DHCP сервера - выбор нужного, блокировка доступа к сети

Обсуждение оборудования и его настройки
Ответить
Serg_ostr
Сообщения: 3
Зарегистрирован: 21 ноя 2017, 21:50

Здравствуйте, уважаемые форумчане.
Пару дней назад возникла проблема.
Есть сеть 50+ компов 192.168.2.0/24. В свитч 16 портовый (неуправляемый) вставлен Mikrotik RB962UiGS-5HacT2HnT и другие пользователи сети (через небольшие свитчи неуправляемые). Ether1 – WAN, Ether2 – LAN (свитч, внутренняя сеть) в настройках Микротика
192.168.2.0 – наша подсеть
192.168.2.1 – Микротик(основной шлюз)
Настроен DHCP: 192.168.2.100-200

Недавно в сети появилось устройство (предположительно роутер) с IP 10.39.0.1 с маской 255.255.128.0 и несколько IP (предположительно компов подключенных к этому роутеру) 10.39.31.71 и 10.39.31.72. IP-scan на Микротике по интерфейсу ether2 (локальной сети) его постоянно находит и этих двух пользователей (+ все польозватели 192.168.2.0, больше никого постороннего нет).
На Mikrotike был настроен DHCP сервер (пул адресов 192.168.2.100-192.168.2.200) - он работал все нормально, но после «ПРИХОДА» 10.39.0.1 он работать перестал.
Причина в том, что у этого 10.39.0.1 видимо также настроен DHCP сервер пользователи нашей сети выбирают «ПОЛУЧИТЬ IP автоматически» они подключаются не к Mikrotik, а к этому неизвестный роутеру. В Сведениях о сети пишет:
Шлюз по умолчанию: 10.39.0.1
Адрес IPv4 : 10.39.31.73
DHCP: включен
Вместо основного шлюза 192.168.2.1 как было ранее при подключение к DHCP.
Интернета нет и сети нет.

Замечу, что любой роутер WI-fi включенный в сеть с включенным DHCP перебивает DHCP Микротика. Т.е. пользователи по DHCP подключаются не к Микротику, если есть еще хоть один DHCP сервер в виде еще одного роутера, а подключаются к другому роутеру с DHCP.

Проблема в то, что здание большое и я не знаю, что за 10.39.0.1 подключился и не могу вычислить. Если подключится к нему (прописать статические настройки со шлюзом 10.39.0.1) и попробовать зайти через HTTP – 10.39.0.1 – окна входа не появляется, пишит –«Невозможно отобразить страницу». Возможно просто отключен www протокол…
Сейчас все сидят на статических IP: 192.168.2.10-100. Через DHCP он подключается к 10.39.0.1, хотя DHCP Микротик до появления 10.39.0.1 нормально работал…


Подскажите, пожалуйста:
1) Можно ли как-то назначать приоритеты, перенаправить, чтобы в сети он подключался по DHCP именно к Микротик, а не к 10.39.0.1 (не отключая у него DHCP, т.к. не знаю где он)?

2) Можно ли как-то отключить 10.39.0.1 от доступа к сети ether2? Чтобы он вообще в принципе не мог подключится к сети 192.168.2.0/24 и он по DHCP не выдавал адресов и к нему не подключались пользователи? (через правила firewall не хочет блокироваться)

3) В Микротик вообще можно ли как-то блокировать пользователя чтобы он не мог подключится к Микротик, не видел его и не занимал IP адрес (подключаясь к нему). И можно ли блокировать доступ к сети внутри сети, какому-либо пользователю?

Пробовал, заблокировать соседа у него IP 192.168.2.12 – статический IP. Добавил его в правила add chain=input action=drop и add chain=forward = drop src-address=192.168.2.12 (и по IP и по MAC адресу пробовал) – результат у него блокируется только интернет. При этом он подключается к Микротику у него IP 192.168.2.12 – который занимается им и он ВИДИТ ВСЮ СЕТЬ, т.е блокировка только Интернета.
Пробывал через winbox -> ip -> routes -> Rules ->
src. address (ip адрес или сеть которую хотите закрыть) 192.168.2.0/ 24
drc. (ip адрес кому хотите закрыть доступ в выше указаной сети) 192.168.2.12
action - unreachable (или drop).
Бесполезно. Сосед видит всю сеть и также подключается С восклицательным знаком – без доступа к Интернету только. Т.е. не происходит блокировка сетевого трафика. При подключение вылезает НАЗВАНИЕ НАШЕЙ СЕТИ (а не «не опознанная сеть, когда если бы 192.168.2.1 не было или был бы заблокирован)
Перепробовал всевозможные правила и действия, вплоть до reject и tcp_reset в Action. Переискал в интернете - ничего не нашел.

Толи сетевой трафик не идет через Mikrotik, а через СВИТЧ только 16 портовый этот, хотя в шлюзе же мы указываем 192.168.2.1, то ли вообще Микротик не блокирует трафик сетевой внутри сети, только на Интернет –forward.
4) Есть ли какая-то команда временно отключить пользователя от роутера (дропнуть, сбросить): ip address> disable [find address=192.168.2.12] – не работает (или disable address=192.168.2.12 – синатксическая ошибка)



Настройки фаервола:
/ip firewall filter
add chain=input protocol=icmp action=accept comment=”Allow Ping”
add chain=forward protocol=icmp action=accept

add chain=input connection-state=established action=accept comment=”Accept established connections”
add chain=forward connection-state=established action=accept

add chain=input connection-state=related action=accept comment=”Accept related connections”
add chain=forward connection-state=related action=accept

add chain=input connection-state=invalid action=drop comment=”Drop invalid connections”
add chain=forward connection-state=invalid action=drop

add chain=input protocol=udp action=accept comment=”Allow UDP”
add chain=forward protocol=udp action=accept

add chain=forward src-address=192.168.2.0/24 action=accept comment=”Access to Internet from local network”
add chain=input src-address=192.168.2.0/24 action=accept comment=”Access to Mikrotik only from our local network”
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop


Спасибо заранее, за любую помощь.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Описание очень подробное, это радует, но ответы на Ваши вопросы будут достаточно просты:

1) в настройках DHCP Микротика чуть чуть можно поднять приоритет DHCP серверу (параметр в настройках DCHP - Authoritative = yes)
2) и 3) вопросы - отвечу не стандартно, если Вы не можете ничего сделать с чужым сервером, как это сделает микротик за Вас?
Также почитайте уровни (что такое L2 и L3 ) и как они работают.


Теперь как искать:
1) что в здании в большом нет НИ одного управляемого свитча?

2) если есть хоть один управляемый свитч - надо зайти на него и найти список всех МАК адресов,
и (предварительно посмотреть МАК адрес чужой железки) и найти этот МАК и соответствие порта на этом свитче,
то есть попытаться найти примерно где и через какой порт этот МАК приходит. Так Вы вычислите
хотя бы примерное направление поиска "чужого"

3) Если свитчей управляемых нет воооообще (я в шоке), то иной подход, более грубый:
а) встаёте в чужую сетку компом/ноутбуком, делаете так чтобы Вы могли его пинговать.
б) пингуете постоянно - и в этот момент надо по-секторно/по этажно отключать
один свитч за другим, пока он не пропадёт. Но тут надо постепенно, отключили, ждёмс,
хотя бы 2-3 минуты, потом включаем обратно свитч, ждём пока он загрузиться, плюс 2 минуты на
про-запас и уже только к другому. Главное не положить сетку. Ну и конечно, делать отметки
какой свитч Вы уже тронули.

4) поспрашать у юзеров, никто не приносил случайно роутер/специфическую железку/устройство.

5) Также, увидев МАК адрес - пробейте МАК по вендору (по производителю) - уже будете знать
что искать...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Serg_ostr
Сообщения: 3
Зарегистрирован: 21 ноя 2017, 21:50

Vlad-2 писал(а):Описание очень подробное, это радует, но ответы на Ваши вопросы будут достаточно просты:

1) в настройках DHCP Микротика чуть чуть можно поднять приоритет DHCP серверу (параметр в настройках DCHP - Authoritative = yes)
2) и 3) вопросы - отвечу не стандартно, если Вы не можете ничего сделать с чужым сервером, как это сделает микротик за Вас?
Также почитайте уровни (что такое L2 и L3 ) и как они работают.


Теперь как искать:
1) что в здании в большом нет НИ одного управляемого свитча?

2) если есть хоть один управляемый свитч - надо зайти на него и найти список всех МАК адресов,
и (предварительно посмотреть МАК адрес чужой железки) и найти этот МАК и соответствие порта на этом свитче,
то есть попытаться найти примерно где и через какой порт этот МАК приходит. Так Вы вычислите
хотя бы примерное направление поиска "чужого"

3) Если свитчей управляемых нет воооообще (я в шоке), то иной подход, более грубый:
а) встаёте в чужую сетку компом/ноутбуком, делаете так чтобы Вы могли его пинговать.
б) пингуете постоянно - и в этот момент надо по-секторно/по этажно отключать
один свитч за другим, пока он не пропадёт. Но тут надо постепенно, отключили, ждёмс,
хотя бы 2-3 минуты, потом включаем обратно свитч, ждём пока он загрузиться, плюс 2 минуты на
про-запас и уже только к другому. Главное не положить сетку. Ну и конечно, делать отметки
какой свитч Вы уже тронули.

4) поспрашать у юзеров, никто не приносил случайно роутер/специфическую железку/устройство.

5) Также, увидев МАК адрес - пробейте МАК по вендору (по производителю) - уже будете знать
что искать...




1) DCHP - Authoritative = yes - не помогло, все равно подключается к 10.39.0.1
2) Хотелось бы если не чужой сервер, то хотя бы соседского пользователя уметь блокировать или любого другого в нашей сети 192.168.2.0.
То что Микротике через firewall -> Filter rules и IP->Routes->Rules можно ограничить только доступ к интернету, а к сети и самому Микротику нельзя...

3) Все свечи "неуправляемые"... Да так и думал сделать, проблема, что сеть постоянно занята (даже на 1 мин отключить нельзя сразу вой).

4) Спрашивал, говорят, что нет

5) Пробил HUAWEI TECHNOLOGIES CO. L - наверное какой-то ADSL модем

Спасибо.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Serg_ostr писал(а):1) DCHP - Authoritative = yes - не помогло, все равно подключается к 10.39.0.1

У Вас точно настроен и работает DHCP на микротике? Должно хоть через раз микротик побеждать...
(а если явно комп в микротик подключить, адрес получаете)?
Serg_ostr писал(а):2) Хотелось бы если не чужой сервер, то хотя бы соседского пользователя уметь блокировать или любого другого в нашей сети 192.168.2.0.
То что Микротике через firewall -> Filter rules и IP->Routes->Rules можно ограничить только доступ к интернету, а к сети и самому Микротику нельзя...

Вы основы сетей то хоть знаете...и что такое маска и длина сети...а если по-русски, и на уровне сравнения:
то Вы не можете запретить общаться двум людям в комнате, будучи сами стоя в коридоре.
Так и тут, нельзя запрещать трафик который НЕ проходит через микротик.
Делите сети на подсети, тогда связь между сетями пойдёт через микротик и уже сможете
манипулировать этим трафиком на роутере.
Serg_ostr писал(а):3) Все свечи "неуправляемые"... Да так и думал сделать, проблема, что сеть постоянно занята (даже на 1 мин отключить нельзя сразу вой).

Ну в Вашем случаи у Вас в сети авария, поэтому отключать и искать надо.
Вечером поздним/утром ранним.
Serg_ostr писал(а):5) Пробил HUAWEI TECHNOLOGIES CO. L - наверное какой-то ADSL модем

Почему, это может и точка ВиФи...и чуть ли не принтер...да что угодно.
Да даже ноутбук может быть точкой.
Бардак у Вас там....сеть, неуправляемые свитчи, и офис нельзя остановить... :men:
Сделайте краткую инспекцию сети...

P.S.
У Вам Интернет как сделан, не через ADSL модем, может Вы его воткнули в сеть общую?
Вдруг это он раздаёт...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Serg_ostr
Сообщения: 3
Зарегистрирован: 21 ноя 2017, 21:50

У Вас точно настроен и работает DHCP на микротике? Должно хоть через раз микротик побеждать...
(а если явно комп в микротик подключить, адрес получаете)?

Точно, напрямую работает

Вы основы сетей то хоть знаете...и что такое маска и длина сети...а если по-русски, и на уровне сравнения:
то Вы не можете запретить общаться двум людям в комнате, будучи сами стоя в коридоре.
Так и тут, нельзя запрещать трафик который НЕ проходит через микротик.
Делите сети на подсети, тогда связь между сетями пойдёт через микротик и уже сможете
манипулировать этим трафиком на роутере.


А причем тут маска и длина сети... )

В Микротик воткнуть 4 подсети в 4 порта, вот и будет проходить трафик через Микротик

Есть Две подсети 1-я и 2-я, обе идут через Микротик. В одной из подсетей появился левый человек, он воткнулся в свитч который находится в 1-й подсети.
Что помешает какому-либо "паразиту" подсоединиться к 1-й подсети и иметь к ней доступ?
Каким образом его можно будет заблокировать если его трафик будет в пределах 1-й подсети? (ко 2-й подсети он не будет иметь никакого доступа, ему и не надо)


P.S.
У Вам Интернет как сделан, не через ADSL модем, может Вы его воткнули в сеть общую?
Вдруг это он раздаёт...

Нет, выделенка 100 Мбит канал


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Serg_ostr писал(а):А причем тут маска и длина сети... )
В Микротик воткнуть 4 подсети в 4 порта, вот и будет проходить трафик через Микротик

маска и длина сети = для того чтобы Вы понимали в целом.
теперь давайте определимся, что именно в вашем понимании "4 подсети".
а) если для вас это 4 провода подключенного к разным портам микротика - то увы, это не подсети.
б) на основании вашего первого сообщения = сеть у вас одна, 192.168.2.0/24, и так как у вас
нет ни управляемых роутеров, нет виланов = то у вас обычная простая или как называют ещё "плоская" сеть.
Никаких подсетей тут нет.
Для меня подсети это:
192.168.2.0/24
192.168.21.0/24
192.168.112.0/24
Вот это подсети.

Serg_ostr писал(а):Есть Две подсети 1-я и 2-я, обе идут через Микротик. В одной из подсетей появился левый человек, он воткнулся в свитч который находится в 1-й подсети.
Что помешает какому-либо "паразиту" подсоединиться к 1-й подсети и иметь к ней доступ?
Каким образом его можно будет заблокировать если его трафик будет в пределах 1-й подсети? (ко 2-й подсети он не будет иметь никакого доступа, ему и не надо)

Микротик - это роутер, роутер работает в рамках L3-уровня, поэтому подсети для него - это не порты, подсети для него - это IP-адресация.
В пределах одной адресации (одной подсети) роутер не участвует в этом трафике. То есть когда компьютер 192.168.2.11 общается
с компьютером 192.168.2.20, то они общаются напрямую, через роутер не идёт этот трафик, ПОЭТОМУ я и просил Вас ознакомиться
что такое маска сети. И для чего она нужна.

Serg_ostr писал(а):Нет, выделенка 100 Мбит канал

надеюсь ADSL модем подключён в микротик в первый порт, и сам порт в микротике (первый)
не состоит в бридже в никаком!?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить