DHCP на одном интерфейсе

Базовая функциональность RouterOS
Ответить
drongo
Сообщения: 52
Зарегистрирован: 27 ноя 2020, 12:33

DHCP на одном интерфейсе

Сообщение drongo »

Добрый день. Есть проблема.
Нужно раздать адреса DHCP для клиентов, которые подключаются через точку доступа. Есвть микротик 3011, точка доступа tp-link. Точка сама DHCP раздать не может.
У микротика есть интерфейс, который смотрит в локалку.
Точка включена в интерфейс 10, локалка в интерфейс 9. 10 интерфейс добавляю в бридж (в бридже только этот интерфейс). Вешаю на бридж DHCP, настраиваю и все отлично. Клиенты подключаются, адреса выдаются все хорошо. НО, эти клиенты не видят мою сеть. Если в бридж загоняю интерфейс 9, то вижу сеть и все хорошо. Проблема в том, что адреса выдаются ВСЕМ кто попросит из локалки, а мне нужно выдавать адреса только для тех, кто подключается через точку доступа. Можно ли как-то в микротике "отфильтровать" запросы к DHCP серверу? Спасибо
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: DHCP на одном интерфейсе

Сообщение Chupaka »

Добрый.

Вы бы начали с того, что значит "не видят мою сеть". Явно где-то фильтр файрвола шалит. Например, на Windows-машинах он по умолчанию пускает только из своей подсети.
drongo писал(а): 11 авг 2021, 14:06 Проблема в том, что адреса выдаются ВСЕМ кто попросит из локалки, а мне нужно выдавать адреса только для тех, кто подключается через точку доступа. Можно ли как-то в микротике "отфильтровать" запросы к DHCP серверу?
Ну, можно через Bridge Filter зафильтровать все DHCP-пакеты (UDP port 67-68) в/из 9-го порта - костыль, но должно работать.
drongo
Сообщения: 52
Зарегистрирован: 27 ноя 2020, 12:33

Re: DHCP на одном интерфейсе

Сообщение drongo »

Не видят это значит что хоть им адреса из моей локалки выдаются, клиенты не пингуют компы в сети пока в бридж с 9 интерефейсом не объединю
drongo
Сообщения: 52
Зарегистрирован: 27 ноя 2020, 12:33

Re: DHCP на одном интерфейсе

Сообщение drongo »

Chupaka писал(а): 11 авг 2021, 15:39 Добрый.

Вы бы начали с того, что значит "не видят мою сеть". Явно где-то фильтр файрвола шалит. Например, на Windows-машинах он по умолчанию пускает только из своей подсети.
drongo писал(а): 11 авг 2021, 14:06 Проблема в том, что адреса выдаются ВСЕМ кто попросит из локалки, а мне нужно выдавать адреса только для тех, кто подключается через точку доступа. Можно ли как-то в микротике "отфильтровать" запросы к DHCP серверу?
Ну, можно через Bridge Filter зафильтровать все DHCP-пакеты (UDP port 67-68) в/из 9-го порта - костыль, но должно работать.
В bridge filter неактивны поля для портов
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: DHCP на одном интерфейсе

Сообщение Chupaka »

drongo писал(а): 11 авг 2021, 16:27 Не видят это значит что хоть им адреса из моей локалки выдаются, клиенты не пингуют компы в сети пока в бридж с 9 интерефейсом не объединю
Адреса из локалки - это адреса из той же подсети? Так работать не будет, надо другую подсеть. IP-адрес вы настроили на втором бридже?
drongo писал(а): 11 авг 2021, 17:10 В bridge filter неактивны поля для портов
Надо выбрать MAC Protocol = IP и IP Protocol = UDP
drongo
Сообщения: 52
Зарегистрирован: 27 ноя 2020, 12:33

Re: DHCP на одном интерфейсе

Сообщение drongo »

Добрый день. Не получается настроить фильтры.
Создаю три правила
2.JPG
2.JPG (67.45 КБ) 908 просмотров
3.JPG
3.JPG (70.3 КБ) 908 просмотров
4.JPG
4.JPG (62.26 КБ) 908 просмотров
Адреса как раздавались так и раздаются
Подскажите, пожалуйста, как правильно отфильтровать?
drongo
Сообщения: 52
Зарегистрирован: 27 ноя 2020, 12:33

Re: DHCP на одном интерфейсе

Сообщение drongo »

Вроде заработало. Надо было в цепочке input убрать src.port. Остальные правила лишние?
Еще вопрос, как говорится, "с целью повышения образованности". Пробовал настраивать firewall filter. Включил в бридже Use Ip Firewall. Добавил правило input protocol=udp, dst.port = 67-68, In.bridge port = 9. Эта цепочка не отрабатывает. Нужно ли еще указать в In/interface что это bridge интерфейс?
Аватара пользователя
Chupaka
Сообщения: 3879
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: DHCP на одном интерфейсе

Сообщение Chupaka »

drongo писал(а): 12 авг 2021, 15:57 Вроде заработало. Надо было в цепочке input убрать src.port. Остальные правила лишние?
Forward - лишнее, output - я бы оставил (убрав src-port): незачем широковещательные ответы (если таковые будут) слать в основную сетку.
drongo писал(а): 12 авг 2021, 15:57 Еще вопрос, как говорится, "с целью повышения образованности". Пробовал настраивать firewall filter. Включил в бридже Use Ip Firewall. Добавил правило input protocol=udp, dst.port = 67-68, In.bridge port = 9. Эта цепочка не отрабатывает. Нужно ли еще указать в In/interface что это bridge интерфейс?
Нет, IP Firewall, видимо, не поможет вам: DHCP использует RAW SOCKET, поэтому перехватывает пакеты до IP-файрвола. Только Bridge Firewall с таким справится (и то для него нужно создавать этот самый бридж, если его нет).
Ответить