Вопрос по статическому IP

Обсуждение ПО и его настройки
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Столкнулся со странной, на мой взгляд, штукой:
Некоторые посмеются, скажут чайник спрашивает, но не понятно, заранее простите ...

1.
Если какому-либо сетевому устройству присвоить статический IP-адрес в его настройках и НЕ ПРОПИСАТЬ этот адрес на роутере Микротик в ARP - все равно устройство получает этот адрес от роутера и спокойно работает в локальной сети
(если, конечно, это адрес из подсети Микротика и не пересекается с диапазоном сервера DHCP этого интерфейса)
Неужели оно так правильно ? То есть любой хмырь зная или подобрав сетку роутера (если она близка к более часто употребляемым 192.168 бла бла ...) может воткнуть устройство с постоянным IP в эту сетку и оно пусть работает пожалуйста !
Так же не должно быть ? Или у меня что-то неверно настроено, вероятнее всего ...

2.
С динамическими адресами тоже не понятно - что ставил в DHCP сервере "ADD ARP for Lease", что не ставил - похоже один эффект - адрес из динамического диапазона устройству всегда дается.
Тоже не верная настройка ? Как правильно сделано должно быть чтобы адрес устройству роутером давался только есть устройство и его МАК прописаны в "разрешенных" (ARP) ?

Подскажите, плиз !


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Хотя, про динамические IP, я наверное зря спросил, забыл что уже нормально все настроил там если не хочешь чтобы адреса давались надо в DHCP сервере "Static only" ставить и ручками прописывать - тут все ясно.

А вот по моему первому вопросу как ?


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Всё верно работает.
Маршрутизацию в рамках одного сегмента выполняет не роутер а сами устройства.
Например есть два компа 192.168.0.100 и 192.168.0.200 и подсеть /24. Есть запрос с 100 на 200 комп. Логика компа 100: " адрес 192.168.0.200 находится в моей подсети, значит я отправлю запрос напрямую", что он и делает, не используя для этого шлюз. А вот если подсети будут разные, то комп не сможет понять куда слать пакет и отправит его на адрес шлюза и уже роутер будет маршрутизацию делать.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

Sertik писал(а): 09 фев 2018, 11:05 А вот по моему первому вопросу как ?
по первому вопросу читайте про связку DHCP Snooping и Source Guard


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Интерфейс на котором висит DHCP сервер переводим в режим arp-reply-only
В DHCP сервер втыкаем галку Add ARP for leasses

Собственно все, статические адреса не канают (если он не прописан а ARP), канают те что выдал ваш же DHCP сервер


Есть интересная задача и бюджет? http://mikrotik.site
Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Спасибо, товарищ, Дракон !

Про это я забыл, да, да ... тут получается к маршрутиризатору то и не обращается никто ... Хреново выходит ...
Получается, что все сети со статическими IP для безопасности должны быть изолированными в помещениях, доступ куда контролируется скажем охраной, а по "улице" такие сети не должны гулять ...
А то "режь провод", подключай комп - и пожалуйста, если адресация совпадает, то ты в локалке ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Obi Van
Сообщения: 15
Зарегистрирован: 02 фев 2018, 12:52

Sertik писал(а): 09 фев 2018, 11:44 А то "режь провод", подключай комп - и пожалуйста, если адресация совпадает, то ты в локалке ...
В какой-то степени от этого спасает использование теггированого vlan в котором "ходит" вполне определённая сеть. Между удалёнными участками сети (условно 2 коммутатора) пусть транк и туда теггированные виланы.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Obi Van, спасибо, но это не просто в настройке ... Для чайника сложновато ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Obi Van
Сообщения: 15
Зарегистрирован: 02 фев 2018, 12:52

Sertik писал(а): 09 фев 2018, 18:07 Obi Van, спасибо, но это не просто в настройке ... Для чайника сложновато ...
Могу вас заверить, но ничего там сложного нет. В общих черта так:
1) Нужно соединить два коммутатора (или устройство поддерживающее теггированый трафик) - два порта этих устройств настраиваются как транк, т.к сетевые пакеты теггируются (маркируются). Можно передавать несколько сетей промаркированных разными тегами. Устройство-отправитель выставит нужный тег на нужном порту, устройство получатель получит этот тег.
2) Нужно прицепить к коммутатору ПК, но и дать ему доступ в нужную сеть - этот порт вводят в нужный вилан, но пакеты на выходе из коммутатора не маркируются, на входе (т.е идущие от ПК) маркируются нужным тегом. Так ПК попадает в "свою "сеть. Это так называемый access порт.
Бывают смешанный варианты, когда на одном порту идёт нетеггированный трафик и теггированный от нескольких вилан.
Таким образом ваш вариант №1. Линк между удалёнными устройствами будет содержать теггированый трафик. В общем случае, не зная какой вилан у сети, в эту сеть не попасть даже выставив нужный IP адрес.
Например между коммутаторами идёт vlan8 и сеть 192.168.8.0/24. Даже если выставить сеть на ПК в виде адреса для примера 192.168.8.1, в который воткнуть линк из коммутатора отправителя vlan8, в эту сеть вы не попадёте. Потому что вы не попадаете в этот вилан, а он является теггированым между коммутаторами. Только при условии использования на ПК программного обеспечения поддерживающего виланы на сетевом адаптере и знания какой вилан там передаётся.


Sertik
Сообщения: 1598
Зарегистрирован: 15 сен 2017, 09:03

Значит если я правильно понял "уличный" участок сети для создания "брони" должен быть соединен с внутренними сетями двумя специальными коммутаторами на входах/выходах, так ? Обычные свичи не пойдут - нужны такие, которые умеют "тегировать" трафик, так ? Что из недорогого но надежного железа можете посоветовать ? На выбранных портах каждой из этих железяк настраивается одинаковый VLAN, так ? Только когда одинаковая метка VLAN выставлена трафик между этими портами двух устройств начинает бегать ? И тогда в этот участок из вне не попасть ...
Я не сетевик, поэтому простите, что задаю тупые вопросы ... Сколько про VLAN не пытался читать не могу понять как это вообще работает и зачем нужно ...


фрагменты скриптов, готовые работы, статьи, полезные приемы, ссылки
viewtopic.php?f=14&t=13947
Ответить