Блокировка доступа к сети, DHCP сервера (несколько)

RIP, OSFP, BGP, MPLS/VPLS
Ответить
Serg_ostr
Сообщения: 2
Зарегистрирован: 21 ноя 2017, 23:32

Блокировка доступа к сети, DHCP сервера (несколько)

Сообщение Serg_ostr » 21 ноя 2017, 23:35

Здравствуйте, уважаемые форумчане.
Пару дней назад возникла проблема.
Есть сеть 50+ компов 192.168.2.0/24. В свитч 16 портовый (неуправляемый) вставлен Mikrotik RB962UiGS-5HacT2HnT и другие пользователи сети (через небольшие свитчи неуправляемые). Ether1 – WAN, Ether2 – LAN (свитч, внутренняя сеть) в настройках Микротика
192.168.2.0 – наша подсеть
192.168.2.1 – Микротик(основной шлюз)
Настроен DHCP: 192.168.2.100-200

Недавно в сети появилось устройство (предположительно роутер) с IP 10.39.0.1 с маской 255.255.128.0 и несколько IP (предположительно компов подключенных к этому роутеру) 10.39.31.71 и 10.39.31.72. IP-scan на Микротике по интерфейсу ether2 (локальной сети) его постоянно находит и этих двух пользователей (+ все пользователи 192.168.2.0, больше никого постороннего нет).
На Mikrotike был настроен DHCP сервер (пул адресов 192.168.2.100-192.168.2.200) - он работал все нормально, но после «ПРИХОДА» 10.39.0.1 он работать перестал.
Причина в том, что у этого 10.39.0.1 видимо также настроен DHCP сервер пользователи нашей сети выбирают «ПОЛУЧИТЬ IP автоматически» они подключаются не к Mikrotik, а к этому неизвестный роутеру. В Сведениях о сети пишет:
Шлюз по умолчанию: 10.39.0.1
Адрес IPv4 : 10.39.31.73
DHCP: включен
Вместо основного шлюза 192.168.2.1 как было ранее при подключение к DHCP.
Интернета нет и сети нет.

Замечу, что любой роутер WI-fi включенный в сеть с включенным DHCP перебивает DHCP Микротика. Т.е. пользователи по DHCP подключаются не к Микротику, если есть еще хоть один DHCP сервер в виде еще одного роутера, а подключаются к другому роутеру с DHCP.

Проблема в то, что здание большое и я не знаю, что за 10.39.0.1 подключился и не могу вычислить. Если подключится к нему (прописать статические настройки со шлюзом 10.39.0.1) и попробовать зайти через HTTP – 10.39.0.1 – окна входа не появляется, пишит –«Невозможно отобразить страницу». Возможно просто отключен www протокол…

Сейчас все сидят на статических IP: 192.168.2.10-100. Через DHCP он подключается к 10.39.0.1, хотя DHCP Микротик до появления 10.39.0.1 нормально работал…

Подскажите, пожалуйста:
1) Можно ли как-то назначать приоритеты, перенаправить, чтобы в сети он подключался по DHCP именно к Микротик, а не к 10.39.0.1 (не отключая у него DHCP, т.к. не знаю где он)?

2) Можно ли как-то отключить 10.39.0.1 от доступа к сети ether2? Чтобы он вообще в принципе не мог подключится к сети 192.168.2.0/24 и он по DHCP не выдавал адресов и к нему не подключались пользователи? (через правила firewall не хочет блокироваться)

3) В Микротик вообще можно ли как-то блокировать пользователя чтобы он не мог подключится к Микротик, не видел его и не занимал IP адрес (подключаясь к нему). И можно ли блокировать доступ к сети внутри сети, какому-либо пользователю?
Пробовал, заблокировать соседа у него IP 192.168.2.12 – статический IP. Добавил его в правила add chain=input action=drop и add chain=forward = drop src-address=192.168.2.12 (и по IP и по MAC адресу пробовал) – результат у него блокируется только интернет. При этом он подключается к Микротику у него IP 192.168.2.12 – который занимается им и он ВИДИТ ВСЮ СЕТЬ, т.е блокировка только Интернета.
Пробывал через winbox -> ip -> routes -> Rules ->
src. address (ip адрес или сеть которую хотите закрыть) 192.168.2.0/ 24
drc. (ip адрес кому хотите закрыть доступ в выше указаной сети) 192.168.2.12
action - unreachable (или drop)

Бесполезно. Сосед видит всю сеть и также подключается С восклицательным знаком – без доступа к Интернету только. Т.е. не происходит блокировка сетевого трафика. При подключение вылезает НАЗВАНИЕ НАШЕЙ СЕТИ (а не «не опознанная сеть, когда если бы 192.168.2.1 не было или был бы заблокирован)
Перепробовал всевозможные правила и действия, вплоть до reject и tcp_reset в Action. Переискал в интернете - ничего не нашел.

Толи сетевой трафик не идет через Mikrotik, а через СВИТЧ только 16 портовый этот, хотя в шлюзе же мы указываем 192.168.2.1, то ли вообще Микротик не блокирует трафик сетевой внутри сети, только на Интернет –forward.

4) Есть ли какая-то команда временно отключить пользователя от роутера (дропнуть, сбросить): ip address> disable [find address=192.168.2.12] – не работает (или disable address=192.168.2.12 – синтаксическая ошибка)

Настройки фаервола:
/ip firewall filter
add chain=input protocol=icmp action=accept comment=”Allow Ping”
add chain=forward protocol=icmp action=accept

add chain=input connection-state=established action=accept comment=”Accept established connections”
add chain=forward connection-state=established action=accept

add chain=input connection-state=related action=accept comment=”Accept related connections”
add chain=forward connection-state=related action=accept

add chain=input connection-state=invalid action=drop comment=”Drop invalid connections”
add chain=forward connection-state=invalid action=drop

add chain=input protocol=udp action=accept comment=”Allow UDP”
add chain=forward protocol=udp action=accept

add chain=forward src-address=192.168.2.0/24 action=accept comment=”Access to Internet from local network”
add chain=input src-address=192.168.2.0/24 action=accept comment=”Access to Mikrotik only from our local network”
add chain=input action=drop comment=”All other drop”
add chain=forward action=drop


Спасибо.

Аватара пользователя
Chupaka
Сообщения: 993
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокировка доступа к сети, DHCP сервера (несколько)

Сообщение Chupaka » 22 ноя 2017, 11:39

Если на пальцах, то сейчас ваша сеть на неуправляемых свитчах - это большой спортзал, в котором толпится народ, а на выходе стоит ваш роутер. Люди могут спокойно подходить к другим и разговаривать с ними (поскольку находятся в одной подсети, поэтому роутер им для общения не нужен) - роутер на входе не может им этого запретить, поскольку всё происходит в стороне от него.

Дальше где-то в зале появится человек-DHCP-сервер. Когда кто-то просыпается и кричит в голос: "Где я нахожусь и может ли кто-нибудь сказать, как меня зовут?" - одновременно ваш роутер (его DHCP-сервер) и этот новоявленный вредитель ему отвечают: "Я могу, я тут всё знаю!". Дальше человек выбирает кого-нибудь конкретного - и все вопросы выясняет непосредственно с ним. Как правило, выбирает ближайшего (того, кто быстрее отвечает), поэтому вредитель, как находящийся в толпе, вполне может быть по этому признаку более приоритетным.

Чтобы найти вредителя, ставьте адрес из его подсети - и начинайте пинговать его. Дальше - посегментное отключение линков. Как только пинг пропал - нашли, куда двигаться дальше, подключаем обратно и идём к коммутатору за этим линком. С неуправляемым оборудованием - только так.
Есть ли какая-то команда временно отключить пользователя от роутера (дропнуть, сбросить)
Что это значит? Запретить доступ в Интернет через роутер? Вы, вроде, это умеете :)

Serg_ostr
Сообщения: 2
Зарегистрирован: 21 ноя 2017, 23:32

Re: Блокировка доступа к сети, DHCP сервера (несколько)

Сообщение Serg_ostr » 23 ноя 2017, 00:02

Chupaka писал(а):
22 ноя 2017, 11:39
Если на пальцах, то сейчас ваша сеть на неуправляемых свитчах - это большой спортзал, в котором толпится народ, а на выходе стоит ваш роутер. Люди могут спокойно подходить к другим и разговаривать с ними (поскольку находятся в одной подсети, поэтому роутер им для общения не нужен) - роутер на входе не может им этого запретить, поскольку всё происходит в стороне от него.

Дальше где-то в зале появится человек-DHCP-сервер. Когда кто-то просыпается и кричит в голос: "Где я нахожусь и может ли кто-нибудь сказать, как меня зовут?" - одновременно ваш роутер (его DHCP-сервер) и этот новоявленный вредитель ему отвечают: "Я могу, я тут всё знаю!". Дальше человек выбирает кого-нибудь конкретного - и все вопросы выясняет непосредственно с ним. Как правило, выбирает ближайшего (того, кто быстрее отвечает), поэтому вредитель, как находящийся в толпе, вполне может быть по этому признаку более приоритетным.

Чтобы найти вредителя, ставьте адрес из его подсети - и начинайте пинговать его. Дальше - посегментное отключение линков. Как только пинг пропал - нашли, куда двигаться дальше, подключаем обратно и идём к коммутатору за этим линком. С неуправляемым оборудованием - только так.
Спасибо.
Да. Так и хотел сделать.

Вопрос тогда как организовать сеть чтобы весь трафик сетевой проходил через Микротик? Не воткнешь же 50 компьютеров в микротик )
Если делить на 2 подсети например. То на каждой из подсетей возможно появление такого паратиза который будет иметь доступ к одной из подсетей и его также не заблокируешь (ему не нужно будет лезть в другую подсеть через Микротик или в Интренет).
Управляемый свитч как спасет ситуацию?

Аватара пользователя
Chupaka
Сообщения: 993
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокировка доступа к сети, DHCP сервера (несколько)

Сообщение Chupaka » 23 ноя 2017, 08:20

Управляемый свитч может помочь как минимум с двух сторон:
1) Деление сети на сегменты при помощи VLAN - разные сегменты физически не могут общаться напрямую, в обход роутера, который будет заниматься маршрутизацией между сегментами.
2) Фильтрация "левых" DHCP-серверов: запросы уходят только в сторону "легального" сервера, остальные блокируются.

Аватара пользователя
kardash
Сообщения: 40
Зарегистрирован: 27 апр 2017, 22:08
Откуда: Минск
Контактная информация:

Re: Блокировка доступа к сети, DHCP сервера (несколько)

Сообщение kardash » 03 фев 2018, 21:17

Дешевле всего будет вам разбить сеть на подсети и разделить их с помощью MikroTik. Сколько интерфейсов в Микротике - столько подсетей -1. Включить маскардинг на все интерфейсы, чтобы сегментам проще видеть было друг друга... Управляемые свитчи круто, но это больше для провайдеров.... Когда сетка проложена по наружке, например, очень часто порты выбивает в дорогих свитчах...

Аватара пользователя
Chupaka
Сообщения: 993
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Блокировка доступа к сети, DHCP сервера (несколько)

Сообщение Chupaka » 05 фев 2018, 15:23

kardash писал(а):
03 фев 2018, 21:17
Включить маскардинг на все интерфейсы, чтобы сегментам проще видеть было друг друга...
Для протокола: я против таких извращений без надобности :)

Ответить