Zdravím Vás,
chtěl bych se zeptat, jak na MikroTiku RB3011UiAS zakázat vynucené IP adressy z windows nebo linuxu? DHCP server mi funguje i ARP - MAC.
Nejsem v tomto kovaný, ale nikde jsem nenašel, jak toho docílit? Jde to vůbec?
Jde mi o to, když mám v síti několik IP adres a zrovna se nějaký uživatel rozhodně přidělit si IP např. stejnou jako má server, tak je problém.
Jak předejít kolizi?
Předem děkuji.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
MikroTik - RB3011UiAS - jak zakázat vynucené IP adressy z windows / linux
Tak od toho snad je DHCP server, aby si klientské zařízení vzalo IP adresu z jeho poolu.
0 x
Vysoce odborných omylů se dopouští jen specialisté.
Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.
Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.
Řeší to ARP inspection, DHCP snooping a případně statický ARP.
0 x
v DHCP serveru nastavit add ARP for leases.
odpovídající rozhraní na mikrotiku nastavit jako arp reply only
Problém je ovšem v části sítě za mikrotikem. Tedy na switchi (nepíšeš, zda máš). Pokud ten nemá podporu pro spolupráci s DHCP serverem, tak úplně těm unesením IP nezabráníš.
DHCP snooping je takový základ - zabezpečí, že si nikdo nepustí DHCP server někde kde nechceš. A především si udržuje tabulky MAC-IP podle odpovědí DHCP serveru. A k tomu lze použít další ochrany, typicky ARP inspection (ono jich je víc) - to pak zajistí, že portem projde provoz IP adresy jen a pouze přidělené z DHCP serveru.
Bez toho takový počítač sice nekomunikuje s RBčkem, ale se vším ostatním může.
odpovídající rozhraní na mikrotiku nastavit jako arp reply only
Problém je ovšem v části sítě za mikrotikem. Tedy na switchi (nepíšeš, zda máš). Pokud ten nemá podporu pro spolupráci s DHCP serverem, tak úplně těm unesením IP nezabráníš.
DHCP snooping je takový základ - zabezpečí, že si nikdo nepustí DHCP server někde kde nechceš. A především si udržuje tabulky MAC-IP podle odpovědí DHCP serveru. A k tomu lze použít další ochrany, typicky ARP inspection (ono jich je víc) - to pak zajistí, že portem projde provoz IP adresy jen a pouze přidělené z DHCP serveru.
Bez toho takový počítač sice nekomunikuje s RBčkem, ale se vším ostatním může.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Zdravím,
je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.
Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.
Mám za MK - switche, které neroutují a jsou podrížení MK.
Děkuji.
je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.
Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.
Mám za MK - switche, které neroutují a jsou podrížení MK.
Děkuji.
0 x
ben876 píše:Zdravím,
je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.
Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.
Mám za MK - switche, které neroutují a jsou podrížení MK.
Děkuji.
Na tohle jsi odpověd už dostal : -) Rozhodně ale ty switche musí být managovatelné a na rozumné úrovni, aby dané security uměly.
0 x