The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"mikrotik - странного? хочу"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Разное)
Изначальное сообщение [ Отслеживать ]
Курсы Сisco по безопасности (CCNA и CCNP Security, Сisco ISE 2.1, ASA, IronPort)
"mikrotik - странного? хочу"  +/
Сообщение от Адексанкр (?), 08-Сен-20, 00:02 
Доброе время суток!

Есть небольшой офис, есть mikrotik hap lite 941-2nD в качестве шлюза и сердца сети. Есть штатные сотрудники, которым нужен доступ к местным ресурсам, а есть посторонние, которым нужен только интернет. Но посторонним можно не всем, а тем, кто получил одобрение начальника офиса. Подключаться могут как по ВиФи, так и по шнурку - смотря у кого какая техника и запросы на время работы в офисе. Да и пароль от ВиФи утечёт, думаю, на раз-два из-за доброты молодёжного коллектива, а ещё есть бывшие сотрудники, ставшие партнёрами.

Я настраиваю железяку - адреса, провайдер, ВиФи и прочее, на локальном интерфейсе ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей), пишу в dhcp-сервере сеть на локальном инерфейсе 192.168.Z.0/24. Пытаюсь прибить офисных статиком - адрес им отдаётся, но с маской /4, соотвественно, разделене сетей летит к чёрту, интернет работает в зависимости от уровня воды в океане. :( На фрюниксах с isc-dhcpd в статиках я могу прописать всё, что мне нужно для работы именно этого клиента, а в микротике - только IP и mac. Попытка прописать адрес 192.168.X.5/24 даёт ошибку.

Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но можно, мне кажется, и без них... Опыта с микротиками у меня мало, подскажите, плз, что я делаю не так? Спасибо!

ЗЫ: про административные меры безопаснсти и ответственность не говорите - шеф ещё эту мысль не переварил и не созрел. Давайте пока попробуем с dhcp разобраться.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "mikrotik - странного? хочу"  +/
Сообщение от Licha Morada (ok), 08-Сен-20, 02:01 
> Подключаться могут как по ВиФи, так и по шнурку

А физические порты вы поделили, какие кому, или все втыкаются в один и тот-же broadcast domain? Если все вместе, то никакого разделения у вас не получится.

> здесь, вроде, vlan-ы можно, но можно, мне кажется, и без них...

Да, без VLAN можно, если физических портов хватает непосредственно на Микротике.
Их скорее всего не хватает, но всё равно можно, потребуется организовать отдельные физические свичи для своих и для чужих.
С VLAN-ами удобнее, собственно, их для того и придумали.

Вкратце:
Определитесь, как какие физические порты будете использовать для чего: для Интернета, для офисных, для гостей (если вам так в VLAN-ы не хочется).
Нарисуйте наглядную картинку, смотрите примры на микротиковской вики.
На разных портах назначте адреса из 192.168.X.0/24 и 192.168.Y.0/24. 192.168.Z.0/24 не нужен.
Создайте DHCP сервер для каждой локальной подсети.
Создайте SSID для каждой локальной подсети.

Нагугленному особо не верьте, Mikrotik очень гибок и там можно много работоспособной дичи наворотить. Верьте ихней вики https://wiki.mikrotik.com/wiki/Manual:TOC
Обратите внимение на Bridging and switching: Switch Router

Ответить | Правка | Наверх | Cообщить модератору

2. "mikrotik - странного? хочу"  +/
Сообщение от shadow_alone (ok), 09-Сен-20, 11:03 
802.1x - вам поможет, mikrotik поддерживает.
И для wifi и для ethernet, и никакой пароль не утечет, ибо каждый ответственный за свой пароль, и если его пароль утечёт что и иметь будут его.
И не мудрите с сетями и масками, вы еще далеки от понимания этого, учитывая вашу писанину.
Ответить | Правка | Наверх | Cообщить модератору

3. "mikrotik - странного? хочу"  –1 +/
Сообщение от pofigist (?), 09-Сен-20, 12:31 
> 802.1x - вам поможет, mikrotik поддерживает.
> И для wifi и для ethernet, и никакой пароль не утечет, ибо
> каждый ответственный за свой пароль, и если его пароль утечёт что
> и иметь будут его.
> И не мудрите с сетями и масками, вы еще далеки от понимания
> этого, учитывая вашу писанину.

Ну да, конечно же! 802.1x ему строго необходим, заодно с RADIUS разберется, его взаимодействие с LDAP/AD настроит... Повеселиться от души...

Лучше уж разобраться с адресацией... И самое главное - с понятием интерфейса, физического и виртуального, чтоб не возникало вопроса "как сделать так чтоб устройство получало адрес из определенной подсети". А ответ простой - оно всегда получает адрес из той подсети, адрес которой присвоен тому интерфейсу (физическому или виртуальному - не важно), к которому подключено это устройство.

Поясняю на примерах - у нас есть роутер с тремя физическими интерфейсами L3, eth0, eth1 и eth2. Пусть eth0 всегда подключен к сети ISP (WAN), eth1 и eth2 - к LAN. Назначаем им соответственно адреса eth1 192.168.1.1/24 и eth2 192.168.2.1/24. Тогда устройство, подключенное к eth1 получит по DHCP адрес из подсети 192.168.1.0/24, а к eth2 - из подсети 192.168.2.0/24
А что делать если у нас на роутере всего два физических интерфейса L3 - eth0 и eth1? Создаем два VLAN? ну пусть это будет VLAN 10 и VLAN 20 (1й VLAN - особенной, это тоже самое что и отсуствие VLAN-ов). При этом в роутере создается два виртуальных интерфейса - vlan10 и vlan20. Далее - аналогично, назначаем им соответствующие подсетки и подключаем устройство к нужному VLAN - и он получает нужный IP.

Как подключить устройство к нужному VLAN? Правильный путь - использовать управляемый коммутатор, просто на нем назначаешь соответствующие порты соответствующим VLAN. Положим порты с 1-го по 10й - VLAN 10, а с 11-го по 20й - VLAN 20. Неправильный (но иногда единственно возможный) - прописать на оконечном устройстве номер VLAN, к которому он подключен.

Ответить | Правка | Наверх | Cообщить модератору

4. "mikrotik - странного? хочу"  +/
Сообщение от Адексанкр (?), 09-Сен-20, 17:51 
>[оверквотинг удален]
>> ибо каждый ответственный за свой пароль, и если его пароль утечёт то и иметь будут его.
>> И не мудрите с сетями и масками, вы еще далеки от понимания этого, учитывая вашу писанину.
> Ну да, конечно же! 802.1x ему строго необходим, заодно с RADIUS разберется,
> его взаимодействие с LDAP/AD настроит... Повеселиться от души...
> Лучше уж разобраться с адресацией... И самое главное - с понятием интерфейса,
> физического и виртуального, чтоб не возникало вопроса "как сделать так чтоб
> устройство получало адрес из определенной подсети". А ответ простой - оно
> всегда получает адрес из той подсети, адрес которой присвоен тому интерфейсу
> (физическому или виртуальному - не важно), к которому подключено это устройство.

Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/... Не знаю, противоречит ли это какому-нибудь из RFC, но клиент легко получает адрес, не соответствующий адресному пространству интерфейса сервера.

>[оверквотинг удален]
> адреса eth1 192.168.1.1/24 и eth2 192.168.2.1/24. Тогда устройство, подключенное к eth1
> получит по DHCP адрес из подсети 192.168.1.0/24, а к eth2 -
> из подсети 192.168.2.0/24
> А что делать если у нас на роутере всего два физических интерфейса
> L3 - eth0 и eth1? Создаем два VLAN? ну пусть это
> будет VLAN 10 и VLAN 20 (1й VLAN - особенной, это
> тоже самое что и отсуствие VLAN-ов). При этом в роутере создается
> два виртуальных интерфейса - vlan10 и vlan20. Далее - аналогично, назначаем
> им соответствующие подсетки и подключаем устройство к нужному VLAN - и
> он получает нужный IP.

Как работают vlan-ы я знаю. Драйвера не всех карт в винде умеют vlan. Мне кажется, проще разобраться с dhcp на микротике, чем городить vlan-ы на винде.

> Как подключить устройство к нужному VLAN? Правильный путь - использовать управляемый коммутатор,
> просто на нем назначаешь соответствующие порты соответствующим VLAN. Положим порты с
> 1-го по 10й - VLAN 10, а с 11-го по 20й
> - VLAN 20. Неправильный (но иногда единственно возможный) - прописать на
> оконечном устройстве номер VLAN, к которому он подключен.

Спасибо за советы, но...

Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a|TP-Linka умеет vlan-ы? Офис представляет собой, ну, скажем, трёхкомнатную квартиру с туалетом и кухней. Есть девочка на входе, отвечающая на звонки и принимающая почтовую/бумажную/факсовую корреспонденцию. Есть "комната" для гостей, где они могут подождать сотрудника или присесть за стол(ы) для переговоров, оформления документов/заказов, напечатать/отксерить на местном МФУ. Есть две "комнаты" для сотрудников, куда гостей водить "не рекомендуется, чтобы не отвлекать сотрудников от работы". Но жёсткого запрета нет - те, кто из сотрудников перешёл в партнёры - заходят туда без препятствий; те, кому нужно особое отношение при оформлении/выполнении задачи/заказа проходят туда после разрешения начальника (на время работы по заказу) без препятствий. Начальник имеет небольшую выгородку в одном из помещений, где стоит комп с общим доступом к рабочей документации по всем проектам, но сам не всегда сидит в офисе. В общем - демократия раннего гугла или эппла. Народ молодой, увлечённый, народу в коллективе не много. Друг друга знают и друг другу доверяют. На домен прав с разделением доступа ещё не созрели. Удочку начальнику я закинул, но насаждать насильно этого я им не буду.

Из аппаратных ресурсов есть на сегодня упомянутый микротик и два неуправляемых 16-портовых свича. Хочется выполнить задачу на имеющемся оборудовании. Чтобы "свои" не испытывали трудности при подключении к необходимым ресурсам, а условный школьник, подсмотревший пароль от ВиФи или воткнувший свободный шнурок в свой ноут, не смог запросто получить доступ в интернет.

Бесспорно, что создать абсолютно или даже серьёзно защищённую сеть непросто, недёшево, но здесь пока такая задача и не стоит.

Ответить | Правка | Наверх | Cообщить модератору

6. "mikrotik - странного? хочу"  +/
Сообщение от Licha Morada (ok), 09-Сен-20, 19:55 

> Из аппаратных ресурсов есть на сегодня упомянутый микротик и два неуправляемых 16-портовых
> свича.

Этого должно быть достаточно.
Вы можете сделать так: пусть один из ваших свитчей обслуживает "доверенные" помещения, а другой все остальные. Сделайте на Микротике две локальные сети на разных интерфейсах, с разными правилами, и подключайте их к соответствующим свитчам.

Решайте задачу по частям. Сначала разделите проводную сеть и заставьте её работать как вам нужно. Потом разделяйте беспроводную.

Ответить | Правка | Наверх | Cообщить модератору

13. "mikrotik - странного? хочу"  +/
Сообщение от pofigist (?), 14-Сен-20, 16:37 
> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/

А потом - получает кучу тяжело устранимых глюков. Плавали - знаем.

Сеть в линаксе - вообще-то далеко не образец того, как надо ее делать. Скорей наоборот.

> Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a|TP-Linka умеет vlan-ы?

T1500G-8T для примера. Если новый. Если б/у - то я за такие деньги цельный каталист возьму :)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

14. "mikrotik - странного? хочу"  +/
Сообщение от Адексанкр (?), 16-Сен-20, 16:03 
>> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/
> А потом - получает кучу тяжело устранимых глюков. Плавали - знаем.

Не знаю - не первый год в плавании - проблем нет. Если от RFC далеко не выпрыгивать.

> Сеть в линаксе - вообще-то далеко не образец того, как надо ее
> делать. Скорей наоборот.

Ну, не линуксом единым жив интернет. Есть и *BSD, и Солярка и много ещё некогда серьёзных систем сейчас ушло на open-рельсы. Везде, где пробовал, isc-dhcpd ведёт себя вполне ровно и одинаково.

>> Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a|TP-Linka умеет vlan-ы?
> T1500G-8T для примера. Если новый. Если б/у - то я за такие деньги цельный каталист возьму :)

Ну, не знаю... Может, плохо я искал, но то, что я нашёл - минимум 60$ предлагают. За эту цену можно ещё пару микротиков взять. Я с начальником ещё поговорю, но, мне кажется, он пока не готов так вкладываться. :(

Ответить | Правка | Наверх | Cообщить модератору

15. "mikrotik - странного? хочу"  +/
Сообщение от Licha Morada (ok), 16-Сен-20, 22:03 
>>> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/
>> А потом - получает кучу тяжело устранимых глюков. Плавали - знаем.
> Не знаю - не первый год в плавании - проблем нет. Если
> от RFC далеко не выпрыгивать.

Проблемы появляются не столько от того что из RFC выпрыгнули, сколько из-за того что нескольким людям приходится с системой взаимодействовать и поддерживать. Собственно, тут проявляется различие между "безошибочно" и "в соответствии с ожиданиями".

Ответить | Правка | Наверх | Cообщить модератору

5. "mikrotik - странного? хочу"  +/
Сообщение от Андрей (??), 09-Сен-20, 19:33 
Ты поделил на Микротике порты? Своих в один Bridge. Чужих в другой? Нет? Это надо сделать в первую голову.
Если у тебя в офисе куча свичей, свои и чужие люди вперемежку, провода втыкай куда хочешь, то "миссия становится почти невыполнима". Спасет только некое кучкование чужих в пределах определенных розеток. На них отдельный свитч, от свича в отдельный порт микротика и читай ниже. Ну а если есть свичи с поддержкой VLAN-ов, то поднимай VLAN-ы, микротик тоже их умеет. Доводи до Микротика, создавай на нем VLAN-интерфейсы.

На интерфейс bridge-1 (или как ты его там назовешь) вешаешь IP для своих.
На bridge-2 вешаешь IP для чужих.

Как привязать DHCP-пул к интерфейсу надеюсь разберешься. Надо создать пул. Потом в настройках DHCP-сервера указать какой пул на какой интерфейс будет относиться.

Для WiFi сделай два разных SSID, со своим пулом IP-адресов.

Ну и дальше FireWall-ом руби кому чего можно, а чего нельзя.

Вроде задача простая.

Ответить | Правка | Наверх | Cообщить модератору

9. "mikrotik - странного? хочу"  +/
Сообщение от fantom (??), 11-Сен-20, 14:35 
.

> на локальном интерфейсе
> ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей),

Толку близко к 0, безопасность 0, изоляция 0... и нафига это делать???


>[оверквотинг удален]
> статиком - адрес им отдаётся, но с маской /4, соотвественно, разделене
> сетей летит к чёрту, интернет работает в зависимости от уровня воды
> в океане. :( На фрюниксах с isc-dhcpd в статиках я могу
> прописать всё, что мне нужно для работы именно этого клиента, а
> в микротике - только IP и mac. Попытка прописать адрес 192.168.X.5/24
> даёт ошибку.
> Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле
> советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но
> можно, мне кажется, и без них... Опыта с микротиками у меня
> мало, подскажите, плз, что я делаю не так? Спасибо!

Вы не пытаетесь понять КАК это работает...

Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать добиться, правда непонятно нафига вам 2!! подсети при таком подходе.
ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253 гостевые....

и собственно все.


> ЗЫ: про административные меры безопаснсти и ответственность не говорите - шеф ещё
> эту мысль не переварил и не созрел. Давайте пока попробуем с
> dhcp разобраться.

Ответить | Правка | Наверх | Cообщить модератору

10. "mikrotik - странного? хочу"  +/
Сообщение от Адексанкр (?), 11-Сен-20, 18:26 
>> на локальном интерфейсе
>> ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей),
> Толку близко к 0, безопасность 0, изоляция 0...

В одноранговой сети вся безопасность близка к 0. :(

> и нафига это делать???

Перекладывать провода по офису шеф не видит смысла - "всё работает и так". :( Он - администратор (в смысле - управленец), финансист, выросший из своей специальности. Немного помнит кодинг, но давно этим не занимается - есть более молодые и продвинутые члены команды. А шеф ищет заказы, проекты, кадры...

>>[оверквотинг удален]
>> Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле
>> советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но
>> можно, мне кажется, и без них... Опыта с микротиками у меня
>> мало, подскажите, плз, что я делаю не так? Спасибо!
> Вы не пытаетесь понять КАК это работает...

Хорошо! КАК это работает? Почему в isc-dhcpd от такого монстра "Open Source For an Open Internet" работает, а значит, не нарушает принципы работы DHCP(D), RFC? Или будем ставить под сомнение правильность их продукта? Цитата из RFC-1531: "Alternately, the key might be the pair (IP-subnet-number, hostname), allowing the server to assign parameters intelligently to a host that has been moved to a different subnet...".

> Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать

VLAN имеет смысл, если его поддерживают более, чем одно устройство в сети. А в идеале - должны быть магистральные свичи, умеющие vlan, которых в моём случае нет в наличии. 70% виндовых драйверов их тоже не умеют. А городить VLAN-ы на одном микротике?... На ESXi - я ещё понимаю, для эксперимента...

> добиться, правда непонятно нафига вам 2!! подсети при таком подходе.
> ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253
> гостевые....

Простой fpinger 20-тилетней давности, запущенный на винде "школьника-пришельца", легко просканирует и покажет карту сети, после чего подобрать свободный адрес - дело даже не минуты. Если же "пришелец" получит адрес из отдельной сети - что ему нарисует fpinger? А при появлении нового "пришельца", алярм на почту шефа для пригляда за "пришельцем" - не проблема. Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам?

> и, собственно, все.

Ну, если реализация dhcpd от микротика этого не позволяет - так и скажите. :(

> Спасет только некое кучкование чужих в пределах определенных розеток.

Нет розеток - есть свич на столе в углу, а от него шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный свич, а вот что делать с теми, кто проходит в рабочие кабинеты?

Ответить | Правка | Наверх | Cообщить модератору

11. "mikrotik - странного? хочу"  +/
Сообщение от pavel_simple. (?), 13-Сен-20, 08:22 
>[оверквотинг удален]
> алярм на почту шефа для пригляда за "пришельцем" - не проблема.
> Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам?
>> и, собственно, все.
> Ну, если реализация dhcpd от микротика этого не позволяет - так и
> скажите. :(
>> Спасет только некое кучкование чужих в пределах определенных розеток.
> Нет розеток - есть свич на столе в углу, а от него
> шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный
> свич, а вот что делать с теми, кто проходит в рабочие
> кабинеты?

если нет управляемых коммутаторов, если нет возможности их приобрести, то самое простое что можно сделать для сегментации пользователей сети это заставить всех использовать pppoe.

Ответить | Правка | Наверх | Cообщить модератору

12. "mikrotik - странного? хочу"  +/
Сообщение от Licha Morada (ok), 13-Сен-20, 09:08 
>> Спасет только некое кучкование чужих в пределах определенных розеток.
> Нет розеток - есть свич на столе в углу, а от него
> шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный
> свич, а вот что делать с теми, кто проходит в рабочие
> кабинеты?

Проинструктировать, под протекцией шефа, что пришельцам вот в этот свитч нельзя, а можно только вон в тот, или в гостевой вайфайчик.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

16. "mikrotik - странного? хочу"  +/
Сообщение от fantom (??), 17-Сен-20, 15:25 
>[оверквотинг удален]
>> гостевые....
> Простой fpinger 20-тилетней давности, запущенный на винде "школьника-пришельца", легко
> просканирует и покажет карту сети, после чего подобрать свободный адрес -
> дело даже не минуты. Если же "пришелец" получит адрес из отдельной
> сети - что ему нарисует fpinger? А при появлении нового "пришельца",
> алярм на почту шефа для пригляда за "пришельцем" - не проблема.
> Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам?
>> и, собственно, все.
> Ну, если реализация dhcpd от микротика этого не позволяет - так и
> скажите. :(

Без понятия, могет оно или не могет.

>> Спасет только некое кучкование чужих в пределах определенных розеток.
> Нет розеток - есть свич на столе в углу, а от него
> шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный
> свич, а вот что делать с теми, кто проходит в рабочие
> кабинеты?

Уровень изоляции и безопасности при 2-х сетях и при одной, поделенной на 2 части будет фактически одинаковый, а мозготраха (ну это моё личное мнени) на порядок меньше.

А при такои уровне и железа и желании обезопаситься -- используйте LAN сегмент только как гостевой, а все "конторское" в VPN запихните, если обьёмы трафика укладываются в 50-100 Мбит.
Внутри VPN-на "свои", вне его "гости".
OpenVPN тот же самый.
Будет вам и защита от ретивых школьников, и контроль сотрудников -- отозвал серт и чел уже "гость".

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру