Перейти до

Mikrotik. вопрос по DHCP


Рекомендованные сообщения

Хочется реализовать такую схему.

Есть роутер Mikrotik, на нем настроен DHCP сервер, адреса статика согласно мак адреса, клиенты в основном windows, интернет получают по pptp и pppoe.

Что настроить, чтоб клиент который ввел сетевой адрес вручную, не смог установить тоннель?

Ссылка на сообщение
Поделиться на других сайтах

Ну для pptp можно сделать mikrotik роутером, через который должны идти пакеты в другую подсеть на pptp сервер, соответственно через роутер смогут пройти только клиенты, для которых есть статическая запись в arp таблице (и выдались dhcp-сервером вместе с маршрутом в другую подсеть, ведь из тех, кто шарит менять айпи, мало кто сможет вручную маршрут прописать). С pppoe такое конечно не прокатит, разве что с релеем чтото придумать.

 

А вообще целесообазнось даной идеи очень сомнительна, хотя потребности конечно разные бывают...

Ссылка на сообщение
Поделиться на других сайтах

Ну для pptp можно сделать mikrotik роутером, через который должны идти пакеты в другую подсеть на pptp сервер, соответственно через роутер смогут пройти только клиенты, для которых есть статическая запись в arp таблице (и выдались dhcp-сервером вместе с маршрутом в другую подсеть, ведь из тех, кто шарит менять айпи, мало кто сможет вручную маршрут прописать). С pppoe такое конечно не прокатит, разве что с релеем чтото придумать.

 

А вообще целесообазнось даной идеи очень сомнительна, хотя потребности конечно разные бывают...

 

mikrotik и есть pppoe pptp сервер. Видел реализацию такого у одного человека на lynksys rv042, только там авторизация по ip+mac, причем даже если пользователь пропишет свой ip вручную, только dhcp, интернета у него не будет. подозреваю что реализовано путем манипуляций с leases и arp таблицей. По поводу целесообразности, чтоб пользователи не писали вручную ip адреса, даже свои правильные адреса.

Ссылка на сообщение
Поделиться на других сайтах

Есть такаш штука как адрес-лист поле. Когда адрес выдался дхсп серваком, этот адрес добавляется в список. А по списку можна настроить и фаервол.

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Есть такаш штука как адрес-лист поле. Когда адрес выдался дхсп серваком, этот адрес добавляется в список. А по списку можна настроить и фаервол.

 

Подскажите где?

 

upd Спасибо за подсказку, куда рыть...

Уже кажется разобрался.

Відредаговано Ромка
Ссылка на сообщение
Поделиться на других сайтах

Тебе нужен свитч перед микротиком который умеет DHCP Snooping. То есть пока свитч на порту не увидит паката DHCP он его не пустит дальше на NAS

Ссылка на сообщение
Поделиться на других сайтах

сделал без свича.

 

нужно добавить в микротик скрипт, который импортирует адреса из leases dhcp сервера в адресслист

 

скрипт :

 

/ip firewall address-list remove [/ip firewall address-list find list=foo];:local a;:set a [/ip dhcp-server lease find status=bound];:local b;:for b from=0 to=([:len $a]-1) step=1 do={/ip firewall address-list add list=foo address=[/ip dhcp-server lease get [:pick $a $b] address]}

 

адресслист "foo"

 

запускать скрипт по шедулеру, например раз в 15 секунд.

 

Если нужно авторизовывать пользователей без тоннелей, то в файерволе настраиваем нат где вместо src. adress указываем src. adresslist.

Если авторизовываем по pptp, то запещаем в файерволе тоннели от адресов не находящихся в adresslist

 

В настройках DHCP server ставим время аренды адреса 1 минута

Ссылка на сообщение
Поделиться на других сайтах

Можна проще если все лизи статические, то в настройках самого лиза есть аддресс-лист.

 

Может, правда, не на всех версиях.

 

На 5.х, точно есть

 

/ip dhcp-server lease edit 1 address-list=clients
Ссылка на сообщение
Поделиться на других сайтах

если я понял тему то все намного проще

WinBox

в DHCP ставим галочку add arp for leases

на интерфейсе ARP: выбираем reply-only

 

со статикой сосут лапу

 

и помоему это единственый способ с PPoE

Ссылка на сообщение
Поделиться на других сайтах

если я понял тему то все намного проще

WinBox

в DHCP ставим галочку add arp for leases

на интерфейсе ARP: выбираем reply-only

 

со статикой сосут лапу

 

и помоему это единственый способ с PPoE

 

это если на интерфейсе arp-only ?

 

а для ppoe нужен ip адресс ?

Ссылка на сообщение
Поделиться на других сайтах

 

а для ppoe нужен ip адресс ?

 

не нужен, просто пппое тоннель не поднимешь если в арп таблице мак клиента не будет

Ссылка на сообщение
Поделиться на других сайтах

 

а для ppoe нужен ip адресс ?

 

не нужен, просто пппое тоннель не поднимешь если в арп таблице мак клиента не будет

для установки pppoe туннеля, ARP протокол - не используется!

Ссылка на сообщение
Поделиться на других сайтах

если я понял тему то все намного проще

WinBox

в DHCP ставим галочку add arp for leases

на интерфейсе ARP: выбираем reply-only

 

со статикой сосут лапу

 

и помоему это единственый способ с PPoE

 

Да, действительно,предложенный Вами способ проще и лучше, хотя с PPPOE не срабатывает, впрочем как и мой.

 

 

а для ppoe нужен ip адресс ?

 

не нужен, просто пппое тоннель не поднимешь если в арп таблице мак клиента не будет

для установки pppoe туннеля, ARP протокол - не используется!

 

Да Вы правы, см выше.

 

Так каким всётаки способом можно зарубить PPPOE?

Ссылка на сообщение
Поделиться на других сайтах

правильно фильтровать было бы по полю mac-type

но в файрволе микротика такого нет

потому radius + db вам в помощь

Ссылка на сообщение
Поделиться на других сайтах

Ограничить можно по полю Caller-id(настройки пользователя в секретах ППП), в случае пппое оно будет равно маку "звонящено".

 

это я вкурсе, нужно запретить пппое подключение, если у пользователя вписаны настройки тцп-ип вручную, даже если они (настройки) верные.

Ссылка на сообщение
Поделиться на других сайтах

Ограничить можно по полю Caller-id(настройки пользователя в секретах ППП), в случае пппое оно будет равно маку "звонящено".

 

это я вкурсе, нужно запретить пппое подключение, если у пользователя вписаны настройки тцп-ип вручную, даже если они (настройки) верные.

скрипт должен смотреть на выданную лизу

если лизы нет, то может не давать терминировать сессию.

но чтобы дропать - то тут на микротике не получится.

на freebsd или свичах - без проблем

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...