classic.ISPforum.cz

Prosím, jak docílím tohto aby po připojení ethernetu do klientské antény neukazoval winbox všechny mikrotiky na sektoru, ale jen ten jeden lokální?
Mám ether1 a wlan1 v bridge. IP neigbors discovery mám povolený pouze ether1 a stejně tam mám vše ze sektoru. Když zakážu i ether1, tak zase nevidím nic.

Díky za radu

když spojíš dvě rozhraní do virtuálního (bridge), tak logicky musíš zakázat discovery ne bridge (ale tam se mísíš rozhodnout co preferuješ), další je zapnutí izolace klientů na ap

Teoreticky na firewall bridge (https://wiki.mikrotik.com/wiki/Manual:I ... e_Firewall) dropovat CDP (https://en.wikipedia.org/wiki/Cisco_Discovery_Protocol). Ale možná to jde i jednodušeji.

Mimochodem, dávat do bridge half-duplexní media není dobrý nápad. Snižuje se propustnost a narůstají režie (pokud je ten WLAN half-duplexní, jako že nejspíš je).

Potřebuju vidět vždy akorát tu lokální anténu z ether1 nic jiného.
Zkusím si nastavit ten firewall na bridge. Děkuji

zdenek.svarc píše:Mimochodem, dávat do bridge half-duplexní media není dobrý nápad. Snižuje se propustnost a narůstají režie (pokud je ten WLAN half-duplexní, jako že nejspíš je).

No nastavení mám většinou tak, že pod wlan1 mám nahozeny např. vlan1 pro dohled a vlan2 pro data. Potom mám bridge port ether1 s vlan2 dohromady.
Jak to udělat jinak a lépe? Rád bych to změnil, ale NATovat na anténě se mi nechce.

pgb píše:když spojíš dvě rozhraní do virtuálního (bridge), tak logicky musíš zakázat discovery ne bridge (ale tam se mísíš rozhodnout co preferuješ), další je zapnutí izolace klientů na ap

Že by stačilo odškrtnout default forward? Nechci to těd zkoušet za provozu.

Více méně ano. Další možností "zabezpečení" je omezení přístupu pomocí firewallu a řízení "mac serveru" kde má naslouchat

Tak koukám, že default forward mám vypnutý. Zkusím si tedy hrát s tím firewall na bridge.

A ap máš také v bridge a sektorů máš víc? Pokud ano tak na klientoj vidíš třeba sousední sektory. Asi by to chtělo nakreslit, takhle to asi nikdo moc nepochopil ....

AP je taky v bridge. Kde to zkouším, tak je jeden sektor.

Na AP mám discovery už úplně vše vypnuté a na routeru pro lokalitu taky. Stejně z ethernetu koncového sxt vidím všechny ostatní klienty.

Klienty uvidis vzdy. To ze zakazes neighbore v mikrotiku, tak to jen znamena, ze nebude prijmat a odesilat oznameni, ze tam je. Ostatni projde, takze i oznameni ostatnich zarizeni.
Jak se tady psalo, ze se ma zakazat CDP, tak mikrotik pouziva i svuj protokol. Jedina moznost je skutecne zahodit v bridge.

A nebo pak solo VLANy.

Zkouším v bridge filter blokovat udp 5678 a 20561 a cca polovina klientů zmizela, ale zbytek zůstává viditelný.

mrazek609 píše:Zkouším v bridge filter blokovat udp 5678 a 20561 a cca polovina klientů zmizela, ale zbytek zůstává viditelný.

mne sa zda ze je to multicast, tak skus toto:
/interface bridge filter
add action=drop chain=forward comment="multicast drop" disabled=no packet-type=multicast

To je přesně to co chybělo Díky