No a da se vubec realizovat to, ze na jednom portu mikrotiku mam pripojeny ne-managementovatelný (obycejny) switche a chci, aby klienti, kteri jsou ve stejne siti rekneme 192.168.0.0/24 na sebe nevideli ? Musel bych obdobne pravidla nastavovat pro kazdou IP adresu zvlast ? Jde mi hlavne o Windows, netbios, sdileni prostredku jednotlivych stanic, aby uzivatele nevideli sdileni, ani dane PC v siti. Neslo by dropnout jen urcie porty a pokud ano, ktere by to byly ?
Dekuji
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
oddělení LAN klientů na RB750 (VLAN)
-
martinenecek
- Příspěvky: 4
- Registrován: 14 years ago
no vidíš, teprve teď jsi napsal to hlavní, nejde to, počítače ve stejným subnetu mezi sebou komunikujou přímo, ne přes router
musel bys každýho z nich píchnout do sólo portu na managovatelným switchi, kterej by to přes vlany dohnal do routeru a každá vlana by měla svůj subnet a své dhcp
musel bys každýho z nich píchnout do sólo portu na managovatelným switchi, kterej by to přes vlany dohnal do routeru a každá vlana by měla svůj subnet a své dhcp
0 x
pejsek píše:marvalik007 píše:nepotřebuji. zařízení bude využíváno od více zákazníků v jednom objektu. Takže akorát musím max. znemožnit aby si mohli vlézt do LANek.
každý port 2 - 5 vlastní DHCPserver
Firewal: Filter Rules, forward, :
1) ether2, ether1 - accept
2) ether3, ether1 - accept
3) ether4, ether1 - accept
4) ether5, ether1 - accept
5) ether1, ether2 - accept
6) ether1, ether3 - accept
7) ether1, ether4 - acceptether1, ether5 - accept
9) drop
A je to
no som tu skusil a nejde to. sice priama komunikacia nie je a vo filtry drop som videl,ze to funguje,ale ako som ich pripojil na router tak zacali komunikovat medzi sebou.
cize z 2 do 3 isla komunikacia 2-1, 1-3
nejaky iny napad ako to spravit?
0 x
Každý port svůj DHCP a svůj subnet a ve filteru ty subnety dropuj mezi sebou,třeba takhle
add action=drop chain=forward comment="" disabled=no dst-address=\
192.168.3.0/24 src-address=192.168.1.0/24
Nicméně,pokud používají skype,DC nebo torrent a jim podobné,tak klidně může komunikace mezi těma pc týct akorád s tím,že to poteče přes net server a tím pádem zatíží tvůj konekt a ne jen porty na koncovém routeru.
add action=drop chain=forward comment="" disabled=no dst-address=\
192.168.3.0/24 src-address=192.168.1.0/24
Nicméně,pokud používají skype,DC nebo torrent a jim podobné,tak klidně může komunikace mezi těma pc týct akorád s tím,že to poteče přes net server a tím pádem zatíží tvůj konekt a ne jen porty na koncovém routeru.
0 x
Peyrak píše:no vidíš, teprve teď jsi napsal to hlavní, nejde to, počítače ve stejným subnetu mezi sebou komunikujou přímo, ne přes router
musel bys každýho z nich píchnout do sólo portu na managovatelným switchi, kterej by to přes vlany dohnal do routeru a každá vlana by měla svůj subnet a své dhcp
Takhle to dělat je totální k pakárna u účelu, co chce. Ano, se zcela tupým switchem to neudělá. Ale cokoliv trošku inteligentnějšího umí něco, co se jmenuje izolace portů, privární VLAN a tisíc dalších jmen, kdy to funguje tak, že jendotlivé porty jsou od sebe izolovány, switch blokuje komunikaci mezi nima a mohou komunikovat jen proti jednomu nebo dvoum (dle schopnosti switche) určeným uplinkům. Do uplinku prdneš RBčko, to vidí na všechny stanice na portech jako jednu síť, takže jeden IP rozah a DHCP server a přitom stanice se vzájemně nevidí. Také to elegantně řeší tisíce dalším problémů, co mpžou nastat (ideálně v kombinaci s arp/ip guardem).
Na RB jen ošetřím firewalem, aby co přijde uplinkem se neforwardovalo zpět. Asi nejrozumnější řešení a nejmíň námahy pro RBčko
0 x
ty si to řeš jak chceš 
já to řešim tak jak to má Hallo protože chci vědět kdo na jakym portu je tedy jakej user tam je což je podmínka v naší síti. Mě nezajímá že tam má 50 počítačů ale zajímá mě čí jsou a na to izolace portů nestačí. A to že komunikujou lidi skrz routu na RB750 je jedině dobře
já to řešim tak jak to má Hallo protože chci vědět kdo na jakym portu je tedy jakej user tam je což je podmínka v naší síti. Mě nezajímá že tam má 50 počítačů ale zajímá mě čí jsou a na to izolace portů nestačí. A to že komunikujou lidi skrz routu na RB750 je jedině dobře
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Ehm, jenže přesně tohle mám i s tím switchem. A to i včetně spočítnaých dat, kolik toho nasosal, od kdy do kdy byl připojen atd a nemusím tím zatěžovat to RBčko, to ať se věnuje primárně routingu a nezjišťování toho, co umí i většina polointeligentních switchů mnohem lépe a mám i jendodušší konfiguraci na tom RBčku, než v něm udržovat X VLAN, k tomu X dhcp serverů nebo releyů atd.
A pokud mám konfigurační data pěkně ve dvou radius servrech pohormdě pro celou síť, tak si z bere RBčko informace do DHCP serveru co má komu přidělit, stejně tak si z toho bere switch informaci o tom co je na jakém portu povoleno a mám zpětně i v accountingu o tom všem záznamy a když si tam uživatel strčí něco co nemá, tak ho to patřičně sejme a nabonzuje.
Samozřejmě kde je pár userů, kde ot obsloužíš jednou RB493AH tak to udělám celé v tom RBčku, kde jich nahamounilo víc, tak je víc cest co s tím.
A pokud mám konfigurační data pěkně ve dvou radius servrech pohormdě pro celou síť, tak si z bere RBčko informace do DHCP serveru co má komu přidělit, stejně tak si z toho bere switch informaci o tom co je na jakém portu povoleno a mám zpětně i v accountingu o tom všem záznamy a když si tam uživatel strčí něco co nemá, tak ho to patřičně sejme a nabonzuje.
Samozřejmě kde je pár userů, kde ot obsloužíš jednou RB493AH tak to udělám celé v tom RBčku, kde jich nahamounilo víc, tak je víc cest co s tím.
0 x
radius server? takže se musí klienti logovat do sítě?
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
ty switche by me taky zajimaly
0 x
ERnet tady, ERnet tam, ERnet vsude kam se podivam
Např Allied Telesis AT8000S/24 nebo /48, kde jsme to naposledy rozcházel, ale umí řada jiných.
Funguje to tak, že v Radiusu (lehe zjednodušeno) mám namlácená data typu MAC adresa:IP adresa:povolené porty jakého switche a dle toho to jede.
Switch, když se mu objeví neznámá MAC na portu se zeptá na ni Radiusu, ten ji buď pro daný port povolí/zakáže a případně řekne do jaké VLANy patří a switch to dle toho pustí/zařízne (toto ověřování obnovuje po stanoveném čase nebo když detekuje, že port na switchi byl down). Takže na uplinku mám jistotu, že MAC adresa jde odkud má a ne nějaký vtipný pokus souseda. A pokud obvykle klientova krabička začíná DHCPčkem, tak nad tím switchem (v reálu je tam ještě L3 koncentrátor pro optiku AT x900 a RBčka jako DHCP krámy až za ním) jsou RBčka nastavena tak, že pro DHCP dotazy se opět zeptá Radius serveru, co s danou MAC adresou v dané vlaně a ten buď může odmítnout přidělit IPčko nebo řekne jakou a tu klient dostane. Ten AT8000S neumí sám aktivně kontorlova,t zda si někdo nemění IP adresy, to se děje ve spoluprácí s tou bednou nad tím. Pokud chci klientům bránit v kominukaic mezi sebou, tak ve switchi aktivuje izolace portů, kde tomu u AT říkají PVE (private vlan edge), kdy můžu mít všechny stovkové porty v jendé vlan ale mezi sebou jsou blokovány a mohou komunikovat jen proti gigovému uplinku (v reálu je konfigurace o něco šílenější, kdy se používá víc VLAN na jedne klientův port pro oddělení internetu/VoIP/IPTV, kdy portem ke koncáku to jde netagované a switch to rozděluje do VLAN dle MAC a infa z radiusu kam co patří).
Takže Hapi, klient se nikde neloguje, to by asi nerozdýchal. Ale některé switche to tak umí, že přesměrují člověka na interní web stránku pro přihlášení, pak info ověří v radiusu a dle toho povolí. Ale to se používá spíše tam, kde se používá plné 802.1x (obvykle firemní sektor) jako záchrana, pokud koncový počítač není schopen 802.1x ověření. Co popisuji výše se obykle jmenuje mac radius authorization atd. Jde to i kombinovat u některých switchů, kdy mám současně povolenu MAC a plnou 802.1x autorizaci, kdy normální zákoš v tichosti je selektován a pouštěn dle MAC a když tam přijde technik něco řešit, připojí svlůj kompl který proti switchi provede plné ověření přes 802.1x pomocí certifikátu a switch ho pustí do VLANy z které může dělat management celé sítě např. Nicméně při tomto, pokud lidi připojují přímo komputer a ne router, je třeba jim ve woknech u síťovky odnastavit, že se mají snažit o 802.1x, jinak je to bude otravovat jak nemá.
Jinak zajimavě vypadající switch (v ceně do 10 kKč) je asi Zyxel GS2200-24, ten to umí i plně s IPgueadem v sobě. Ale ještě jsem ho naostro nerozjel (24x giga metalika, plus 4x giga combo, plně pasivní chlazení). Takže stav, kdy MAC na daný port se ověří dle Radiusu, ten pustí/nepustí, odizoluje porty od sebe (říkají tomu port based vlan) a jen pustí k uplinku. Uplink je definovaný jako trusted dhcp server, takže switch poslouchá, co je tím portem posláno za dhcp data klientovi a dle toho se naučí páry IP:MAC a pak hlídá ARP i porty, zda IPčka jsou kde mají být. Umí i mix mac a 802.1x autorizace, bohužel dynamickou vlanu dle dat z radiusu jen pro plné 802.1x. Neumí guest vlany (kam strčit klienty, kterým selže ověření proti radiusu, takže vlana kde je čeká jen web stránka, že je něco špatně a volejte support), slíbeno pro další verzi firmware (takže nikdy).
Funguje to tak, že v Radiusu (lehe zjednodušeno) mám namlácená data typu MAC adresa:IP adresa:povolené porty jakého switche a dle toho to jede.
Switch, když se mu objeví neznámá MAC na portu se zeptá na ni Radiusu, ten ji buď pro daný port povolí/zakáže a případně řekne do jaké VLANy patří a switch to dle toho pustí/zařízne (toto ověřování obnovuje po stanoveném čase nebo když detekuje, že port na switchi byl down). Takže na uplinku mám jistotu, že MAC adresa jde odkud má a ne nějaký vtipný pokus souseda. A pokud obvykle klientova krabička začíná DHCPčkem, tak nad tím switchem (v reálu je tam ještě L3 koncentrátor pro optiku AT x900 a RBčka jako DHCP krámy až za ním) jsou RBčka nastavena tak, že pro DHCP dotazy se opět zeptá Radius serveru, co s danou MAC adresou v dané vlaně a ten buď může odmítnout přidělit IPčko nebo řekne jakou a tu klient dostane. Ten AT8000S neumí sám aktivně kontorlova,t zda si někdo nemění IP adresy, to se děje ve spoluprácí s tou bednou nad tím. Pokud chci klientům bránit v kominukaic mezi sebou, tak ve switchi aktivuje izolace portů, kde tomu u AT říkají PVE (private vlan edge), kdy můžu mít všechny stovkové porty v jendé vlan ale mezi sebou jsou blokovány a mohou komunikovat jen proti gigovému uplinku (v reálu je konfigurace o něco šílenější, kdy se používá víc VLAN na jedne klientův port pro oddělení internetu/VoIP/IPTV, kdy portem ke koncáku to jde netagované a switch to rozděluje do VLAN dle MAC a infa z radiusu kam co patří).
Takže Hapi, klient se nikde neloguje, to by asi nerozdýchal. Ale některé switche to tak umí, že přesměrují člověka na interní web stránku pro přihlášení, pak info ověří v radiusu a dle toho povolí. Ale to se používá spíše tam, kde se používá plné 802.1x (obvykle firemní sektor) jako záchrana, pokud koncový počítač není schopen 802.1x ověření. Co popisuji výše se obykle jmenuje mac radius authorization atd. Jde to i kombinovat u některých switchů, kdy mám současně povolenu MAC a plnou 802.1x autorizaci, kdy normální zákoš v tichosti je selektován a pouštěn dle MAC a když tam přijde technik něco řešit, připojí svlůj kompl který proti switchi provede plné ověření přes 802.1x pomocí certifikátu a switch ho pustí do VLANy z které může dělat management celé sítě např. Nicméně při tomto, pokud lidi připojují přímo komputer a ne router, je třeba jim ve woknech u síťovky odnastavit, že se mají snažit o 802.1x, jinak je to bude otravovat jak nemá.
Jinak zajimavě vypadající switch (v ceně do 10 kKč) je asi Zyxel GS2200-24, ten to umí i plně s IPgueadem v sobě. Ale ještě jsem ho naostro nerozjel (24x giga metalika, plus 4x giga combo, plně pasivní chlazení). Takže stav, kdy MAC na daný port se ověří dle Radiusu, ten pustí/nepustí, odizoluje porty od sebe (říkají tomu port based vlan) a jen pustí k uplinku. Uplink je definovaný jako trusted dhcp server, takže switch poslouchá, co je tím portem posláno za dhcp data klientovi a dle toho se naučí páry IP:MAC a pak hlídá ARP i porty, zda IPčka jsou kde mají být. Umí i mix mac a 802.1x autorizace, bohužel dynamickou vlanu dle dat z radiusu jen pro plné 802.1x. Neumí guest vlany (kam strčit klienty, kterým selže ověření proti radiusu, takže vlana kde je čeká jen web stránka, že je něco špatně a volejte support), slíbeno pro další verzi firmware (takže nikdy).
0 x
ano, zase to složitíš. Jak jednoduché je mít u switche RB450 který má dhcpčka na vlanech a je mi naprosto volný co si zákoš na kabel doma připojí. To je naše politika sítě. Nestarat se co si zákoš doma připojí k netu. Ta tvoje politika je že musíš udržovat macovky + usery + jejich ipčka synchronně na sebe což já vůbec řešit nemusim. Navíc já chci aby mohly useři komunikovat mezi sebou jenom nechci aby byly v jednom subnetu. Za 10 let což bude IPv6 běžná se u tebe klienti mezi sebou nedomluví což je špatně a vzhledem k tomu že ipv6 je veřejná tak je to špatně.
Co se stane když přijdu k tvýmu zákošovy, on mi dá wep klíč k wifině a já vytahnu telefon... a dál?
Co se stane když přijdu k tvýmu zákošovy, on mi dá wep klíč k wifině a já vytahnu telefon... a dál?
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Ahoj, mam par RB951 a tohle by mohlo byt vhodne tema pro muj problem.
Mam za ukol v kancelarske budove 3 patra (na kazdem patre 4 klienti) rozvest net, na chodbu do rozvadece vedou 4 kabely z kancelare a do kazdeho patra pak jeden uplink.
Na kazde patro dam jedno ze tri RB951, ale musim zajistit, aby
A) na sebe lan porty klientu nevidely (v tuhle chvili po pravde nevim, jak nejlepe to udelat)...
B) z wlanu udelat freewifi, avsak aby byly vsechny tri RB951 wlany ve stejnem subnetu, aby se mezi nimi dalo prechazet...
Diky za kazdy napad a diskusi. Porizovat managovatelny switch (jak se to asi spravne ma delat, pres VLAN) zatim nehodlam.
Mam za ukol v kancelarske budove 3 patra (na kazdem patre 4 klienti) rozvest net, na chodbu do rozvadece vedou 4 kabely z kancelare a do kazdeho patra pak jeden uplink.
Na kazde patro dam jedno ze tri RB951, ale musim zajistit, aby
A) na sebe lan porty klientu nevidely (v tuhle chvili po pravde nevim, jak nejlepe to udelat)...
B) z wlanu udelat freewifi, avsak aby byly vsechny tri RB951 wlany ve stejnem subnetu, aby se mezi nimi dalo prechazet...
Diky za kazdy napad a diskusi. Porizovat managovatelny switch (jak se to asi spravne ma delat, pres VLAN) zatim nehodlam.
0 x
tak dobre, nechci to oddelit, staci mi, aby si do site nekdo nepoustel sve DHCP Jak to zajistit?
Jak to zajistit?
0 x
RBčko na patře (uplink je ether1, ether2~5 a wlan1 jsou klienti):
/interface bridge
add name=bridge1 protocol-mode=none
/interface bridge port
add bridge=bridge1 horizon=1 interface=ether1
add bridge=bridge1 horizon=2 interface=ether2
add bridge=bridge1 horizon=2 interface=ether3
add bridge=bridge1 horizon=2 interface=ether4
add bridge=bridge1 horizon=2 interface=ether5
add bridge=bridge1 horizon=2 interface=wlan1
/interface wireless set wlan1 default-forwarding=no
RBčko v patě, kde se potkávají ty 3 patra (ether2~5 linkz y RB na patrech):
/interface bridge
add name=bridge1 protocol-mode=none
/interface bridge port
add bridge=bridge1 horizon=2 interface=ether2
add bridge=bridge1 horizon=2 interface=ether3
add bridge=bridge1 horizon=2 interface=ether4
add bridge=bridge1 horizon=2 interface=ether5
add bridge=bridge1 horizon=2 interface=wlan1
/interface wireless set wlan1 default-forwarding=no
A v tom RB na patě si pustíš DHCP server nad bridge1, NAT a spojení někam ven přes ether1. Všichni klienti na ethernetech i wifině dohromady jsou v jendom IP segmentu, vzájemně se nevidí, mohou komunikovat pouze proti default bráně, kterou si dáš na ten bridge1.
Ještě to che přidat pír firewall pravidel na forward, aby ti to neotáčeli lidi na tom bridge1 ručně.
/interface bridge
add name=bridge1 protocol-mode=none
/interface bridge port
add bridge=bridge1 horizon=1 interface=ether1
add bridge=bridge1 horizon=2 interface=ether2
add bridge=bridge1 horizon=2 interface=ether3
add bridge=bridge1 horizon=2 interface=ether4
add bridge=bridge1 horizon=2 interface=ether5
add bridge=bridge1 horizon=2 interface=wlan1
/interface wireless set wlan1 default-forwarding=no
RBčko v patě, kde se potkávají ty 3 patra (ether2~5 linkz y RB na patrech):
/interface bridge
add name=bridge1 protocol-mode=none
/interface bridge port
add bridge=bridge1 horizon=2 interface=ether2
add bridge=bridge1 horizon=2 interface=ether3
add bridge=bridge1 horizon=2 interface=ether4
add bridge=bridge1 horizon=2 interface=ether5
add bridge=bridge1 horizon=2 interface=wlan1
/interface wireless set wlan1 default-forwarding=no
A v tom RB na patě si pustíš DHCP server nad bridge1, NAT a spojení někam ven přes ether1. Všichni klienti na ethernetech i wifině dohromady jsou v jendom IP segmentu, vzájemně se nevidí, mohou komunikovat pouze proti default bráně, kterou si dáš na ten bridge1.
Ještě to che přidat pír firewall pravidel na forward, aby ti to neotáčeli lidi na tom bridge1 ručně.
0 x