DHCP на одном интерфейсе

[drongo]

Добрый день. Есть проблема.
Нужно раздать адреса DHCP для клиентов, которые подключаются через точку доступа. Есвть микротик 3011, точка доступа tp-link. Точка сама DHCP раздать не может.
У микротика есть интерфейс, который смотрит в локалку.
Точка включена в интерфейс 10, локалка в интерфейс 9. 10 интерфейс добавляю в бридж (в бридже только этот интерфейс). Вешаю на бридж DHCP, настраиваю и все отлично. Клиенты подключаются, адреса выдаются все хорошо. НО, эти клиенты не видят мою сеть. Если в бридж загоняю интерфейс 9, то вижу сеть и все хорошо. Проблема в том, что адреса выдаются ВСЕМ кто попросит из локалки, а мне нужно выдавать адреса только для тех, кто подключается через точку доступа. Можно ли как-то в микротике "отфильтровать" запросы к DHCP серверу? Спасибо

[Chupaka]

Добрый.

Вы бы начали с того, что значит "не видят мою сеть". Явно где-то фильтр файрвола шалит. Например, на Windows-машинах он по умолчанию пускает только из своей подсети.

Проблема в том, что адреса выдаются ВСЕМ кто попросит из локалки, а мне нужно выдавать адреса только для тех, кто подключается через точку доступа. Можно ли как-то в микротике "отфильтровать" запросы к DHCP серверу?

Ну, можно через Bridge Filter зафильтровать все DHCP-пакеты (UDP port 67-68) в/из 9-го порта - костыль, но должно работать.

[drongo]

Не видят это значит что хоть им адреса из моей локалки выдаются, клиенты не пингуют компы в сети пока в бридж с 9 интерефейсом не объединю

[drongo]

Добрый.

Вы бы начали с того, что значит "не видят мою сеть". Явно где-то фильтр файрвола шалит. Например, на Windows-машинах он по умолчанию пускает только из своей подсети.

Проблема в том, что адреса выдаются ВСЕМ кто попросит из локалки, а мне нужно выдавать адреса только для тех, кто подключается через точку доступа. Можно ли как-то в микротике "отфильтровать" запросы к DHCP серверу?

Ну, можно через Bridge Filter зафильтровать все DHCP-пакеты (UDP port 67-68) в/из 9-го порта - костыль, но должно работать.

В bridge filter неактивны поля для портов

[Chupaka]

Не видят это значит что хоть им адреса из моей локалки выдаются, клиенты не пингуют компы в сети пока в бридж с 9 интерефейсом не объединю

Адреса из локалки - это адреса из той же подсети? Так работать не будет, надо другую подсеть. IP-адрес вы настроили на втором бридже?

В bridge filter неактивны поля для портов

Надо выбрать MAC Protocol = IP и IP Protocol = UDP

[drongo]

Добрый день. Не получается настроить фильтры.
Создаю три правила

2.JPG

3.JPG

4.JPG

Адреса как раздавались так и раздаются
Подскажите, пожалуйста, как правильно отфильтровать?

[drongo]

Вроде заработало. Надо было в цепочке input убрать src.port. Остальные правила лишние?
Еще вопрос, как говорится, "с целью повышения образованности". Пробовал настраивать firewall filter. Включил в бридже Use Ip Firewall. Добавил правило input protocol=udp, dst.port = 67-68, In.bridge port = 9. Эта цепочка не отрабатывает. Нужно ли еще указать в In/interface что это bridge интерфейс?

[Chupaka]

Вроде заработало. Надо было в цепочке input убрать src.port. Остальные правила лишние?

Forward - лишнее, output - я бы оставил (убрав src-port): незачем широковещательные ответы (если таковые будут) слать в основную сетку.

Еще вопрос, как говорится, "с целью повышения образованности". Пробовал настраивать firewall filter. Включил в бридже Use Ip Firewall. Добавил правило input protocol=udp, dst.port = 67-68, In.bridge port = 9. Эта цепочка не отрабатывает. Нужно ли еще указать в In/interface что это bridge интерфейс?

Нет, IP Firewall, видимо, не поможет вам: DHCP использует RAW SOCKET, поэтому перехватывает пакеты до IP-файрвола. Только Bridge Firewall с таким справится (и то для него нужно создавать этот самый бридж, если его нет).