Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (Разное)
Режим отображения отдельной подветви беседы		[ Отслеживать ]

mikrotik - странного? хочу, Адексанкр (?), 08-Сен-20, (0) [смотреть все] А физические порты вы поделили, какие кому, или все втыкаются в один и тот-же br, Licha Morada (ok), 02:01 , 08-Сен-20, (1) 802 1x - вам поможет, mikrotik поддерживает И для wifi и для ethernet, и никакой, shadow_alone (ok), 11:03 , 09-Сен-20, (2) // Ну да, конечно же 802 1x ему строго необходим, заодно с RADIUS разберется, его , pofigist (?), 12:31 , 09-Сен-20, (3) –1 // Коллега имеет опыт работы с isc-dhcpd в линуксе бсд Там я любому клиенту пропи, Адексанкр (?), 17:51 , 09-Сен-20, (4) // Этого должно быть достаточно Вы можете сделать так пусть один из ваших свитчей , Licha Morada (ok), 19:55 , 09-Сен-20, (6) А потом - получает кучу тяжело устранимых глюков Плавали - знаем Сеть в линакс, pofigist (?), 16:37 , 14-Сен-20, (13) Не знаю - не первый год в плавании - проблем нет Если от RFC далеко не выпрыгив, Адексанкр (?), 16:03 , 16-Сен-20, (14) Проблемы появляются не столько от того что из RFC выпрыгнули, сколько из-за того, Licha Morada (ok), 22:03 , 16-Сен-20, (15) Ты поделил на Микротике порты Своих в один Bridge Чужих в другой Нет Это над, Андрей (??), 19:33 , 09-Сен-20, (5) Толку близко к 0, безопасность 0, изоляция 0 и нафига это делать gt овер, fantom (??), 14:35 , 11-Сен-20, (9)   // В одноранговой сети вся безопасность близка к 0 Перекладывать провода по офис, Адексанкр (?), 18:26 , 11-Сен-20, (10)   // gt оверквотинг удален если нет управляемых коммутаторов, если нет возможности , pavel_simple. (?), 08:22 , 13-Сен-20, (11)   Проинструктировать, под протекцией шефа, что пришельцам вот в этот свитч нельзя,, Licha Morada (ok), 09:08 , 13-Сен-20, (12)   gt оверквотинг удален Без понятия, могет оно или не могет Уровень изоляции и б, fantom (??), 15:25 , 17-Сен-20, (16)   1,2,5,9

Сообщения

[Сортировка по времени | RSS]

9. "mikrotik - странного? хочу"	+/–
Сообщение от fantom (??), 11-Сен-20, 14:35
. > на локальном интерфейсе > ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей), Толку близко к 0, безопасность 0, изоляция 0... и нафига это делать??? >[оверквотинг удален] > статиком - адрес им отдаётся, но с маской /4, соотвественно, разделене > сетей летит к чёрту, интернет работает в зависимости от уровня воды > в океане. :( На фрюниксах с isc-dhcpd в статиках я могу > прописать всё, что мне нужно для работы именно этого клиента, а > в микротике - только IP и mac. Попытка прописать адрес 192.168.X.5/24 > даёт ошибку. > Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле > советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но > можно, мне кажется, и без них... Опыта с микротиками у меня > мало, подскажите, плз, что я делаю не так? Спасибо! Вы не пытаетесь понять КАК это работает... Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать добиться, правда непонятно нафига вам 2!! подсети при таком подходе. ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253 гостевые.... и собственно все. > ЗЫ: про административные меры безопаснсти и ответственность не говорите - шеф ещё > эту мысль не переварил и не созрел. Давайте пока попробуем с > dhcp разобраться.
Ответить | Правка | Наверх | Cообщить модератору

	10. "mikrotik - странного? хочу"	+/–
	Сообщение от Адексанкр (?), 11-Сен-20, 18:26
	>> на локальном интерфейсе >> ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей), > Толку близко к 0, безопасность 0, изоляция 0... В одноранговой сети вся безопасность близка к 0. :( > и нафига это делать??? Перекладывать провода по офису шеф не видит смысла - "всё работает и так". :( Он - администратор (в смысле - управленец), финансист, выросший из своей специальности. Немного помнит кодинг, но давно этим не занимается - есть более молодые и продвинутые члены команды. А шеф ищет заказы, проекты, кадры... >>[оверквотинг удален] >> Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле >> советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но >> можно, мне кажется, и без них... Опыта с микротиками у меня >> мало, подскажите, плз, что я делаю не так? Спасибо! > Вы не пытаетесь понять КАК это работает... Хорошо! КАК это работает? Почему в isc-dhcpd от такого монстра "Open Source For an Open Internet" работает, а значит, не нарушает принципы работы DHCP(D), RFC? Или будем ставить под сомнение правильность их продукта? Цитата из RFC-1531: "Alternately, the key might be the pair (IP-subnet-number, hostname), allowing the server to assign parameters intelligently to a host that has been moved to a different subnet...". > Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать VLAN имеет смысл, если его поддерживают более, чем одно устройство в сети. А в идеале - должны быть магистральные свичи, умеющие vlan, которых в моём случае нет в наличии. 70% виндовых драйверов их тоже не умеют. А городить VLAN-ы на одном микротике?... На ESXi - я ещё понимаю, для эксперимента... > добиться, правда непонятно нафига вам 2!! подсети при таком подходе. > ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253 > гостевые.... Простой fpinger 20-тилетней давности, запущенный на винде "школьника-пришельца", легко просканирует и покажет карту сети, после чего подобрать свободный адрес - дело даже не минуты. Если же "пришелец" получит адрес из отдельной сети - что ему нарисует fpinger? А при появлении нового "пришельца", алярм на почту шефа для пригляда за "пришельцем" - не проблема. Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам? > и, собственно, все. Ну, если реализация dhcpd от микротика этого не позволяет - так и скажите. :( > Спасет только некое кучкование чужих в пределах определенных розеток. Нет розеток - есть свич на столе в углу, а от него шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный свич, а вот что делать с теми, кто проходит в рабочие кабинеты?
	Ответить | Правка | Наверх | Cообщить модератору

	11. "mikrotik - странного? хочу"	+/–
	Сообщение от pavel_simple. (?), 13-Сен-20, 08:22
	>[оверквотинг удален] > алярм на почту шефа для пригляда за "пришельцем" - не проблема. > Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам? >> и, собственно, все. > Ну, если реализация dhcpd от микротика этого не позволяет - так и > скажите. :( >> Спасет только некое кучкование чужих в пределах определенных розеток. > Нет розеток - есть свич на столе в углу, а от него > шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный > свич, а вот что делать с теми, кто проходит в рабочие > кабинеты? если нет управляемых коммутаторов, если нет возможности их приобрести, то самое простое что можно сделать для сегментации пользователей сети это заставить всех использовать pppoe.
	Ответить | Правка | Наверх | Cообщить модератору

	12. "mikrotik - странного? хочу"	+/–
	Сообщение от Licha Morada (ok), 13-Сен-20, 09:08
	>> Спасет только некое кучкование чужих в пределах определенных розеток. > Нет розеток - есть свич на столе в углу, а от него > шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный > свич, а вот что делать с теми, кто проходит в рабочие > кабинеты? Проинструктировать, под протекцией шефа, что пришельцам вот в этот свитч нельзя, а можно только вон в тот, или в гостевой вайфайчик.
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

	16. "mikrotik - странного? хочу"	+/–
	Сообщение от fantom (??), 17-Сен-20, 15:25
	>[оверквотинг удален] >> гостевые.... > Простой fpinger 20-тилетней давности, запущенный на винде "школьника-пришельца", легко > просканирует и покажет карту сети, после чего подобрать свободный адрес - > дело даже не минуты. Если же "пришелец" получит адрес из отдельной > сети - что ему нарисует fpinger? А при появлении нового "пришельца", > алярм на почту шефа для пригляда за "пришельцем" - не проблема. > Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам? >> и, собственно, все. > Ну, если реализация dhcpd от микротика этого не позволяет - так и > скажите. :( Без понятия, могет оно или не могет. >> Спасет только некое кучкование чужих в пределах определенных розеток. > Нет розеток - есть свич на столе в углу, а от него > шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный > свич, а вот что делать с теми, кто проходит в рабочие > кабинеты? Уровень изоляции и безопасности при 2-х сетях и при одной, поделенной на 2 части будет фактически одинаковый, а мозготраха (ну это моё личное мнени) на порядок меньше. А при такои уровне и железа и желании обезопаситься -- используйте LAN сегмент только как гостевой, а все "конторское" в VPN запихните, если обьёмы трафика укладываются в 50-100 Мбит. Внутри VPN-на "свои", вне его "гости". OpenVPN тот же самый. Будет вам и защита от ретивых школьников, и контроль сотрудников -- отозвал серт и чел уже "гость".
	Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема