Mikrotik DHCP server?

Question

[Systemshik]

Здравствуйте, вот настраиваю маленькую сеть используя Mikrotik, настроил DHCP сервер, все нормально работает, с помощью make static кнопки резервирую IP адреса в DHCP leases, но Ворос токой вот юсер получивший свой резервировоный IP адрес, может прописать на компе в ручную любой другой IP который не резервировался админом. Как отклюить доступ локальной и глобальной сети если кто то вводит другого IP вручную?

Comments

[Lynn «Кофеман»]

https://wiki.mikrotik.com/wiki/How_to_block_non_DH...

Answer 1

[Ovsiannikov]

1. в настройках dhcp-server включить "add arp for leases"
2. в настройках интерфейса к которому подключены юсеры настроить arp - "reply-only"
как результат - работать смогут либо пользователи получившие адрес по дхцп, либо для которых прописана статическая АРП запись.

Answer 2

[Владимир Скибин]

Жестко привязвать IP к mac адресу и через ACL это все разруливать (если это касается wifi) пример
Если по проводу - Как сделать свой DHCP-сервер единственным? тема не 1в1, но суть должны уловить

Answer 3

[Rsa97]

Слегка вас огорчу. Если у пользователя есть права сменить IP-адрес на компьютере, то с тем же успехом он может сменить и MAC-адрес.

Comments

[Sanes]

Осталось узнать на накой MAC менять.

[Rsa97]

Sanes, Это вообще не проблема. Пара команд и адрес в кармане.

ping <ip_address>|<computer_name>
arp <ip_address>|<computer_name>

Остаётся дождаться, пока соседский компьютер будет выключен и поменять свой MAC.

[Палтос]

Помню раньше пользовался частной сетью, спокойно менял MAC адрес и мне перелетал ip привязанный к нему (бывают нюансы, когда 2 компа включены происходит конфликт ip адресов и у кого то не работает сеть). Маки через сканер находил, потом прикрыли эту фичу, сканер не работал (никакой, даже включенные компы не находил по заданному диапазону ip адресов ), наверное можно как то закрыть порты. ну или ещё лучше настроить как то свитчи, если захочет поменять ip, то ему надо будет залезть в начале в него.

Answer 4

[d-stream]

В энтерпрайзе IEEE 802.1X позволяет решить все проблемы. Дома\soho - не уверен что будет посильным по технико-финансовым соображениям.

Тем более что стоит начинать с малого - организационных мер. Например, как уже отметили, с реализации организационной части в плане "не может юзер/клиент шалить с проводами и настройками оборудования".

Ну и еще можно поиграться с каждый порт - отдельный vlan или столь любимому раньше (да и сейчас) провайдерами PPTP (выкатив серый пул 10.0.0.0/8) -)