Zdravím Vás,
chtěl bych se zeptat, jak na MikroTiku RB3011UiAS zakázat vynucené IP adressy z windows nebo linuxu? DHCP server mi funguje i ARP - MAC.
Nejsem v tomto kovaný, ale nikde jsem nenašel, jak toho docílit? Jde to vůbec?
Jde mi o to, když mám v síti několik IP adres a zrovna se nějaký uživatel rozhodně přidělit si IP např. stejnou jako má server, tak je problém.
Jak předejít kolizi?
Předem děkuji.
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
MikroTik - RB3011UiAS - jak zakázat vynucené IP adressy z windows / linux
Tak od toho snad je DHCP server, aby si klientské zařízení vzalo IP adresu z jeho poolu.
0 x
Vysoce odborných omylů se dopouští jen specialisté.
Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.
Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.
Řeší to ARP inspection, DHCP snooping a případně statický ARP.
0 x
v DHCP serveru nastavit add ARP for leases.
odpovídající rozhraní na mikrotiku nastavit jako arp reply only
Problém je ovšem v části sítě za mikrotikem. Tedy na switchi (nepíšeš, zda máš). Pokud ten nemá podporu pro spolupráci s DHCP serverem, tak úplně těm unesením IP nezabráníš.
DHCP snooping je takový základ - zabezpečí, že si nikdo nepustí DHCP server někde kde nechceš. A především si udržuje tabulky MAC-IP podle odpovědí DHCP serveru. A k tomu lze použít další ochrany, typicky ARP inspection (ono jich je víc) - to pak zajistí, že portem projde provoz IP adresy jen a pouze přidělené z DHCP serveru.
Bez toho takový počítač sice nekomunikuje s RBčkem, ale se vším ostatním může.
odpovídající rozhraní na mikrotiku nastavit jako arp reply only
Problém je ovšem v části sítě za mikrotikem. Tedy na switchi (nepíšeš, zda máš). Pokud ten nemá podporu pro spolupráci s DHCP serverem, tak úplně těm unesením IP nezabráníš.
DHCP snooping je takový základ - zabezpečí, že si nikdo nepustí DHCP server někde kde nechceš. A především si udržuje tabulky MAC-IP podle odpovědí DHCP serveru. A k tomu lze použít další ochrany, typicky ARP inspection (ono jich je víc) - to pak zajistí, že portem projde provoz IP adresy jen a pouze přidělené z DHCP serveru.
Bez toho takový počítač sice nekomunikuje s RBčkem, ale se vším ostatním může.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Zdravím,
je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.
Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.
Mám za MK - switche, které neroutují a jsou podrížení MK.
Děkuji.
je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.
Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.
Mám za MK - switche, které neroutují a jsou podrížení MK.
Děkuji.
0 x
ben876 píše:Zdravím,
je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.
Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.
Mám za MK - switche, které neroutují a jsou podrížení MK.
Děkuji.
Na tohle jsi odpověd už dostal : -) Rozhodně ale ty switche musí být managovatelné a na rozumné úrovni, aby dané security uměly.
0 x