же сейчас читаю читаю про скрипты. Нечто похожее реализуется скриптами, хотя там стоят другие задачи, на подобии автоинформирования о подключении.

Так все же реализовать
vqd писал(а): 07 мар 2018, 13:04 Тобиш в вашем случае получается если нет статической записи (одна сеть) то выдать из пула (другая сеть)
Каким способом реализовывать ? Скриптами, правилами FireWall или же средствами dchp. Опыт работы с RouterOS не большой, так что прошу помощи.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

/ip address
add address=192.169.0.1/24 interface=bridge1
add address=192.200.0.1/24 interface=bridge1

/ip pool
add name=Home_lan ranges=192.169.0.10-192.169.0.254

/ip dhcp-server network
add address=192.169.0.0/24 dns-server=192.169.0.1 gateway=192.169.0.1
add address=192.200.0.0/24 dns-server=192.169.0.1 gateway=192.200.0.1

/ip dhcp-server
add address-pool=Home_lan authoritative=after-2sec-delay bootp-support=dynamic \
disabled=no interface=bridge1 lease-time=3d name=User_Home

/ip dhcp-server lease
add address=192.200.0.16 mac-address=2C:D0:5A:68:C2:05


Есть интересная задача и бюджет? http://mikrotik.site
Oleandr
Сообщения: 10
Зарегистрирован: 07 мар 2018, 09:22

vqd писал(а): 12 мар 2018, 15:53 /ip dhcp-server lease
add address=192.200.0.16 mac-address=2C:D0:5A:68:C2:05
Благодарю за ответ. Все эти настройки были сделаны кроме последней записи. Поскольку заранее MAC устройства (неизвестного) не в списке MAC+IP заранее неизвестен. Есть список известных устройств dhcp-server lease. Здесь вопросов нет, а вот при подключении неизвестных устройств, как их отправлять в ту самую сеть 192.200.0.0/24. Вот с этим я и не могу решить вопрос.


Oleandr
Сообщения: 10
Зарегистрирован: 07 мар 2018, 09:22

vqd писал(а): 12 мар 2018, 15:53 /ip dhcp-server lease
add address=192.200.0.16 mac-address=2C:D0:5A:68:C2:05
Просится запись

/ip dhcp-server lease
add address=192.200.0.0/24 mac-address=00:00:00:00:00:00

Но такую запись создать нельзя. Т.е. для любого неизвестного MAC (00:00:00:00:00:00) присвоить диапазон 192.200.0.0/24


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

До чего же народ ленивый то пошел.
Я вам дал готовый конфиг по которому неизвестные устройства получают адрес из сети 192.169.0.0/24, а известные получают заранее определенные из 192.200.0.0


Есть интересная задача и бюджет? http://mikrotik.site
Ответить