Mikrotik. Раздает IP всем, хотя пулы закрыты. Почему?

Question

[Stensed]

Mikrotik. Router os 5.23

Подняты интерфейсы, поднят ДХСП сервер, для каждого интерфейса(влана) указан свой пул адресов.
В leases`ах заданы айпи+мак.
Типы адресов в ДХЦП - static only.

НО! Если человек меняет мак, ему всё равно назначается айпиадрес из пула, и соотв человек имеет интернет без ограничений для других.
Подскажите, куда копать?

Comments

[АртемЪ]

Не пойму в чем проблема.
Судя по описанию у вас все работает нормально.

[ТыжСисАдмин]

АртемЪ: Подождём конфигов, чего гадать то.

[Stensed]

АртемЪ: НО! Если человек меняет мак, которого нет в leases`ах, ему всё равно назначается айпиадрес из пула, и соотв человек имеет интернет без ограничений для других.

[ТыжСисАдмин]

Stensed: Мы читать умеем, а вот с телепатией проблема жуткая, так что конфиги в студию.

[АртемЪ]

Ну разумеется -
дхцп выдает случайный адрес из пула всем макам кто не указан в leases`ах.
Для тех маков которые указаны он выдает именно тот который прописан.
Так и должно быть.
Странно если было бы иначе.

[Stensed]

АртемЪ: спасибо, что задумались над моим вопросом!!! Проблема, что эти назначенные айпи(неизвестным макам) НЕ отображаются в leases`ах. И соотв. я не вижу этих людей, которые сами назначили себе любой МАК, и имеют весь интернет без ограничений.

[ТыжСисАдмин]

АртемЪ: Не, не. Какраз при статик-онли он не должен посылать если мак не прописан в лизах.
Но остаётся непонятным "указан свой пул адресов." которых при статиконли быть не должно вообще ибо даже не используются и "человек меняет мак" - чего меняет, на что меняет, зачем меняет, кто разрешил менять и почему он может его менять.

[АртемЪ]

Если надо ограничить доступ по маку, то для этого есть access-list.

А leases - аренда адресов, там указываются те адреса которые должны быть жестко закреплены за определенным маком, при любых условиях.
Т.е если вы указали мак в leases - можете быть уверенным данный айпишник никакому другому маку не достанется.

[АртемЪ]

Алексей POS_troi: Ну я исхожу из обычной настройки, если это статик онли - то пула как такового нет, поэтому и вопросов не может возникнуть что выдает из пула.

[ТыжСисАдмин]

АртемЪ: Но судя по описанию выдаёт а настроек мы то не знаем, конфиги секретные, даже минимально /ip dhcp export показать не желают :)

[Stensed]

АртемЪ: скажу по другому, мне нужно узнать этих людей, которые поменяли вручную мак на другой.
Просто фактически, айпи не должны им назначатся т.к. в DHCP тип адресного пула указан static-only, что ведь подразумевает, что "свободных" айпи нет и по логике не должно давать айпи тем, кого нет в лизесах. Разве не так?

[ТыжСисАдмин]

Stensed: Ну если выше сказанное "НЕ отображаются в leases`ах." правда то в сети неожиданно есть другой DHCP сервер :)

[ТыжСисАдмин]

Stensed: Ну или адреса прописываются на компах вручную а не "получить автоматически" и тогда как выше сказал АртемЪ: - аццесс-лист вам в помощь. А вообще это решается немного подругому - если есть железяка по порту на рыло и сеть по человечески сделана.

[Stensed]

Алексей POS_troi: АртемЪ: Большое спасибо Вам за ответы. ДХЦП другого в сети нет т.к. выдаются настройки полностью такие как выдает мой DHCP, хотя же говорю, тип указан static-only.
Ну а поймать злодея, не подскжаите варианты?
По идее, он же должен в arp таблицах отобразиться? в арп таблицу же все идут айпи+мак и если отсеить тех, кто есть в лизесас, а получу айпи+маки тех "нелегалов", верно мыслю?

[ТыжСисАдмин]

Stensed: В ARP будут все кто обращался к роутеру.

Answer 1

[ТыжСисАдмин]

В общем:
Или у вас в сети есть другой DHCP сервер (не будем вдаваться в то откуда и где)
Или адреса прописывают вручную - IP а не MAC

Выход - правильно организовать сеть или забрать у юзеров админские права и возможность менять настройки сети, второе кстати при любых раскладах.

Answer 2

[LESHIY_ODESSA]

Вы должны сделать из принципа что не разрешено, то запрещено. То есть вот этому mac адресу разрешен интернет, а любым другим запрещен.
Тогда менять mac адрес бесполезно.

Answer 3

[Gregory]

как вариант моно просто добавить в IP:ARP нужные-мак адреса, и на интерфейса выставтиь arp=reply-only, тогда только нужные вам мак адреса будут инет получать
wiki.mikrotik.com/wiki/How_to_secure_a_network_usi...