@Koman74
начинающий пользователь Микротик

Как заблокировать чужой DHCP сервер средствами Mikrotik?

В наследство досталась сеть на 82 ПК, разбросанных по 7 этажам здания. Был поставлен и настроен Mikrotik RB750GR3. В какой-то момент времени, вычислить пока не могу, в сети появляется: то ли ПК с Linux с активным DHCP, то ли роутер с DHCP, (10.2.159.0/24) который перебивает DHCP Mikrotik (192.168.0.1/24). При этом компьютера, которые были включены в этот промежуток времени не видят сети и само собой, отсутствует интернет, так как получили IP от стороннего DHCP сервера.
Как средствами Mikrotik заблокировать этот сторонний DHCP.
  • Вопрос задан
  • 6571 просмотр
Пригласить эксперта
Ответы на вопрос 6
hint000
@hint000
у админа три руки
Вот в этой теме Почему я вижу кучу других сетей за пределами моего завода, более того моей страны? было про левый DHCP. Там я писал в комментариях алгоритм поиска при условии, что свитчи неуправляемые (с управляемыми всё гораздо проще). Вот он:
Исходим из того, что есть левый DHCP-сервер.
Также исходим из того, что настоящим DHCP-сервером является ваш роутер Микротик (или это не так?)
Сколько у вас свитчей на заводе? Пусть десять-двадцать, если это мелкие 8-портовые свитчи.
Ноутбук в хозяйстве найдётся? С ним просто намного меньше бегать придётся, чем без него.
Идёте с ноутом к первому свитчу (любому на выбор).
1. определяете, какой из кабелей в свитче является ап-линком, т.е. идёт в сторону вашего главного роутера. Если через несколько промежуточных свитчей идёт к роутеру - неважно, всё равно - это up-link. Надеюсь, не надо подробно рассказывать, как определить? :) Помечаете этот кабель изолентой (если он ещё не был помечен).
2. выдёргиваете из свитча ап-линк и цепляете к свитчу ноутбук. На ноутбуке смотрите одно из двух: либо левый DHCP выдаст адрес, либо ноут подождёт-подождёт, не увидит DHCP и сам себе выберет адрес 169.254.*.* От правильного DHCP не может быть ответа, т.к. ап-линк выдернут.
Лучше конечно, чтобы сейчас попался левый DHCP. Если не попался, то втыкаем ап-линк на место и идём к любому другому свитчу. За одну-две минуты без интернета пользователи (которые висят на этом свитче) сильно не обломаются. Знаем мы все эти заводы, работали, :) главное, чтобы директору не отрубить интернет, а все остальные потерпят, если недолго. :) Хотя можно и согласовать заранее, как выше советовали. Только в этом случае вы же не выключаете все компы, а просто делаете кратковременные перебои с интернетом - сущие пустяки, пф-ф-ф...
3. дошли до N-го свитча, повторили всё, и поймали ответ левого DHCP. Ура! Выдёргиваем все-все кабели из свитча (и ноут тоже), вставляем один кабель (не ап-линк!) и вставляем ноут. Ловим DHCP. нет? выдёргиваем ноут, добавляем один кабель в свитч (не ап-линк!) Ловим DHCP. и т.д. Поймали? помечаем как-то последний кабель (изолентой другого цвета, и назовём это условно "злым" кабелем). Ура! Уже большой прогресс: знаем, что левый DHCP где-то на этом кабеле (если мы не ошиблись, лучше сразу ещё раз проверить).
4. дальше по обстановке: есть возможность тупо идти вдоль этого кабеля и дойти до следующего свитча? Отлично! Идём и там всё повторяем с пункта 3.
5. Нет возможности проследить по кабелю, например, пучок кабелей уходит в стену или в потолок. Тогда выдёргиваем из свитча "злой кабель" и ходим по заводу - ищем комнату с компами, на которых пропал интернет, или сразу свитч, на котором не горит индикатор на ап-линке. Нашли такой свитч? Проверяем: втыкаем "злой кабель", возвращаемся к найденному свитчу. Появился ап-линк? значит не ошиблись. Повторяем на этом свитче пункт 3.
6. Если запутались и сил нет дальше искать, то оставляем выдернутым последний (только последний!) найденный "злой кабель". Раз непонятно, куда он идёт, то сидим ждём, кто из пользователей начнёт жаловаться на отсутствие интернета. Как пожалуются - идём туда и ищем свитч. А если никто не пожалуется, то и хрен с ним. Источник проблем мы ведь изолировали от локальной сети, может позже выяснится, кто это.

Всё! конец алгоритма поиска! В итоге должны прийти к устройству с левым DHCP.
Ответ написан
Vergellan
@Vergellan
Скрипт для микротика или dhcpdrop
Ответ написан
@Kelv13
Про Микротик не скажу, но на многих роутерах можно блокировать доступ по mac адресу. А можно, если допускает конфигурация, остальным своим mac адресам разрешить доступ, а всем неизвестным запретить. Это на случай, если он начнет mac адрес менять...
Ответ написан
@DDwrt100
В такой ситуации никак. Программными средствами вы не заблокируете.
Как вариант выловить mac пиратского "DHCP" посмотреть кто производитель, и идти проверять компы на наличие мак адреса. Это если рассматривать со стороны сети.

Возможно есть настройки в операционной системе на приоритет DHCP , надо гуглить.
Однако без центрального управления инфраструктурой, та еще задача.
Ответ написан
Комментировать
@HeadsetAdapterCo
Инженер по компьютерным сетям
Фича называется "DHCP Snooping", и ее нужно настраивать в "сетевом коммутаторе". Что она делает - разрешает DHCP ответы только на портах коммутатора, которые настроены как "заслуживающие доверия". Обычно это порт, куда подключается маршрутизатор или сервер с DHCP, а все остальные порты настраиваются как "не заслуживающие доверия".

Просто проверьте ваш сетевой коммутатор (конкретно вашу модель), если эта фича в нем присутствует.

Вот ссылка на официальную ВиКи страничку МикроТика...

https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge
Ответ написан
Комментировать
@Zar747
а вчем проблема? получите адрес с этого dhcp поймете адрес раздающего. подключитесь к нему. поймите что за оборудование. посмотрите его mac (и если свичи управляемые то найдете в какой порт воткнут) уже отсюда будет понятно откуда ноги растут. а заблокировать если у вас нет центрального свича который всё разруливает не получится
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы