Zdravím Vás,
chtěl bych se zeptat, jak na MikroTiku RB3011UiAS zakázat vynucené IP adressy z windows nebo linuxu? DHCP server mi funguje i ARP - MAC.
Nejsem v tomto kovaný, ale nikde jsem nenašel, jak toho docílit? Jde to vůbec?
Jde mi o to, když mám v síti několik IP adres a zrovna se nějaký uživatel rozhodně přidělit si IP např. stejnou jako má server, tak je problém.
Jak předejít kolizi?
Předem děkuji.
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů a vypnutým fulltextovým vyhledáváním. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
MikroTik - RB3011UiAS - jak zakázat vynucené IP adressy z windows / linux
-
ben876
- Příspěvky: 2
- Registrován: 6 years ago
-
the.max
- Příspěvky: 1306
- Registrován: 18 years ago
- Bydliště: Sudetten land
- Kontaktovat uživatele:
Tak od toho snad je DHCP server, aby si klientské zařízení vzalo IP adresu z jeho poolu.
0 x
-
cerva
- Příspěvky: 254
- Registrován: 10 years ago
Řeší to ARP inspection, DHCP snooping a případně statický ARP.
0 x
-
ludvik
- Příspěvky: 4448
- Registrován: 14 years ago
v DHCP serveru nastavit add ARP for leases.
odpovídající rozhraní na mikrotiku nastavit jako arp reply only
Problém je ovšem v části sítě za mikrotikem. Tedy na switchi (nepíšeš, zda máš). Pokud ten nemá podporu pro spolupráci s DHCP serverem, tak úplně těm unesením IP nezabráníš.
DHCP snooping je takový základ - zabezpečí, že si nikdo nepustí DHCP server někde kde nechceš. A především si udržuje tabulky MAC-IP podle odpovědí DHCP serveru. A k tomu lze použít další ochrany, typicky ARP inspection (ono jich je víc) - to pak zajistí, že portem projde provoz IP adresy jen a pouze přidělené z DHCP serveru.
Bez toho takový počítač sice nekomunikuje s RBčkem, ale se vším ostatním může.
odpovídající rozhraní na mikrotiku nastavit jako arp reply only
Problém je ovšem v části sítě za mikrotikem. Tedy na switchi (nepíšeš, zda máš). Pokud ten nemá podporu pro spolupráci s DHCP serverem, tak úplně těm unesením IP nezabráníš.
DHCP snooping je takový základ - zabezpečí, že si nikdo nepustí DHCP server někde kde nechceš. A především si udržuje tabulky MAC-IP podle odpovědí DHCP serveru. A k tomu lze použít další ochrany, typicky ARP inspection (ono jich je víc) - to pak zajistí, že portem projde provoz IP adresy jen a pouze přidělené z DHCP serveru.
Bez toho takový počítač sice nekomunikuje s RBčkem, ale se vším ostatním může.
0 x
-
ben876
- Příspěvky: 2
- Registrován: 6 years ago
Zdravím,
je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.
Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.
Mám za MK - switche, které neroutují a jsou podrížení MK.
Děkuji.
je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.
Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.
Mám za MK - switche, které neroutují a jsou podrížení MK.
Děkuji.
0 x
-
cerva
- Příspěvky: 254
- Registrován: 10 years ago
ben876 píše:Zdravím,
je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.
Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.
Mám za MK - switche, které neroutují a jsou podrížení MK.
Děkuji.
Na tohle jsi odpověd už dostal : -) Rozhodně ale ty switche musí být managovatelné a na rozumné úrovni, aby dané security uměly.
0 x