Mikrotik Блокировка доступа к сети — не работает, DHCP сервера выбор нужного?
Блокировка доступа к сети, DHCP сервера (несколько)
Здравствуйте.
Пару дней назад возникла проблема.
Есть сеть 50+ компов 192.168.2.0/24. В свитч 16 портовый (неуправляемый) вставлен Mikrotik RB962UiGS-5HacT2HnT и другие пользователи сети (через небольшие свитчи неуправляемые). Ether1 – WAN, Ether2 – LAN (свитч, внутренняя сеть) в настройках Микротика
192.168.2.0 – наша подсеть
192.168.2.1 – Микротик(основной шлюз)
Настроен DHCP: 192.168.2.100-200
Недавно в сети появилось устройство (предположительно роутер) с IP 10.39.0.1 с маской 255.255.128.0 и несколько IP (предположительно компов подключенных к этому роутеру) 10.39.31.71 и 10.39.31.72. IP-scan на Микротике по интерфейсу ether2 (локальной сети) его постоянно находит и этих двух пользователей (+ все пользователи 192.168.2.0, больше никого постороннего нет).
На Mikrotike был настроен DHCP сервер (пул адресов 192.168.2.100-192.168.2.200) - он работал все нормально, но после «ПРИХОДА» 10.39.0.1 он работать перестал.
Причина в том, что у этого 10.39.0.1 видимо также настроен DHCP сервер пользователи нашей сети выбирают «ПОЛУЧИТЬ IP автоматически» они подключаются не к Mikrotik, а к этому неизвестный роутеру. В Сведениях о сети пишет:
Шлюз по умолчанию: 10.39.0.1
Адрес IPv4 : 10.39.31.73
DHCP: включен
Вместо основного шлюза 192.168.2.1 как было ранее при подключение к DHCP.
Интернета нет и сети нет.
Замечу, что любой роутер WI-fi включенный в сеть с включенным DHCP перебивает DHCP Микротика. Т.е. пользователи по DHCP подключаются не к Микротику, если есть еще хоть один DHCP сервер в виде еще одного роутера, а подключаются к другому роутеру с DHCP.
Проблема в то, что здание большое и я не знаю, что за 10.39.0.1 подключился и не могу вычислить. Если подключится к нему (прописать статические настройки со шлюзом 10.39.0.1) и попробовать зайти через HTTP – 10.39.0.1 – окна входа не появляется, пишет –«Невозможно отобразить страницу». Возможно просто отключен www протокол…
Сейчас все сидят на статических IP: 192.168.2.10-100. Через DHCP он подключается к 10.39.0.1, хотя DHCP Микротик до появления 10.39.0.1 нормально работал…
Подскажите, пожалуйста:
1) Можно ли как-то назначать приоритеты, перенаправить, чтобы в сети он подключался по DHCP именно к Микротик, а не к 10.39.0.1 (не отключая у него DHCP, т.к. не знаю где он)?
2) Можно ли как-то отключить 10.39.0.1 от доступа к сети ether2? Чтобы он вообще в принципе не мог подключится к сети 192.168.2.0/24 и он по DHCP не выдавал адресов и к нему не подключались пользователи? (через правила firewall не хочет блокироваться)
3) В Микротик вообще можно ли как-то блокировать пользователя чтобы он не мог подключится к Микротик, не видел его и не занимал IP адрес (подключаясь к нему). И можно ли блокировать доступ к сети внутри сети, какому-либо пользователю?
Пробовал, заблокировать соседа у него IP 192.168.2.12 – статический IP. Добавил его в правила add chain=input action=drop и add chain=forward = drop src-address=192.168.2.12 (и по IP и по MAC адресу пробовал) – результат у него блокируется только интернет. При этом он подключается к Микротику у него IP 192.168.2.12 – который занимается им и он ВИДИТ ВСЮ СЕТЬ, т.е блокировка только Интернета.
Пробывал через winbox -> ip -> routes -> Rules ->
src. address (ip адрес или сеть которую хотите закрыть) 192.168.2.0/ 24
drc. (ip адрес кому хотите закрыть доступ в выше указаной сети) 192.168.2.12
action - unreachable (или drop)
Бесполезно. Сосед видит всю сеть и также подключается С восклицательным знаком – без доступа к Интернету только. Т.е. не происходит блокировка сетевого трафика. При подключение вылезает НАЗВАНИЕ НАШЕЙ СЕТИ (а не «не опознанная сеть, когда если бы 192.168.2.1 не было или был бы заблокирован)
Перепробовал всевозможные правила и действия, вплоть до reject и tcp_reset в Action. Переискал в интернете - ничего не нашел.
Толи сетевой трафик не идет через Mikrotik, а через СВИТЧ только 16 портовый этот, хотя в шлюзе же мы указываем 192.168.2.1, то ли вообще Микротик не блокирует трафик сетевой внутри сети, только на Интернет –forward.
4) Есть ли какая-то команда временно отключить пользователя от роутера (дропнуть, сбросить): ip address> disable [find address=192.168.2.12] – не работает (или disable address=192.168.2.12 – синтаксическая ошибка)
add chain=forward src-address=192.168.2.0/24 action=accept comment=”Access to Internet from local network”
add chain=input src-address=192.168.2.0/24 action=accept comment=”Access to Mikrotik only from our local network”
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop
да уж, фигово у вас в конторе с таким админом...
даже не найти кто dhcp раздаёт, хотя это решается за 10-15 минут выдёргиванием патч-кордов в свиче/патч-панели.
ну и гуглите умеет ли ваш свич dhcp snooping и настраивайте
понаберут блин эникеев
Т.к. свичи у вас не управляемые, то про dhcp snooping можете забыть и единственное решение для вас - найти то устройство, на котором работает второй dhcp сервер. Начинайте методично отключать от центрального свитча патчкорды и проверяйте. Для ускорения поиска, можете по мак адресу определить производителя устройства и сузить область поиска.
З.Ы. Ну и ознакомьтесь с основами локальных сетей, про широковещательный домен и маршрутизацию.
Рекомендую начать со схемы сети на уровне физики - что куда включено, что с чем соединено, где какие подсети.
В DHCP приоритетов нет - в одной локальной сети может быть только один DHCP сервер. Если это не так, то "кто первый встал, того и тапки". Что за устройство возможно удастся определить по маку - это возможно не всегда (потому что мак может оказаться от какой-нибудь жень-сунь-в-чай).
Блокировать можно на микротике все что угодно. НО - микротик должен быть роутером, то есть трафик должен проходить через него. На свитчах микротика не заблокируешь ничего.
Т.к. свичи у вас не управляемые, то про dhcp snooping можете забыть и единственное решение для вас - найти то устройство, на котором работает второй dhcp сервер. Начинайте методично отключать от центрального свитча патчкорды и проверяйте. Для ускорения поиска, можете по мак адресу определить производителя устройства и сузить область поиска.
Да эта мысль первой пришла. Выдергивать из неуправляемых свечей по одному патчкорду. Просто сеть и интернет всегда нужны. Нужно остаться после работы
По Mac пробивал - Huawei. Видимо ADSL модем какой-то.
"Блокировать можно на микротике все что угодно. НО - микротик должен быть роутером, то есть трафик должен проходить через него. На свитчах микротика не заблокируешь ничего.
Встроенные DHCP обычно имеют WiFi роутеры"
CityCat4. Понимаю. Микротик вставлен в свитч и в этот же свитч вставлены остальные компы. При этом пользователи в основном шлюзе прописывают адрес Микротика 192.168.2.1, подключаются к нему - сетевой трафик (внутри сети) через него не идет.
Он идет только через свитч.
Как тогда должен быть подключен Микротик, чтобы через него проходил весь сетевой трафик (всех компов) (5 портовый, 1 под WAN)?
Если сделать 2-3 подсети воткнутые в Микротик, то к в каждой из них может появится такой "паразит", который будет внутри этой подсети сидеть, иметь доступ к ресурсам этой подсети и за пределы сети не лезть. И его получается также никак не заблокируешь (он не будет лезть в другие подсети и в интренет (тем самым не будет проходить через Микротик)
Спасибо большое за ответы.
На данный момент больше интересует могу ли я заблокировать соседу доступ к сети например с IP 192.168.2.15? ( по IP или Mac неважно). Который вместе со мной подключены к свитчу и к Микротику по 192.168.2.1.
Если два устройства подключены к одному свичу и находятся в одной сетке, то пакеты между ними будут уходить по "короткой дороге", т.е. маршрутизироваться на свиче не доходя до микротика.
Таким образом не имея управляемого свича вы никак не заблокируете "внутренний трафик".