Блокировка доступа к сети, DHCP сервера (несколько)
Добавлено: 21 ноя 2017, 23:35
Здравствуйте, уважаемые форумчане.
Пару дней назад возникла проблема.
Есть сеть 50+ компов 192.168.2.0/24. В свитч 16 портовый (неуправляемый) вставлен Mikrotik RB962UiGS-5HacT2HnT и другие пользователи сети (через небольшие свитчи неуправляемые). Ether1 – WAN, Ether2 – LAN (свитч, внутренняя сеть) в настройках Микротика
192.168.2.0 – наша подсеть
192.168.2.1 – Микротик(основной шлюз)
Настроен DHCP: 192.168.2.100-200
Недавно в сети появилось устройство (предположительно роутер) с IP 10.39.0.1 с маской 255.255.128.0 и несколько IP (предположительно компов подключенных к этому роутеру) 10.39.31.71 и 10.39.31.72. IP-scan на Микротике по интерфейсу ether2 (локальной сети) его постоянно находит и этих двух пользователей (+ все пользователи 192.168.2.0, больше никого постороннего нет).
На Mikrotike был настроен DHCP сервер (пул адресов 192.168.2.100-192.168.2.200) - он работал все нормально, но после «ПРИХОДА» 10.39.0.1 он работать перестал.
Причина в том, что у этого 10.39.0.1 видимо также настроен DHCP сервер пользователи нашей сети выбирают «ПОЛУЧИТЬ IP автоматически» они подключаются не к Mikrotik, а к этому неизвестный роутеру. В Сведениях о сети пишет:
Шлюз по умолчанию: 10.39.0.1
Адрес IPv4 : 10.39.31.73
DHCP: включен
Вместо основного шлюза 192.168.2.1 как было ранее при подключение к DHCP.
Интернета нет и сети нет.
Замечу, что любой роутер WI-fi включенный в сеть с включенным DHCP перебивает DHCP Микротика. Т.е. пользователи по DHCP подключаются не к Микротику, если есть еще хоть один DHCP сервер в виде еще одного роутера, а подключаются к другому роутеру с DHCP.
Проблема в то, что здание большое и я не знаю, что за 10.39.0.1 подключился и не могу вычислить. Если подключится к нему (прописать статические настройки со шлюзом 10.39.0.1) и попробовать зайти через HTTP – 10.39.0.1 – окна входа не появляется, пишит –«Невозможно отобразить страницу». Возможно просто отключен www протокол…
Сейчас все сидят на статических IP: 192.168.2.10-100. Через DHCP он подключается к 10.39.0.1, хотя DHCP Микротик до появления 10.39.0.1 нормально работал…
Подскажите, пожалуйста:
1) Можно ли как-то назначать приоритеты, перенаправить, чтобы в сети он подключался по DHCP именно к Микротик, а не к 10.39.0.1 (не отключая у него DHCP, т.к. не знаю где он)?
2) Можно ли как-то отключить 10.39.0.1 от доступа к сети ether2? Чтобы он вообще в принципе не мог подключится к сети 192.168.2.0/24 и он по DHCP не выдавал адресов и к нему не подключались пользователи? (через правила firewall не хочет блокироваться)
3) В Микротик вообще можно ли как-то блокировать пользователя чтобы он не мог подключится к Микротик, не видел его и не занимал IP адрес (подключаясь к нему). И можно ли блокировать доступ к сети внутри сети, какому-либо пользователю?
Пробовал, заблокировать соседа у него IP 192.168.2.12 – статический IP. Добавил его в правила add chain=input action=drop и add chain=forward = drop src-address=192.168.2.12 (и по IP и по MAC адресу пробовал) – результат у него блокируется только интернет. При этом он подключается к Микротику у него IP 192.168.2.12 – который занимается им и он ВИДИТ ВСЮ СЕТЬ, т.е блокировка только Интернета.
Пробывал через winbox -> ip -> routes -> Rules ->
src. address (ip адрес или сеть которую хотите закрыть) 192.168.2.0/ 24
drc. (ip адрес кому хотите закрыть доступ в выше указаной сети) 192.168.2.12
action - unreachable (или drop)
Бесполезно. Сосед видит всю сеть и также подключается С восклицательным знаком – без доступа к Интернету только. Т.е. не происходит блокировка сетевого трафика. При подключение вылезает НАЗВАНИЕ НАШЕЙ СЕТИ (а не «не опознанная сеть, когда если бы 192.168.2.1 не было или был бы заблокирован)
Перепробовал всевозможные правила и действия, вплоть до reject и tcp_reset в Action. Переискал в интернете - ничего не нашел.
Толи сетевой трафик не идет через Mikrotik, а через СВИТЧ только 16 портовый этот, хотя в шлюзе же мы указываем 192.168.2.1, то ли вообще Микротик не блокирует трафик сетевой внутри сети, только на Интернет –forward.
4) Есть ли какая-то команда временно отключить пользователя от роутера (дропнуть, сбросить): ip address> disable [find address=192.168.2.12] – не работает (или disable address=192.168.2.12 – синтаксическая ошибка)
Настройки фаервола:
/ip firewall filter
add chain=input protocol=icmp action=accept comment=”Allow Ping”
add chain=forward protocol=icmp action=accept
add chain=input connection-state=established action=accept comment=”Accept established connections”
add chain=forward connection-state=established action=accept
add chain=input connection-state=related action=accept comment=”Accept related connections”
add chain=forward connection-state=related action=accept
add chain=input connection-state=invalid action=drop comment=”Drop invalid connections”
add chain=forward connection-state=invalid action=drop
add chain=input protocol=udp action=accept comment=”Allow UDP”
add chain=forward protocol=udp action=accept
add chain=forward src-address=192.168.2.0/24 action=accept comment=”Access to Internet from local network”
add chain=input src-address=192.168.2.0/24 action=accept comment=”Access to Mikrotik only from our local network”
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop
Спасибо.
Пару дней назад возникла проблема.
Есть сеть 50+ компов 192.168.2.0/24. В свитч 16 портовый (неуправляемый) вставлен Mikrotik RB962UiGS-5HacT2HnT и другие пользователи сети (через небольшие свитчи неуправляемые). Ether1 – WAN, Ether2 – LAN (свитч, внутренняя сеть) в настройках Микротика
192.168.2.0 – наша подсеть
192.168.2.1 – Микротик(основной шлюз)
Настроен DHCP: 192.168.2.100-200
Недавно в сети появилось устройство (предположительно роутер) с IP 10.39.0.1 с маской 255.255.128.0 и несколько IP (предположительно компов подключенных к этому роутеру) 10.39.31.71 и 10.39.31.72. IP-scan на Микротике по интерфейсу ether2 (локальной сети) его постоянно находит и этих двух пользователей (+ все пользователи 192.168.2.0, больше никого постороннего нет).
На Mikrotike был настроен DHCP сервер (пул адресов 192.168.2.100-192.168.2.200) - он работал все нормально, но после «ПРИХОДА» 10.39.0.1 он работать перестал.
Причина в том, что у этого 10.39.0.1 видимо также настроен DHCP сервер пользователи нашей сети выбирают «ПОЛУЧИТЬ IP автоматически» они подключаются не к Mikrotik, а к этому неизвестный роутеру. В Сведениях о сети пишет:
Шлюз по умолчанию: 10.39.0.1
Адрес IPv4 : 10.39.31.73
DHCP: включен
Вместо основного шлюза 192.168.2.1 как было ранее при подключение к DHCP.
Интернета нет и сети нет.
Замечу, что любой роутер WI-fi включенный в сеть с включенным DHCP перебивает DHCP Микротика. Т.е. пользователи по DHCP подключаются не к Микротику, если есть еще хоть один DHCP сервер в виде еще одного роутера, а подключаются к другому роутеру с DHCP.
Проблема в то, что здание большое и я не знаю, что за 10.39.0.1 подключился и не могу вычислить. Если подключится к нему (прописать статические настройки со шлюзом 10.39.0.1) и попробовать зайти через HTTP – 10.39.0.1 – окна входа не появляется, пишит –«Невозможно отобразить страницу». Возможно просто отключен www протокол…
Сейчас все сидят на статических IP: 192.168.2.10-100. Через DHCP он подключается к 10.39.0.1, хотя DHCP Микротик до появления 10.39.0.1 нормально работал…
Подскажите, пожалуйста:
1) Можно ли как-то назначать приоритеты, перенаправить, чтобы в сети он подключался по DHCP именно к Микротик, а не к 10.39.0.1 (не отключая у него DHCP, т.к. не знаю где он)?
2) Можно ли как-то отключить 10.39.0.1 от доступа к сети ether2? Чтобы он вообще в принципе не мог подключится к сети 192.168.2.0/24 и он по DHCP не выдавал адресов и к нему не подключались пользователи? (через правила firewall не хочет блокироваться)
3) В Микротик вообще можно ли как-то блокировать пользователя чтобы он не мог подключится к Микротик, не видел его и не занимал IP адрес (подключаясь к нему). И можно ли блокировать доступ к сети внутри сети, какому-либо пользователю?
Пробовал, заблокировать соседа у него IP 192.168.2.12 – статический IP. Добавил его в правила add chain=input action=drop и add chain=forward = drop src-address=192.168.2.12 (и по IP и по MAC адресу пробовал) – результат у него блокируется только интернет. При этом он подключается к Микротику у него IP 192.168.2.12 – который занимается им и он ВИДИТ ВСЮ СЕТЬ, т.е блокировка только Интернета.
Пробывал через winbox -> ip -> routes -> Rules ->
src. address (ip адрес или сеть которую хотите закрыть) 192.168.2.0/ 24
drc. (ip адрес кому хотите закрыть доступ в выше указаной сети) 192.168.2.12
action - unreachable (или drop)
Бесполезно. Сосед видит всю сеть и также подключается С восклицательным знаком – без доступа к Интернету только. Т.е. не происходит блокировка сетевого трафика. При подключение вылезает НАЗВАНИЕ НАШЕЙ СЕТИ (а не «не опознанная сеть, когда если бы 192.168.2.1 не было или был бы заблокирован)
Перепробовал всевозможные правила и действия, вплоть до reject и tcp_reset в Action. Переискал в интернете - ничего не нашел.
Толи сетевой трафик не идет через Mikrotik, а через СВИТЧ только 16 портовый этот, хотя в шлюзе же мы указываем 192.168.2.1, то ли вообще Микротик не блокирует трафик сетевой внутри сети, только на Интернет –forward.
4) Есть ли какая-то команда временно отключить пользователя от роутера (дропнуть, сбросить): ip address> disable [find address=192.168.2.12] – не работает (или disable address=192.168.2.12 – синтаксическая ошибка)
Настройки фаервола:
/ip firewall filter
add chain=input protocol=icmp action=accept comment=”Allow Ping”
add chain=forward protocol=icmp action=accept
add chain=input connection-state=established action=accept comment=”Accept established connections”
add chain=forward connection-state=established action=accept
add chain=input connection-state=related action=accept comment=”Accept related connections”
add chain=forward connection-state=related action=accept
add chain=input connection-state=invalid action=drop comment=”Drop invalid connections”
add chain=forward connection-state=invalid action=drop
add chain=input protocol=udp action=accept comment=”Allow UDP”
add chain=forward protocol=udp action=accept
add chain=forward src-address=192.168.2.0/24 action=accept comment=”Access to Internet from local network”
add chain=input src-address=192.168.2.0/24 action=accept comment=”Access to Mikrotik only from our local network”
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop
Спасибо.