Как решить проблему с роутером Mikrotik, когда клиенты wi-fi подключаются к чужому DHCP-серверу?

Question

[Fiasco]

Доброе утро!
Возникла такая проблема:
роутер микротик, настроена wi-fi точка доступа, клиенты успешно к ней подключаются, но каким то удивительным образом попадают в чужую локальную сеть.
Ipconfig говорит о том, что клиент подключился к чужому dhcp-серверу, который находится совершенно в другой сети. микротик принадлежит к сети 192.168.0.0/24, а dhcp-клиенты попадают в сеть 192.168.1.0/24.
подскажите как решить данную проблему

Answer 1

[Армянское Радио]

Выключить в роутере его DHCP сервер.

Comments

[Fiasco]

дело в том, что в роутере выключен dhcp-сервер (даже сам пакет отключен), dhcp сервер находиться на отдельном компьютере в локальной сети. клиенты по проводу подключаются успешно

[Армянское Радио]

Степан: Подключать к роутеру компьютер с Wireshark, вылавливать вражеский DHCP по MAC

[Fiasco]

ipconfig выдает 192.168.1.1 - адрес dhcp-сервера. дом многоквартирный и роутеров полным-полно, видимо это один из них. но я не понимаю, каким образом микротик умудряется имея на локальном интерфейсе адрес 192.168.0.2, подключаться к dhcp серверу 192.168.1.1

[Hatifnatt]

Степан: DHCP работает ДО получения компьютером конкретного IP адреса, поэтому нет разницы что там назначено на Микротике, видимо ваш Микротик успешно передает широковещательный запрос на получение IP другому маршрутизатору. немного теории

[Fiasco]

Hatifnatt: спасибо. дак все таки, как заставить микротик не сканировать сеть за пределами 192.168.0.0/24?

[Hatifnatt]

Степан: Ниже дано уже несколько советов, если проблема только с беспроводными клиентами то стоит попробовать рекомендации, которые дал Сергей Петриков. Потом можно посмотреть не включена ли опция DHCP Relay/forward в Микротике. А вообще нужно более подробное описание топологии сети.

Answer 2

[Сергей Петриков]

Если есть возможность настроить на точке DHCP snooping, указав доверенным портом для DHCP запросов только порт аплинка, где ваш микротик, также советую запретить трафик между клиентами вайфай не через шлюз, опция называется wireless isolation или как-то так.

Comments

[Fiasco]

я правильно понимаю, что если включить изоляцию wifi (снять галку default forward), то клиенты wifi буду изолированны от внутренней локальной сети?

[Сергей Петриков]

Степан: Нет, они будут изолированны друг от друга. Тут смотрите что у вас произошло, какой-то из клиентов, если он принимает вайфай на AP воткнул роутер, но не в WAN а в Lan порт и не выключил на нем DHCP по умолчанию и получается что когда другой клиент запрашивает DHCP настройки, то роутер, находясь ближе, отвечает раньше вашего сервера и выдает настройки. Для того чтоб запретить работать DHCP на всех портах кроме доверенных в кабельных сетях используют опцию коммутаторов DHCP snooping, в радиосетях - изолируют клиентов друг от друга в пределах точки, а дальше уже делают DHCP snooping или его аналог фаирволом.

Answer 3

[solalex]

Создать правило, запрещающее форвардинг пакетов UDP с портом получателя 68. Это если левый DHCP сервер находится за сетью микротика.
Если этот сервер внутри локальной сети, то найти виновника по MAC-у и наказать :)

Comments

[Fiasco]

создал такое правило:
ip firewall filter add chain=forward protocol=udp dst-port=68 action=drop
поднял на самый верх. не помогло, все равно клиенты лезут на чужой сервер, трафика по правилу 0

[solalex]

Попробуйте зайти по вебу, telnet или ssh на 192.168.1.1, если это левый роутер

[solalex]

А вообще правильно сказали поснифать трафик, отключая сегментами сеть.