Mikrotik. вопрос по DHCP

[Ромка 567]

Хочется реализовать такую схему.

Есть роутер Mikrotik, на нем настроен DHCP сервер, адреса статика согласно мак адреса, клиенты в основном windows, интернет получают по pptp и pppoe.

Что настроить, чтоб клиент который ввел сетевой адрес вручную, не смог установить тоннель?

[spaul 69]

Ну для pptp можно сделать mikrotik роутером, через который должны идти пакеты в другую подсеть на pptp сервер, соответственно через роутер смогут пройти только клиенты, для которых есть статическая запись в arp таблице (и выдались dhcp-сервером вместе с маршрутом в другую подсеть, ведь из тех, кто шарит менять айпи, мало кто сможет вручную маршрут прописать). С pppoe такое конечно не прокатит, разве что с релеем чтото придумать.

 

А вообще целесообазнось даной идеи очень сомнительна, хотя потребности конечно разные бывают...

[Ромка 567]

Ну для pptp можно сделать mikrotik роутером, через который должны идти пакеты в другую подсеть на pptp сервер, соответственно через роутер смогут пройти только клиенты, для которых есть статическая запись в arp таблице (и выдались dhcp-сервером вместе с маршрутом в другую подсеть, ведь из тех, кто шарит менять айпи, мало кто сможет вручную маршрут прописать). С pppoe такое конечно не прокатит, разве что с релеем чтото придумать.

 

А вообще целесообазнось даной идеи очень сомнительна, хотя потребности конечно разные бывают...

 

mikrotik и есть pppoe pptp сервер. Видел реализацию такого у одного человека на lynksys rv042, только там авторизация по ip+mac, причем даже если пользователь пропишет свой ip вручную, только dhcp, интернета у него не будет. подозреваю что реализовано путем манипуляций с leases и arp таблицей. По поводу целесообразности, чтоб пользователи не писали вручную ip адреса, даже свои правильные адреса.

[Magus 22]

Есть такаш штука как адрес-лист поле. Когда адрес выдался дхсп серваком, этот адрес добавляется в список. А по списку можна настроить и фаервол.

[Ромка 567]

Есть такаш штука как адрес-лист поле. Когда адрес выдался дхсп серваком, этот адрес добавляется в список. А по списку можна настроить и фаервол.

 

Подскажите где?

 

upd Спасибо за подсказку, куда рыть...

Уже кажется разобрался.

Відредаговано 2011-09-07 06:30:01 Ромка

[DD-WRT 15]

Тебе нужен свитч перед микротиком который умеет DHCP Snooping. То есть пока свитч на порту не увидит паката DHCP он его не пустит дальше на NAS

[Ромка 567]

сделал без свича.

 

нужно добавить в микротик скрипт, который импортирует адреса из leases dhcp сервера в адресслист

 

скрипт :

 

/ip firewall address-list remove [/ip firewall address-list find list=foo];:local a;:set a [/ip dhcp-server lease find status=bound];:local b;:for b from=0 to=([:len $a]-1) step=1 do={/ip firewall address-list add list=foo address=[/ip dhcp-server lease get [:pick $a $b] address]}

 

адресслист "foo"

 

запускать скрипт по шедулеру, например раз в 15 секунд.

 

Если нужно авторизовывать пользователей без тоннелей, то в файерволе настраиваем нат где вместо src. adress указываем src. adresslist.

Если авторизовываем по pptp, то запещаем в файерволе тоннели от адресов не находящихся в adresslist

 

В настройках DHCP server ставим время аренды адреса 1 минута

[Magus 22]

Можна проще если все лизи статические, то в настройках самого лиза есть аддресс-лист.

 

Может, правда, не на всех версиях.

 

На 5.х, точно есть

 

/ip dhcp-server lease edit 1 address-list=clients

[Angel_ua 3]

если я понял тему то все намного проще

WinBox

в DHCP ставим галочку add arp for leases

на интерфейсе ARP: выбираем reply-only

 

со статикой сосут лапу

 

и помоему это единственый способ с PPoE

[oleksandrzt 9]

если я понял тему то все намного проще

WinBox

в DHCP ставим галочку add arp for leases

на интерфейсе ARP: выбираем reply-only

 

со статикой сосут лапу

 

и помоему это единственый способ с PPoE

 

это если на интерфейсе arp-only ?

 

а для ppoe нужен ip адресс ?

[Ромка 567]

 

а для ppoe нужен ip адресс ?

 

не нужен, просто пппое тоннель не поднимешь если в арп таблице мак клиента не будет

[Prime 51]

 

а для ppoe нужен ip адресс ?

 

не нужен, просто пппое тоннель не поднимешь если в арп таблице мак клиента не будет

для установки pppoe туннеля, ARP протокол - не используется!

[Ромка 567]

если я понял тему то все намного проще

WinBox

в DHCP ставим галочку add arp for leases

на интерфейсе ARP: выбираем reply-only

 

со статикой сосут лапу

 

и помоему это единственый способ с PPoE

 

Да, действительно,предложенный Вами способ проще и лучше, хотя с PPPOE не срабатывает, впрочем как и мой.

 

 

а для ppoe нужен ip адресс ?

 

не нужен, просто пппое тоннель не поднимешь если в арп таблице мак клиента не будет

для установки pppoe туннеля, ARP протокол - не используется!

 

Да Вы правы, см выше.

 

Так каким всётаки способом можно зарубить PPPOE?

[Prime 51]

правильно фильтровать было бы по полю mac-type

но в файрволе микротика такого нет

потому radius + db вам в помощь

[Magus 22]

Ограничить можно по полю Caller-id(настройки пользователя в секретах ППП), в случае пппое оно будет равно маку "звонящено".

[Ромка 567]

Ограничить можно по полю Caller-id(настройки пользователя в секретах ППП), в случае пппое оно будет равно маку "звонящено".

 

это я вкурсе, нужно запретить пппое подключение, если у пользователя вписаны настройки тцп-ип вручную, даже если они (настройки) верные.

[Magus 22]

гм...как вариант, можна редиректить такого пользователя на страницу запрета уже после установления соединения.

[Prime 51]

Ограничить можно по полю Caller-id(настройки пользователя в секретах ППП), в случае пппое оно будет равно маку "звонящено".

 

это я вкурсе, нужно запретить пппое подключение, если у пользователя вписаны настройки тцп-ип вручную, даже если они (настройки) верные.

скрипт должен смотреть на выданную лизу

если лизы нет, то может не давать терминировать сессию.

но чтобы дропать - то тут на микротике не получится.

на freebsd или свичах - без проблем