Russian Users MikroTik | Форум пользователей MikroTik

Здравствуйте, попробую без конфига а просто описать свой вопрос, есть микротик на котором работает dhcp, каждый сервер висит на своем интерфейсе, есть один pool адресов которые dhcp сервер удачно раздает на эти интерфейсы, вопрос в том что имеет смысл ли раздавать на каждый интерфейс свой pool? или к примеру на все интерфейсы раздавать адреса с одного poola?

Все от организации вашей сети зависит.
Если вам необходимо организовать разные сети то и пулы разные, если сеть одна то зачем тогда оградить пулы?

Если на каждом порту свой dhcp и на этом dhcp свой pool, будут ли эти сети изолированными? т.е если у меня привязка по mac=ip то будет ли такое решение умным и безопасным? на каждый порт свой пул и dhcp, и привязка mac=ip.

Буду рад услышать пояснения!

Изолированные от чего?

вам наверное нужно для начала почитать какую нибудь умную книжку о сетях. узнаете много интересного.

Изолированные от чего?

тут еще надо понять, что человек подразумевает под изоляцией.

тут бы описать задачу и исходные, но ТС задаёт какие то вопросы.

vqd писал(а):Изолированные от чего?

Если на каждый порт повесить свой dhcp и свой pool под этот dhcp, сделать привязку mac=ip, сможет ли человек подключенный к другому порту(eth2) но зная mac своего друга к примеру который подключен к eth1, вписать этот mac его и подключиться к сети? В моем понимании изоляция это привязка mac адреса непосредственно к физическому порту микротика.

simpl3x писал(а):вам наверное нужно для начала почитать какую нибудь умную книжку о сетях. узнаете много интересного.

Изолированные от чего?

тут еще надо понять, что человек подразумевает под изоляцией.

тут бы описать задачу и исходные, но ТС задаёт какие то вопросы.

Что полезного и нового ты написал?

мне кажется, или мы на ТЫ еще не успели перейти?

В моем понимании изоляция это привязка mac адреса непосредственно к физическому порту микротика.

а в моем понимании, изоляция, это когда кто то где то изолирован, а не привязан к чему то. и придумывать можно сколько угодно долго, но проще выразиться настолько ясно, насколько хочется получить внятный ответ.
дальше, в самом начале, когда клиент получает адрес, т.е. запрашивает его у dhcp сервера, то у него нет адреса, у него только физический адрес. как тут сработает ваша привязка?
если порты вашего микротика действительно изолированы, т.е. после микротика вся сеть логически или физически сегментирована по этим портам, то нет, человек не сможет получить адрес с dhcp сервера другого порта, он его запрос просто не "услышит". НО меня смущает, что вы хотите раздавать один пулл адресов, на все интерфейсы. в моем понимании пулл, раздающийся dhcp сервером одного интерфейса не должен пересекаться с пулом другого сервера, ибо это разные сети в противном случае сети одни и интерфейсы как то объединены. и тут у нас с вами опять разногласия в понимании. а еще, если у вас статические связки ip+mac, то по идее они и в dhcp leases тоже статические, тогда вообще не ясен смысл пулла или зачем держать статические адреса в динамическом пуле.
и все бы это могло бы решится описанием задачи. ну или выкладкой настроек интерфейсов, адресов и dhcp серверов. но проще, конечно же идти вашим путём.

Нужно понять в целом схему сети. После микротика есть какие-нибудь свичи? Если да, то лучше всего это делать на конечных access свичах. 1 порт - 1 MAC. Есть ли на микротике привязка к физическим портам по mac - не знаю, но точно могу сказать, что привязка ip-mac не поможет полностью.
Тут надо для начала решить на каком уровне вы хотите разделить пользователей. Если L2, то это свич с жесткой привязкой на уровне портов, а если L3 - это роутер с разными подсетями/vlan, которые изолированны друг от друга.

simpl3x писал(а):мне кажется, или мы на ТЫ еще не успели перейти?

В моем понимании изоляция это привязка mac адреса непосредственно к физическому порту микротика.

а в моем понимании, изоляция, это когда кто то где то изолирован, а не привязан к чему то. и придумывать можно сколько угодно долго, но проще выразиться настолько ясно, насколько хочется получить внятный ответ.
дальше, в самом начале, когда клиент получает адрес, т.е. запрашивает его у dhcp сервера, то у него нет адреса, у него только физический адрес. как тут сработает ваша привязка?
если порты вашего микротика действительно изолированы, т.е. после микротика вся сеть логически или физически сегментирована по этим портам, то нет, человек не сможет получить адрес с dhcp сервера другого порта, он его запрос просто не "услышит". НО меня смущает, что вы хотите раздавать один пулл адресов, на все интерфейсы. в моем понимании пулл, раздающийся dhcp сервером одного интерфейса не должен пересекаться с пулом другого сервера, ибо это разные сети в противном случае сети одни и интерфейсы как то объединены. и тут у нас с вами опять разногласия в понимании. а еще, если у вас статические связки ip+mac, то по идее они и в dhcp leases тоже статические, тогда вообще не ясен смысл пулла или зачем держать статические адреса в динамическом пуле.
и все бы это могло бы решится описанием задачи. ну или выкладкой настроек интерфейсов, адресов и dhcp серверов. но проще, конечно же идти вашим путём.

На ТЫ перешли сразу после хамства в мою сторону, по поводу Pool для dhcp я ошибся, он не нужен,

дальше, в самом начале, когда клиент получает адрес, т.е. запрашивает его у dhcp сервера, то у него нет адреса, у него только физический адрес. как тут сработает ваша привязка?

Я думал что можно как то в dhcp lease добавить запись типа mac=ip и указать там именно физический интерфейс микротика . Задача к примеру повесить 3 dhcp сервера на eth2, eth3, eth4 сделать привязку mac=ip на каждом из них, НО при этом сделать привязку по mac именно к этому порту маршрутизатора, т.е. что бы человек зная mac но будучи подключенным к другому физическогму порту не смог "авторизоваться" в сети.

plin2s писал(а):Нужно понять в целом схему сети. После микротика есть какие-нибудь свичи? Если да, то лучше всего это делать на конечных access свичах. 1 порт - 1 MAC. Есть ли на микротике привязка к физическим портам по mac - не знаю, но точно могу сказать, что привязка ip-mac не поможет полностью.
Тут надо для начала решить на каком уровне вы хотите разделить пользователей. Если L2, то это свич с жесткой привязкой на уровне портов, а если L3 - это роутер с разными подсетями/vlan, которые изолированны друг от друга.

Нет, после микротика идут наносы m2 в режиме brigde, у клиента тоже нанос в режиме bridge, ip получает его карта в компьютере/ноутбуке.

И еще вопрос, после неких манипуляций, у абонентов у кого стоят маршрутизаторы перестал работать интернет, интернет предоставляется посредством pppoe, в firewall-е все чисто... ничего не менял... во вкладке Nat одно правило которое натит пуул pppoe сервера, может к кого то была такая проблема? или что то похожее...

tester123 писал(а):На ТЫ перешли сразу после хамства в мою сторону

Крайний раз добром прошу (если личные обращения Вам никак не доходят), не стоит кипятится. Давайте будем аккуратнее с модератором, ему еще на полсотни вопросов отвечать.

tester123 писал(а):Я думал что можно как то в dhcp lease добавить запись типа mac=ip и указать там именно физический интерфейс микротика .

Если мне не слишком кажется, то это можно осуществить в IP=>ARP...

tester123 писал(а):И еще вопрос, после неких манипуляций, у абонентов у кого стоят маршрутизаторы перестал работать интернет,

Видимо, нужно отменить НЕКИЕ манипуляции.
Как правило, администратор ресурса перед изменением параметров в системе либо пробует их в безопасном режиме (не панацея, многое выползает не через 15 минут, а через пару суток или через полсотни жалоб), либо создает резервную копию. Если резервной копии нет, нужно точно знать, что было выполнено и в каком порядке. И пошагово сдать назад, потом садимся и анализируем, что мы и где неправильно выставляем.
Я не думаю, что кто-то сможет по Вашему описанию определить причину Ваших проблем. Конкретизируйтесь.