MikroTik - RB3011UiAS - jak zakázat vynucené IP adressy z windows / linux

Návody a problémy s konfigurací.
ben876
Příspěvky: 2
Registrován: 5 days ago

MikroTik - RB3011UiAS - jak zakázat vynucené IP adressy z windows / linux

Příspěvekod ben876 » 5 days ago

Zdravím Vás,

chtěl bych se zeptat, jak na MikroTiku RB3011UiAS zakázat vynucené IP adressy z windows nebo linuxu? DHCP server mi funguje i ARP - MAC.


Nejsem v tomto kovaný, ale nikde jsem nenašel, jak toho docílit? Jde to vůbec?

Jde mi o to, když mám v síti několik IP adres a zrovna se nějaký uživatel rozhodně přidělit si IP např. stejnou jako má server, tak je problém.

Jak předejít kolizi?

Předem děkuji.
0 x

the.max
Příspěvky: 1387
Registrován: 12 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 5 days ago

Tak od toho snad je DHCP server, aby si klientské zařízení vzalo IP adresu z jeho poolu.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

cerva
Příspěvky: 286
Registrován: 4 years ago

Příspěvekod cerva » 5 days ago

Řeší to ARP inspection, DHCP snooping a případně statický ARP.
0 x

ludvik
Příspěvky: 4384
Registrován: 8 years ago

Příspěvekod ludvik » 5 days ago

v DHCP serveru nastavit add ARP for leases.
odpovídající rozhraní na mikrotiku nastavit jako arp reply only

Problém je ovšem v části sítě za mikrotikem. Tedy na switchi (nepíšeš, zda máš). Pokud ten nemá podporu pro spolupráci s DHCP serverem, tak úplně těm unesením IP nezabráníš.
DHCP snooping je takový základ - zabezpečí, že si nikdo nepustí DHCP server někde kde nechceš. A především si udržuje tabulky MAC-IP podle odpovědí DHCP serveru. A k tomu lze použít další ochrany, typicky ARP inspection (ono jich je víc) - to pak zajistí, že portem projde provoz IP adresy jen a pouze přidělené z DHCP serveru.
Bez toho takový počítač sice nekomunikuje s RBčkem, ale se vším ostatním může.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

ben876
Příspěvky: 2
Registrován: 5 days ago

Příspěvekod ben876 » 4 days ago

Zdravím,

je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.

Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.

Mám za MK - switche, které neroutují a jsou podrížení MK.


Děkuji.
0 x

cerva
Příspěvky: 286
Registrován: 4 years ago

Příspěvekod cerva » 4 days ago

ben876 píše:Zdravím,

je třeba vytvořit nějký filtr. Pokud IP adressa neodpovídá MAC adresse, tak se vůbec nepřipojí do sítě a nedostane se na žádné jiné zařízení v síti.

Pokud IP adressa odpovídá dané MAC adresse, tak se klient dostane do sítě.

Mám za MK - switche, které neroutují a jsou podrížení MK.


Děkuji.


Na tohle jsi odpověd už dostal : -) Rozhodně ale ty switche musí být managovatelné a na rozumné úrovni, aby dané security uměly.
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 4 hosti