Russian Users MikroTik | Форум пользователей MikroTik

Доброго всем вечера.
Предыстория. Была сетка по подъезду на 8 квартир, в тамбуре висел комп с PFSense, около 25 клиентов, включая 3 вай-фай маршрутизатора, был самый дорогой тариф от провайдера на 100Mb, платили по 100руб. в месяц и не парились. Все работало замечательно, но со временем все поразъехались, осталось в итоге 3 квартиры, держать целый комп стало бессмысленно (хоть и дохлый). Купил Mikrotik, поставил дома, настроил по статье из FAQ, вроде все работает. Но понимаю, что настройки примитивные и по сути ни защиты, ни шейпера, ничего нет.
Описание сетки:
Да в общем 1-й порт WAN
5-й master, Lan 2/3/4 привязаны к нему

Настроен PPOE на WAN порт
Настроен DHCP на раздачу в диапазоне 192,168,1,150 - 199
Своих отлавливаю и прописываю им статические адреса в диапазоне 192,168,1,50-99
В файерволле одно единственное правило "masquerade"
Вот и все.
Что хотелось бы реализовать:
1. Как правильно прописать статичный IP клиенту который получил его по DHCP и сделать связку + MAC. Где надо по правильному смотреть все выданные адреса и как правильно делать привязку статического айпи с привязкой к МАК адресу?
2. Какие основные правила нужно прописать для фаерволла, т.е. надо собрать свою сетку из 5 - 8 клиентов с привязкой к МАК - остальных лесом.
3. Где можно смотреть "хакеров" которые постоянно пытаются ломится в сеть и как создать правило которое будет заносить их МАК адреса в БАН, но с возможностью вытащить их оттуда (вдруг кто свой попадется) ))) ?
4. По автоматическому шейперу нашел вот такую статью https://asp24.ru/mikrotik/dinamicheskiy ... -mikrotik/ , это оптимальное решение или есть лучше ?

Вот наверное и все, возможно в будущем еще какие то "хотелки" найдутся, буду премного благодарен за помощь!
P.S. Все устройства сети
Mikrotik
Port 1 - WAN PPOE от провайдера
Port 5 - по моей кваритре, далее свитч неуправляемый, на нем 2 ПК + МФУ LAN
Port 4 - Wi-Fi точка доступа Lynksys, в режиме ТД, все получает по DHCP, сама реализует только защиту Wi-Fi на ней пара смартфонов
Port 3 - до свитча неуправляемого в подъезд, далее
сосед А - Wi-Fi маршрутизатор TP-Link в режиме неуправляемого свитча + Wi-Fi, т.е. кабель вставлен в порт LAN - WAN пустой, сам маршрутизатор только обеспечивает защиту Wi-Fi, комп + ноут + 2 смартфона + ТВ приставка Android
сосед Б - кабель напрямую воткнут в ноут

1. IP-DHCP-Leases. Дважды щелкаем нужную строку и нажимаем Make statiс.
IP оставить какой есть, а можно, поменять.
2. IP-ARP, найти в списке нужный мак и IP и сделать их статическими. ARP должна быть включена в свойствах нужного интерфейса.
3. В IP-Firewall в Address List создаете список своих (нужных IP).
4. В IP-Firewall в Firewall Rules - создаете три правила:

а) блокировать все!
б) разрешить все, где Scr. Addresl List - ваш лист.
в) разрешить все, где Dst. Addresl List - ваш лист.

Разрешающие правила должны быть выше запрещающего в таблице.

Это минимум.

А как связаны 1 и 2 пункты, никак не могу понять.
IP - DHCP Server - Leases - тут как я понял мы видим все выданные IP статику и динамику, динамические можем сразу связать с MAK адресом
А что за список IP - ARP ? Туда руками надо прописывать связку IP статика + MAC ?

35house писал(а):А как связаны 1 и 2 пункты, никак не могу понять.
IP - DHCP Server - Leases - тут как я понял мы видим все выданные IP статику и динамику, динамические можем сразу связать с MAK адресом
А что за список IP - ARP ? Туда руками надо прописывать связку IP статика + MAC ?

Странно, сами поставили условия, а сейчас Вы спрашиваете что это такое?
Вы точно микротиком сами управляете, или Вам подсказывают?

Распишу чуть-чуть подробнее:

1) сначала по DHCP Вы отдаёте клиенту адрес, он этот адрес получил, чтобы не бегать и не смотреть
какой МАК адрес у клиента, проще первый раз просто отдать клиенту адрес из пула. Так Вы
проверите что и связь есть и увидите клиента и его МАК адрес. (временно на первые 2-3 дня
настроить аренду адресации в DHCP на очень короткий срок, скажем на 10-15 минут, чтобы
клиент не оставался надолго с первоначальным адресом).
2) клиент получает динамический адрес, скажем 192.168.1.157, и Вы его в Leases видите
с признаком D (левый столбец).
3) Так как запись в DHCP имеет признак динамической записи, мы её не можем модифицировать,
значит сначала мы её должны сделать статической. Кликаем по данной записи,
жмём в появившемся окне кнопку "Make static" и ОК.
4) Запись стала статической, признак D пропал. Сама запись и данные остались не изменённые.
5) Опять входить по клику мышки в эту запись и меняем (уже будет доступно редактирование) IP скажем на 192.168.1.51 и сохраняем.
Сразу же тут, я настоятельно рекомендую сделать комментарий к данной записи. Очень удобно в будущем после какова то времени
посмотреть, кто это, а в Вашем случаи и знать, кто что и как. Желательно для удобства латиницей писать комментарии.

Всё, мы сделали статическую запись в DHCP и привязали IP к Маку. То есть постоянно будет один и тот же IP выдаваться именно этому МАК-адресу.
Это всё что я описал, мы делали на L3-уровне (Сетевая модель OSI).

Но теперь надо привязать МАК адрес, ибо подменить МАК для среднего юзера не проблема.
Вам и это тоже показали как делать.
1) Идём в IP-ARP таблицу.
Там микротик держат таблицу где идёт сопоставление адресации
между IP МАК и интерфейсом. Там всё тоже динамически. Чтобы ARP запись была статична,
и соответственно роутер знал о ней всегда, мы её таковой и должны сделать.
2) Поэтому находите уже статичную запись сделанную по первой части мной описанной,
кликаете на ней, и также как и с DHCP, делаете запись статичной.
Теперь мы привязали уже МАК жёстко.
Но это не всё.
Чтобы роутер принимал только наши маки, надо явно это сделать, поэтому в свойствах интерфейса который смотрит в домашнюю(локальную сеть)
Вы должны ARP параметр скорректировать (эту часть задания я описывать не буду специально, мини-самостоятельная работа для Вас).

На счёт Файрволла: я не знаю что можно тут сказать, тут как художество, можно сделать просто,
а можно красиво и заумно. Задачу минимум Вам gmx подсказал, а дальше творить и творить...
Добавляю лишь одно: первым делом я добавляю в самый вверх правило по ДРОПанию инвалидных пакетов.
У микротиков всё же процессоры не сильно мощные, зачем потом обрабатывать пакет, который заранее инвалидный.
Поэтому такие пакеты в самом начале проще сразу убить.

P.S.
Не забываем о бэкапе настроек. Ну и конечно микротик в целях улучшений также не забываем обновлять.

Конечно сам все делаю. Только когда знаний маловато и длительный период использовал что то другое, мозг всегда пытается проводить аналогию с предыдущим вариантом, вот и возникают сложности ))) Спасибо, буду смотреть - пробовать.

С этим вроде разобрался и все понял, просто в ПФСенс это все было в одном месте как бы.
Тут получается надо сделать связки и в DHCP Leases и в ARP List. Все сделал.

Добрый вечер. Вынужден снова обратиться к коллективному разуму! ))) Что это за портянка соединений? :


81.27.48.73 - это внешний айпи полученный от провайдера, куда так ломится роутер ? Внутренняя сеть 192,168,1,** прямые соединения компов во внешнюю сеть есть, или они так дублируются тут ?

35house писал(а):Добрый вечер. Вынужден снова обратиться к коллективному разуму! ))) Что это за портянка соединений? :
81.27.48.73 - это внешний айпи полученный от провайдера, куда так ломится роутер ? Внутренняя сеть 192,168,1,** прямые соединения компов во внешнюю сеть есть, или они так дублируются тут ?

Ну если это адрес роутера, и он в поле Dst - значит не роутер, а на него с наружи ломятся.
Посмотрите весь список Коннекшинов, есть ли много сессии от локального адреса какова то?
Обычно много сессий от торрент-закачек, либо атака, вирусня.
Что у Вас с файрволом?

Там нет никаких правил ))) все пытаюсь сделать, но вроде пишут что надо вводить через терминал - копирую команды, постоянно вылезают какие то ошибки. Т.е. правила так и не смог создать ... уже подумываю назад вернуться на пфсенс.