Столкнулся со странной, на мой взгляд, штукой:
Некоторые посмеются, скажут чайник спрашивает, но не понятно, заранее простите ...
1.
Если какому-либо сетевому устройству присвоить статический IP-адрес в его настройках и НЕ ПРОПИСАТЬ этот адрес на роутере Микротик в ARP - все равно устройство получает этот адрес от роутера и спокойно работает в локальной сети
(если, конечно, это адрес из подсети Микротика и не пересекается с диапазоном сервера DHCP этого интерфейса)
Неужели оно так правильно ? То есть любой хмырь зная или подобрав сетку роутера (если она близка к более часто употребляемым 192.168 бла бла ...) может воткнуть устройство с постоянным IP в эту сетку и оно пусть работает пожалуйста !
Так же не должно быть ? Или у меня что-то неверно настроено, вероятнее всего ...
2.
С динамическими адресами тоже не понятно - что ставил в DHCP сервере "ADD ARP for Lease", что не ставил - похоже один эффект - адрес из динамического диапазона устройству всегда дается.
Тоже не верная настройка ? Как правильно сделано должно быть чтобы адрес устройству роутером давался только есть устройство и его МАК прописаны в "разрешенных" (ARP) ?
Подскажите, плиз !
Вопрос по статическому IP
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Хотя, про динамические IP, я наверное зря спросил, забыл что уже нормально все настроил там если не хочешь чтобы адреса давались надо в DHCP сервере "Static only" ставить и ручками прописывать - тут все ясно.
А вот по моему первому вопросу как ?
А вот по моему первому вопросу как ?
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Всё верно работает.
Маршрутизацию в рамках одного сегмента выполняет не роутер а сами устройства.
Например есть два компа 192.168.0.100 и 192.168.0.200 и подсеть /24. Есть запрос с 100 на 200 комп. Логика компа 100: " адрес 192.168.0.200 находится в моей подсети, значит я отправлю запрос напрямую", что он и делает, не используя для этого шлюз. А вот если подсети будут разные, то комп не сможет понять куда слать пакет и отправит его на адрес шлюза и уже роутер будет маршрутизацию делать.
Маршрутизацию в рамках одного сегмента выполняет не роутер а сами устройства.
Например есть два компа 192.168.0.100 и 192.168.0.200 и подсеть /24. Есть запрос с 100 на 200 комп. Логика компа 100: " адрес 192.168.0.200 находится в моей подсети, значит я отправлю запрос напрямую", что он и делает, не используя для этого шлюз. А вот если подсети будут разные, то комп не сможет понять куда слать пакет и отправит его на адрес шлюза и уже роутер будет маршрутизацию делать.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 141
- Зарегистрирован: 23 июн 2017, 07:55
-
- Модератор
- Сообщения: 3605
- Зарегистрирован: 26 сен 2013, 14:20
- Откуда: НСК
- Контактная информация:
Интерфейс на котором висит DHCP сервер переводим в режим arp-reply-only
В DHCP сервер втыкаем галку Add ARP for leasses
Собственно все, статические адреса не канают (если он не прописан а ARP), канают те что выдал ваш же DHCP сервер
В DHCP сервер втыкаем галку Add ARP for leasses
Собственно все, статические адреса не канают (если он не прописан а ARP), канают те что выдал ваш же DHCP сервер
Есть интересная задача и бюджет? http://mikrotik.site
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Спасибо, товарищ, Дракон !
Про это я забыл, да, да ... тут получается к маршрутиризатору то и не обращается никто ... Хреново выходит ...
Получается, что все сети со статическими IP для безопасности должны быть изолированными в помещениях, доступ куда контролируется скажем охраной, а по "улице" такие сети не должны гулять ...
А то "режь провод", подключай комп - и пожалуйста, если адресация совпадает, то ты в локалке ...
Про это я забыл, да, да ... тут получается к маршрутиризатору то и не обращается никто ... Хреново выходит ...
Получается, что все сети со статическими IP для безопасности должны быть изолированными в помещениях, доступ куда контролируется скажем охраной, а по "улице" такие сети не должны гулять ...
А то "режь провод", подключай комп - и пожалуйста, если адресация совпадает, то ты в локалке ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 15
- Зарегистрирован: 02 фев 2018, 12:52
В какой-то степени от этого спасает использование теггированого vlan в котором "ходит" вполне определённая сеть. Между удалёнными участками сети (условно 2 коммутатора) пусть транк и туда теггированные виланы.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Obi Van, спасибо, но это не просто в настройке ... Для чайника сложновато ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947
-
- Сообщения: 15
- Зарегистрирован: 02 фев 2018, 12:52
Могу вас заверить, но ничего там сложного нет. В общих черта так:
1) Нужно соединить два коммутатора (или устройство поддерживающее теггированый трафик) - два порта этих устройств настраиваются как транк, т.к сетевые пакеты теггируются (маркируются). Можно передавать несколько сетей промаркированных разными тегами. Устройство-отправитель выставит нужный тег на нужном порту, устройство получатель получит этот тег.
2) Нужно прицепить к коммутатору ПК, но и дать ему доступ в нужную сеть - этот порт вводят в нужный вилан, но пакеты на выходе из коммутатора не маркируются, на входе (т.е идущие от ПК) маркируются нужным тегом. Так ПК попадает в "свою "сеть. Это так называемый access порт.
Бывают смешанный варианты, когда на одном порту идёт нетеггированный трафик и теггированный от нескольких вилан.
Таким образом ваш вариант №1. Линк между удалёнными устройствами будет содержать теггированый трафик. В общем случае, не зная какой вилан у сети, в эту сеть не попасть даже выставив нужный IP адрес.
Например между коммутаторами идёт vlan8 и сеть 192.168.8.0/24. Даже если выставить сеть на ПК в виде адреса для примера 192.168.8.1, в который воткнуть линк из коммутатора отправителя vlan8, в эту сеть вы не попадёте. Потому что вы не попадаете в этот вилан, а он является теггированым между коммутаторами. Только при условии использования на ПК программного обеспечения поддерживающего виланы на сетевом адаптере и знания какой вилан там передаётся.
-
- Сообщения: 1601
- Зарегистрирован: 15 сен 2017, 09:03
Значит если я правильно понял "уличный" участок сети для создания "брони" должен быть соединен с внутренними сетями двумя специальными коммутаторами на входах/выходах, так ? Обычные свичи не пойдут - нужны такие, которые умеют "тегировать" трафик, так ? Что из недорогого но надежного железа можете посоветовать ? На выбранных портах каждой из этих железяк настраивается одинаковый VLAN, так ? Только когда одинаковая метка VLAN выставлена трафик между этими портами двух устройств начинает бегать ? И тогда в этот участок из вне не попасть ...
Я не сетевик, поэтому простите, что задаю тупые вопросы ... Сколько про VLAN не пытался читать не могу понять как это вообще работает и зачем нужно ...
Я не сетевик, поэтому простите, что задаю тупые вопросы ... Сколько про VLAN не пытался читать не могу понять как это вообще работает и зачем нужно ...
фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
viewtopic.php?f=14&t=13947