Jump to content
Local
blogpatik

Mikrotik_Делимся опытом, помогаем друг другу

Recommended Posts

22 минуты назад, blogpatik сказал:

ні, не має, дякую. Значить буду на 1 інтерфейс вішати все

А какую вы задачу хотите решить разделяя на подсети? На один интерфейс вешайте хоть 100 подсетей но без vlan безопасности не будет, все будут видить всех, пусть не через сетевое окружение но по ip все будет в одной сети только с меньшей маской...  Для это и используют vlan что бы разделить физически подсети.

Share this post


Link to post
Share on other sites
43 минуты назад, blogpatik сказал:

Для чого тоді vlan використовувати? 

Чтоб домены разделять. Широковещательные. С бородкаст штормом столкнетесь - поймёте.

 

 

 

31 минуту назад, WideAreaNetwork сказал:

сервак HP Proliant , 

Там аппаратная плата с рейдом как бы....

Edited by Dimkers

Share this post


Link to post
Share on other sites
38 минут назад, netstriker сказал:

Для это и используют vlan что бы разделить физически подсети.

 

36 минут назад, Dimkers сказал:

Широковещательные. С бородкаст штормом столкнетесь - поймёте.

и на тупариках оно поможет?

37 минут назад, Dimkers сказал:

ам аппаратная плата с рейдом как бы

точно, из-за него и не будет работать :(

Share this post


Link to post
Share on other sites
12 минут назад, WideAreaNetwork сказал:

на тупариках оно поможет? 

Так же как пхание кучи подсетей на бридж.... Я вообще смысла не понимаю в данном действе.

Раз уж такая пьянка, то в ЦЦРе вроде как 12 портов. Лучше уж тогда каждый отдел в отдельный порт и на порт вешать свою сетку. Так пользы будет больше. А ваше ещё лучше поднять дхцп на каждом интерфейсе для отдела. Тогда не надо будет бегать и ипишки сочинять....

12 минут назад, WideAreaNetwork сказал:

точно, из-за него и не будет работать

Работать не будет не из-за нее, а из-за того, что ядро в микроте древнючее до не могу и не имеет дров под этот рейд.

С другой стороны можно поиграть с виртуалками. Накатить какой-нибудь прксмокс или подобное, а на нем уже микрот. Но это дичайший изврат.

Edited by Dimkers

Share this post


Link to post
Share on other sites
1 час назад, netstriker сказал:

А какую вы задачу хотите решить разделяя на подсети? На один интерфейс вешайте хоть 100 подсетей но без vlan безопасности не будет, все будут видить всех, пусть не через сетевое окружение но по ip все будет в одной сети только с меньшей маской...  Для это и используют vlan что бы разделить физически подсети.

Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу.

 

Share this post


Link to post
Share on other sites
1 час назад, Dimkers сказал:

ядро в микроте древнючее до не могу и не имеет дров под этот рейд.

ну я и имел ввиду что рейд не поймет, правда не правильно выразился

 

1 час назад, Dimkers сказал:

ЦЦРе вроде как 12 портов. Лучше уж тогда каждый отдел в отдельный порт и на порт вешать свою сетку. Так пользы будет больше. А ваше ещё лучше поднять дхцп на каждом интерфейсе для отдела. Тогда не надо будет бегать и ипишки сочинять

+1

Share this post


Link to post
Share on other sites
9 часов назад, blogpatik сказал:

Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу.

Вы в кучку смешали Л2 и Л3. У Вас с порта(на котором подняты подсети) выходит кабель и идет в тупые свичи. Тупые свичи ничего не умеют кроме как трафик гонять с порта в порт на основе таблички соответствия порт-мак. Они не знают ничего о вланах. Поэтому любой дядя из отдела "А", пропишет ИП из отдела "Б" и на этом закончится вся ваша безопасность и сегментирование.

  • Thanks 1

Share this post


Link to post
Share on other sites
1 минуту назад, Dimkers сказал:

Вы в кучку смешали Л2 и Л3. У Вас с порта(на котором подняты подсети) выходит кабель и идет в тупые свичи. Тупые свичи ничего не умеют кроме как трафик гонять с порта в порт на основе таблички соответствия порт-мак. Они не знают ничего о вланах. Поэтому любой дядя из отдела "А", пропишет ИП из отдела "Б" и на этом закончится вся ваша безопасность и сегментирование.

Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами.

 

 

Share this post


Link to post
Share on other sites
24 минуты назад, blogpatik сказал:

Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами.

Пфффф... Этож децкий лепет. Вам еще мамкины хацкеры видать не попадались....

Ну да ладно. Вам видней. Делайте как хотите.

Share this post


Link to post
Share on other sites

 

10 часов назад, blogpatik сказал:

Основне завдання сегментація та ізоляція мережі. Через файрвол та ip/rotes/rules я буду ізолювати мережі. Кращого варіанту зараз я не бачу.

Вы так не разделите и не изолируете сеть от слова вообще. Вариант менять структуру сети, как выше сказали в CCR 12 портов, 1 порт на 1 тупарик, в 1 тупарике 1 отдел, я не думаю что у вас в перемешку сидят отделы. А еще как вариант купить управляемый свитч, с вашими задачами справятся самые дешевый модели, можно на локале по рублю за ведро б.у. взять. 

47 минут назад, blogpatik сказал:

Дякую, але дядя не пропише, так як всі користувачі працюють з під користувача "user" з обмеженими правами.

Было бы желание, принес ноут или еще что, сколько кривого софта под винду который без админ прав корректно не работает. А на управляемом свиче вы сможете отключать не используемые порты, строить VLAN и т.д.

Share this post


Link to post
Share on other sites

i_tak_soydet_1_20062221-768x503.jpg

Спорить бесполезно! Оно же и так работает зачем что-то докупать и менять?

Про тот же вирус Петя уже многие забыли. Нужно, чтоб минимум раз в год подобный вирус появлялся, тогда может и задумаются... 

Share this post


Link to post
Share on other sites

ТС, запомните одно, пока стоят тупарике все до лампочки, можно вообще бомжовские варианты сделать, купить что-то типа RB750 и в каждый порт отдельно тупарики, каждый тупарик это отдел, так хотя бы разделить сети сможете, дхцп настроить на каждый влан и т.д., если нет денег то делайте как задумали, но и будьте готовы бегать)

Share this post


Link to post
Share on other sites

Предлагаю поднять вопрос обнаружения и блокирования "левых" dhcp-серверов. Кто, как борется с этой проблемой?

Предполагается отсутствие тупых свичей в сети, но при этом есть другие роутерборды.scheme-1.jpg.2b5ba1485f7cd548fb5e7f153973d359.jpg

В частности, больше интересует модель CRS326-24G-2S, так как эта модель дает возможность управлять свич-чипом, что в свою очередь не нагружает проц.

Заинтересовала статья https://habr.com/post/310542/,но в свежих версиях router-os изменен синтаксис команд, поэтому скрипт не работает. Может у кого-то получится адаптировать этот скрипт под новые прошивки.

Edited by WhiteScorp

Share this post


Link to post
Share on other sites

Можливо знає хтось...

Що з DHCP твориться таке?

Причому кожного разу інші адреси...

 

dhcp.jpg

 

Edited by blogpatik

Share this post


Link to post
Share on other sites
В 09.01.2019 в 11:57, WhiteScorp сказал:

обнаружения и блокирования "левых" dhcp-серверов.

для вас по моему то шо надо :)

Valid Servers укажите трастовые маки 

Screenshot_2.png

Edited by datakrava

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×