forum.opennet.ru - "mikrotik - странного? хочу" (14)

"mikrotik - странного? хочу"

Форум Маршрутизаторы CISCO и др. оборудование. (Разное)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"mikrotik - странного? хочу"	+/–
Сообщение от Адексанкр (?), 08-Сен-20, 00:02
Доброе время суток! Есть небольшой офис, есть mikrotik hap lite 941-2nD в качестве шлюза и сердца сети. Есть штатные сотрудники, которым нужен доступ к местным ресурсам, а есть посторонние, которым нужен только интернет. Но посторонним можно не всем, а тем, кто получил одобрение начальника офиса. Подключаться могут как по ВиФи, так и по шнурку - смотря у кого какая техника и запросы на время работы в офисе. Да и пароль от ВиФи утечёт, думаю, на раз-два из-за доброты молодёжного коллектива, а ещё есть бывшие сотрудники, ставшие партнёрами. Я настраиваю железяку - адреса, провайдер, ВиФи и прочее, на локальном интерфейсе ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей), пишу в dhcp-сервере сеть на локальном инерфейсе 192.168.Z.0/24. Пытаюсь прибить офисных статиком - адрес им отдаётся, но с маской /4, соотвественно, разделене сетей летит к чёрту, интернет работает в зависимости от уровня воды в океане. :( На фрюниксах с isc-dhcpd в статиках я могу прописать всё, что мне нужно для работы именно этого клиента, а в микротике - только IP и mac. Попытка прописать адрес 192.168.X.5/24 даёт ошибку. Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но можно, мне кажется, и без них... Опыта с микротиками у меня мало, подскажите, плз, что я делаю не так? Спасибо! ЗЫ: про административные меры безопаснсти и ответственность не говорите - шеф ещё эту мысль не переварил и не созрел. Давайте пока попробуем с dhcp разобраться.
Ответить \| Правка \| Cообщить модератору

Оглавление

А физические порты вы поделили, какие кому, или все втыкаются в один и тот-же br, Licha Morada (ok), 02:01 , 08-Сен-20, (1)
802 1x - вам поможет, mikrotik поддерживает И для wifi и для ethernet, и никакой, shadow_alone (ok), 11:03 , 09-Сен-20, (2)

Ну да, конечно же 802 1x ему строго необходим, заодно с RADIUS разберется, его , pofigist (?), 12:31 , 09-Сен-20, (3) –1

Коллега имеет опыт работы с isc-dhcpd в линуксе бсд Там я любому клиенту пропи, Адексанкр (?), 17:51 , 09-Сен-20, (4)

Этого должно быть достаточно Вы можете сделать так пусть один из ваших свитчей , Licha Morada (ok), 19:55 , 09-Сен-20, (6)
А потом - получает кучу тяжело устранимых глюков Плавали - знаем Сеть в линакс, pofigist (?), 16:37 , 14-Сен-20, (13)

Не знаю - не первый год в плавании - проблем нет Если от RFC далеко не выпрыгив, Адексанкр (?), 16:03 , 16-Сен-20, (14)

Проблемы появляются не столько от того что из RFC выпрыгнули, сколько из-за того, Licha Morada (ok), 22:03 , 16-Сен-20, (15)

Ты поделил на Микротике порты Своих в один Bridge Чужих в другой Нет Это над, Андрей (??), 19:33 , 09-Сен-20, (5)
Толку близко к 0, безопасность 0, изоляция 0 и нафига это делать gt овер, fantom (??), 14:35 , 11-Сен-20, (9)

В одноранговой сети вся безопасность близка к 0 Перекладывать провода по офис, Адексанкр (?), 18:26 , 11-Сен-20, (10)

gt оверквотинг удален если нет управляемых коммутаторов, если нет возможности , pavel_simple. (?), 08:22 , 13-Сен-20, (11)
Проинструктировать, под протекцией шефа, что пришельцам вот в этот свитч нельзя,, Licha Morada (ok), 09:08 , 13-Сен-20, (12)
gt оверквотинг удален Без понятия, могет оно или не могет Уровень изоляции и б, fantom (??), 15:25 , 17-Сен-20, (16)

Сообщения [Сортировка по времени | RSS]

1. "mikrotik - странного? хочу" +/–

Сообщение от Licha Morada (ok), 08-Сен-20, 02:01

> Подключаться могут как по ВиФи, так и по шнурку
А физические порты вы поделили, какие кому, или все втыкаются в один и тот-же broadcast domain? Если все вместе, то никакого разделения у вас не получится.
> здесь, вроде, vlan-ы можно, но можно, мне кажется, и без них...
Да, без VLAN можно, если физических портов хватает непосредственно на Микротике.
Их скорее всего не хватает, но всё равно можно, потребуется организовать отдельные физические свичи для своих и для чужих.
С VLAN-ами удобнее, собственно, их для того и придумали.
Вкратце:
Определитесь, как какие физические порты будете использовать для чего: для Интернета, для офисных, для гостей (если вам так в VLAN-ы не хочется).
Нарисуйте наглядную картинку, смотрите примры на микротиковской вики.
На разных портах назначте адреса из 192.168.X.0/24 и 192.168.Y.0/24. 192.168.Z.0/24 не нужен.
Создайте DHCP сервер для каждой локальной подсети.
Создайте SSID для каждой локальной подсети.
Нагугленному особо не верьте, Mikrotik очень гибок и там можно много работоспособной дичи наворотить. Верьте ихней вики https://wiki.mikrotik.com/wiki/Manual:TOC
Обратите внимение на Bridging and switching: Switch Router

Ответить | Правка | Наверх | Cообщить модератору

2. "mikrotik - странного? хочу" +/–

Сообщение от shadow_alone (ok), 09-Сен-20, 11:03

802.1x - вам поможет, mikrotik поддерживает.
И для wifi и для ethernet, и никакой пароль не утечет, ибо каждый ответственный за свой пароль, и если его пароль утечёт что и иметь будут его.
И не мудрите с сетями и масками, вы еще далеки от понимания этого, учитывая вашу писанину.

Ответить | Правка | Наверх | Cообщить модератору

3. "mikrotik - странного? хочу" –1 +/–

Сообщение от pofigist (?), 09-Сен-20, 12:31

> 802.1x - вам поможет, mikrotik поддерживает.
> И для wifi и для ethernet, и никакой пароль не утечет, ибо
> каждый ответственный за свой пароль, и если его пароль утечёт что
> и иметь будут его.
> И не мудрите с сетями и масками, вы еще далеки от понимания
> этого, учитывая вашу писанину.
Ну да, конечно же! 802.1x ему строго необходим, заодно с RADIUS разберется, его взаимодействие с LDAP/AD настроит... Повеселиться от души...
Лучше уж разобраться с адресацией... И самое главное - с понятием интерфейса, физического и виртуального, чтоб не возникало вопроса "как сделать так чтоб устройство получало адрес из определенной подсети". А ответ простой - оно всегда получает адрес из той подсети, адрес которой присвоен тому интерфейсу (физическому или виртуальному - не важно), к которому подключено это устройство.
Поясняю на примерах - у нас есть роутер с тремя физическими интерфейсами L3, eth0, eth1 и eth2. Пусть eth0 всегда подключен к сети ISP (WAN), eth1 и eth2 - к LAN. Назначаем им соответственно адреса eth1 192.168.1.1/24 и eth2 192.168.2.1/24. Тогда устройство, подключенное к eth1 получит по DHCP адрес из подсети 192.168.1.0/24, а к eth2 - из подсети 192.168.2.0/24
А что делать если у нас на роутере всего два физических интерфейса L3 - eth0 и eth1? Создаем два VLAN? ну пусть это будет VLAN 10 и VLAN 20 (1й VLAN - особенной, это тоже самое что и отсуствие VLAN-ов). При этом в роутере создается два виртуальных интерфейса - vlan10 и vlan20. Далее - аналогично, назначаем им соответствующие подсетки и подключаем устройство к нужному VLAN - и он получает нужный IP.
Как подключить устройство к нужному VLAN? Правильный путь - использовать управляемый коммутатор, просто на нем назначаешь соответствующие порты соответствующим VLAN. Положим порты с 1-го по 10й - VLAN 10, а с 11-го по 20й - VLAN 20. Неправильный (но иногда единственно возможный) - прописать на оконечном устройстве номер VLAN, к которому он подключен.

Ответить | Правка | Наверх | Cообщить модератору

4. "mikrotik - странного? хочу" +/–

Сообщение от Адексанкр (?), 09-Сен-20, 17:51

>[оверквотинг удален]
>> ибо каждый ответственный за свой пароль, и если его пароль утечёт то и иметь будут его.
>> И не мудрите с сетями и масками, вы еще далеки от понимания этого, учитывая вашу писанину.
> Ну да, конечно же! 802.1x ему строго необходим, заодно с RADIUS разберется,
> его взаимодействие с LDAP/AD настроит... Повеселиться от души...
> Лучше уж разобраться с адресацией... И самое главное - с понятием интерфейса,
> физического и виртуального, чтоб не возникало вопроса "как сделать так чтоб
> устройство получало адрес из определенной подсети". А ответ простой - оно
> всегда получает адрес из той подсети, адрес которой присвоен тому интерфейсу
> (физическому или виртуальному - не важно), к которому подключено это устройство.
Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/... Не знаю, противоречит ли это какому-нибудь из RFC, но клиент легко получает адрес, не соответствующий адресному пространству интерфейса сервера.
>[оверквотинг удален]
> адреса eth1 192.168.1.1/24 и eth2 192.168.2.1/24. Тогда устройство, подключенное к eth1
> получит по DHCP адрес из подсети 192.168.1.0/24, а к eth2 -
> из подсети 192.168.2.0/24
> А что делать если у нас на роутере всего два физических интерфейса
> L3 - eth0 и eth1? Создаем два VLAN? ну пусть это
> будет VLAN 10 и VLAN 20 (1й VLAN - особенной, это
> тоже самое что и отсуствие VLAN-ов). При этом в роутере создается
> два виртуальных интерфейса - vlan10 и vlan20. Далее - аналогично, назначаем
> им соответствующие подсетки и подключаем устройство к нужному VLAN - и
> он получает нужный IP.
Как работают vlan-ы я знаю. Драйвера не всех карт в винде умеют vlan. Мне кажется, проще разобраться с dhcp на микротике, чем городить vlan-ы на винде.
> Как подключить устройство к нужному VLAN? Правильный путь - использовать управляемый коммутатор,
> просто на нем назначаешь соответствующие порты соответствующим VLAN. Положим порты с
> 1-го по 10й - VLAN 10, а с 11-го по 20й
> - VLAN 20. Неправильный (но иногда единственно возможный) - прописать на
> оконечном устройстве номер VLAN, к которому он подключен.
Спасибо за советы, но...
Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a|TP-Linka умеет vlan-ы? Офис представляет собой, ну, скажем, трёхкомнатную квартиру с туалетом и кухней. Есть девочка на входе, отвечающая на звонки и принимающая почтовую/бумажную/факсовую корреспонденцию. Есть "комната" для гостей, где они могут подождать сотрудника или присесть за стол(ы) для переговоров, оформления документов/заказов, напечатать/отксерить на местном МФУ. Есть две "комнаты" для сотрудников, куда гостей водить "не рекомендуется, чтобы не отвлекать сотрудников от работы". Но жёсткого запрета нет - те, кто из сотрудников перешёл в партнёры - заходят туда без препятствий; те, кому нужно особое отношение при оформлении/выполнении задачи/заказа проходят туда после разрешения начальника (на время работы по заказу) без препятствий. Начальник имеет небольшую выгородку в одном из помещений, где стоит комп с общим доступом к рабочей документации по всем проектам, но сам не всегда сидит в офисе. В общем - демократия раннего гугла или эппла. Народ молодой, увлечённый, народу в коллективе не много. Друг друга знают и друг другу доверяют. На домен прав с разделением доступа ещё не созрели. Удочку начальнику я закинул, но насаждать насильно этого я им не буду.
Из аппаратных ресурсов есть на сегодня упомянутый микротик и два неуправляемых 16-портовых свича. Хочется выполнить задачу на имеющемся оборудовании. Чтобы "свои" не испытывали трудности при подключении к необходимым ресурсам, а условный школьник, подсмотревший пароль от ВиФи или воткнувший свободный шнурок в свой ноут, не смог запросто получить доступ в интернет.
Бесспорно, что создать абсолютно или даже серьёзно защищённую сеть непросто, недёшево, но здесь пока такая задача и не стоит.

Ответить | Правка | Наверх | Cообщить модератору

6. "mikrotik - странного? хочу" +/–

Сообщение от Licha Morada (ok), 09-Сен-20, 19:55

> Из аппаратных ресурсов есть на сегодня упомянутый микротик и два неуправляемых 16-портовых
> свича.
Этого должно быть достаточно.
Вы можете сделать так: пусть один из ваших свитчей обслуживает "доверенные" помещения, а другой все остальные. Сделайте на Микротике две локальные сети на разных интерфейсах, с разными правилами, и подключайте их к соответствующим свитчам.
Решайте задачу по частям. Сначала разделите проводную сеть и заставьте её работать как вам нужно. Потом разделяйте беспроводную.

Ответить | Правка | Наверх | Cообщить модератору

13. "mikrotik - странного? хочу" +/–

Сообщение от pofigist (?), 14-Сен-20, 16:37

> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/
А потом - получает кучу тяжело устранимых глюков. Плавали - знаем.
Сеть в линаксе - вообще-то далеко не образец того, как надо ее делать. Скорей наоборот.
> Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a|TP-Linka умеет vlan-ы?
T1500G-8T для примера. Если новый. Если б/у - то я за такие деньги цельный каталист возьму :)

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

14. "mikrotik - странного? хочу" +/–

Сообщение от Адексанкр (?), 16-Сен-20, 16:03

>> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/
> А потом - получает кучу тяжело устранимых глюков. Плавали - знаем.
Не знаю - не первый год в плавании - проблем нет. Если от RFC далеко не выпрыгивать.
> Сеть в линаксе - вообще-то далеко не образец того, как надо ее
> делать. Скорей наоборот.
Ну, не линуксом единым жив интернет. Есть и *BSD, и Солярка и много ещё некогда серьёзных систем сейчас ушло на open-рельсы. Везде, где пробовал, isc-dhcpd ведёт себя вполне ровно и одинаково.
>> Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a|TP-Linka умеет vlan-ы?
> T1500G-8T для примера. Если новый. Если б/у - то я за такие деньги цельный каталист возьму :)
Ну, не знаю... Может, плохо я искал, но то, что я нашёл - минимум 60$ предлагают. За эту цену можно ещё пару микротиков взять. Я с начальником ещё поговорю, но, мне кажется, он пока не готов так вкладываться. :(

Ответить | Правка | Наверх | Cообщить модератору

15. "mikrotik - странного? хочу" +/–

Сообщение от Licha Morada (ok), 16-Сен-20, 22:03

>>> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/
>> А потом - получает кучу тяжело устранимых глюков. Плавали - знаем.
> Не знаю - не первый год в плавании - проблем нет. Если
> от RFC далеко не выпрыгивать.
Проблемы появляются не столько от того что из RFC выпрыгнули, сколько из-за того что нескольким людям приходится с системой взаимодействовать и поддерживать. Собственно, тут проявляется различие между "безошибочно" и "в соответствии с ожиданиями".

Ответить | Правка | Наверх | Cообщить модератору

5. "mikrotik - странного? хочу" +/–

Сообщение от Андрей (??), 09-Сен-20, 19:33

Ты поделил на Микротике порты? Своих в один Bridge. Чужих в другой? Нет? Это надо сделать в первую голову.
Если у тебя в офисе куча свичей, свои и чужие люди вперемежку, провода втыкай куда хочешь, то "миссия становится почти невыполнима". Спасет только некое кучкование чужих в пределах определенных розеток. На них отдельный свитч, от свича в отдельный порт микротика и читай ниже. Ну а если есть свичи с поддержкой VLAN-ов, то поднимай VLAN-ы, микротик тоже их умеет. Доводи до Микротика, создавай на нем VLAN-интерфейсы.
На интерфейс bridge-1 (или как ты его там назовешь) вешаешь IP для своих.
На bridge-2 вешаешь IP для чужих.
Как привязать DHCP-пул к интерфейсу надеюсь разберешься. Надо создать пул. Потом в настройках DHCP-сервера указать какой пул на какой интерфейс будет относиться.
Для WiFi сделай два разных SSID, со своим пулом IP-адресов.
Ну и дальше FireWall-ом руби кому чего можно, а чего нельзя.
Вроде задача простая.

Ответить | Правка | Наверх | Cообщить модератору

9. "mikrotik - странного? хочу" +/–

Сообщение от fantom (??), 11-Сен-20, 14:35

.
> на локальном интерфейсе
> ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей),
Толку близко к 0, безопасность 0, изоляция 0... и нафига это делать???

>[оверквотинг удален]
> статиком - адрес им отдаётся, но с маской /4, соотвественно, разделене
> сетей летит к чёрту, интернет работает в зависимости от уровня воды
> в океане. :( На фрюниксах с isc-dhcpd в статиках я могу
> прописать всё, что мне нужно для работы именно этого клиента, а
> в микротике - только IP и mac. Попытка прописать адрес 192.168.X.5/24
> даёт ошибку.
> Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле
> советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но
> можно, мне кажется, и без них... Опыта с микротиками у меня
> мало, подскажите, плз, что я делаю не так? Спасибо!
Вы не пытаетесь понять КАК это работает...
Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать добиться, правда непонятно нафига вам 2!! подсети при таком подходе.
ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253 гостевые....
и собственно все.

> ЗЫ: про административные меры безопаснсти и ответственность не говорите - шеф ещё
> эту мысль не переварил и не созрел. Давайте пока попробуем с
> dhcp разобраться.

Ответить | Правка | Наверх | Cообщить модератору

10. "mikrotik - странного? хочу" +/–

Сообщение от Адексанкр (?), 11-Сен-20, 18:26

>> на локальном интерфейсе
>> ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей),
> Толку близко к 0, безопасность 0, изоляция 0...
В одноранговой сети вся безопасность близка к 0. :(
> и нафига это делать???
Перекладывать провода по офису шеф не видит смысла - "всё работает и так". :( Он - администратор (в смысле - управленец), финансист, выросший из своей специальности. Немного помнит кодинг, но давно этим не занимается - есть более молодые и продвинутые члены команды. А шеф ищет заказы, проекты, кадры...
>>[оверквотинг удален]
>> Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле
>> советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но
>> можно, мне кажется, и без них... Опыта с микротиками у меня
>> мало, подскажите, плз, что я делаю не так? Спасибо!
> Вы не пытаетесь понять КАК это работает...
Хорошо! КАК это работает? Почему в isc-dhcpd от такого монстра "Open Source For an Open Internet" работает, а значит, не нарушает принципы работы DHCP(D), RFC? Или будем ставить под сомнение правильность их продукта? Цитата из RFC-1531: "Alternately, the key might be the pair (IP-subnet-number, hostname), allowing the server to assign parameters intelligently to a host that has been moved to a different subnet...".
> Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать
VLAN имеет смысл, если его поддерживают более, чем одно устройство в сети. А в идеале - должны быть магистральные свичи, умеющие vlan, которых в моём случае нет в наличии. 70% виндовых драйверов их тоже не умеют. А городить VLAN-ы на одном микротике?... На ESXi - я ещё понимаю, для эксперимента...
> добиться, правда непонятно нафига вам 2!! подсети при таком подходе.
> ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253
> гостевые....
Простой fpinger 20-тилетней давности, запущенный на винде "школьника-пришельца", легко просканирует и покажет карту сети, после чего подобрать свободный адрес - дело даже не минуты. Если же "пришелец" получит адрес из отдельной сети - что ему нарисует fpinger? А при появлении нового "пришельца", алярм на почту шефа для пригляда за "пришельцем" - не проблема. Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам?
> и, собственно, все.
Ну, если реализация dhcpd от микротика этого не позволяет - так и скажите. :(
> Спасет только некое кучкование чужих в пределах определенных розеток.
Нет розеток - есть свич на столе в углу, а от него шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный свич, а вот что делать с теми, кто проходит в рабочие кабинеты?

Ответить | Правка | Наверх | Cообщить модератору

11. "mikrotik - странного? хочу" +/–

Сообщение от pavel_simple. (?), 13-Сен-20, 08:22

>[оверквотинг удален]
> алярм на почту шефа для пригляда за "пришельцем" - не проблема.
> Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам?
>> и, собственно, все.
> Ну, если реализация dhcpd от микротика этого не позволяет - так и
> скажите. :(
>> Спасет только некое кучкование чужих в пределах определенных розеток.
> Нет розеток - есть свич на столе в углу, а от него
> шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный
> свич, а вот что делать с теми, кто проходит в рабочие
> кабинеты?
если нет управляемых коммутаторов, если нет возможности их приобрести, то самое простое что можно сделать для сегментации пользователей сети это заставить всех использовать pppoe.

Ответить | Правка | Наверх | Cообщить модератору

12. "mikrotik - странного? хочу" +/–

Сообщение от Licha Morada (ok), 13-Сен-20, 09:08

>> Спасет только некое кучкование чужих в пределах определенных розеток.
> Нет розеток - есть свич на столе в углу, а от него
> шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный
> свич, а вот что делать с теми, кто проходит в рабочие
> кабинеты?
Проинструктировать, под протекцией шефа, что пришельцам вот в этот свитч нельзя, а можно только вон в тот, или в гостевой вайфайчик.

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

16. "mikrotik - странного? хочу" +/–

Сообщение от fantom (??), 17-Сен-20, 15:25

>[оверквотинг удален]
>> гостевые....
> Простой fpinger 20-тилетней давности, запущенный на винде "школьника-пришельца", легко
> просканирует и покажет карту сети, после чего подобрать свободный адрес -
> дело даже не минуты. Если же "пришелец" получит адрес из отдельной
> сети - что ему нарисует fpinger? А при появлении нового "пришельца",
> алярм на почту шефа для пригляда за "пришельцем" - не проблема.
> Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам?
>> и, собственно, все.
> Ну, если реализация dhcpd от микротика этого не позволяет - так и
> скажите. :(
Без понятия, могет оно или не могет.
>> Спасет только некое кучкование чужих в пределах определенных розеток.
> Нет розеток - есть свич на столе в углу, а от него
> шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный
> свич, а вот что делать с теми, кто проходит в рабочие
> кабинеты?
Уровень изоляции и безопасности при 2-х сетях и при одной, поделенной на 2 части будет фактически одинаковый, а мозготраха (ну это моё личное мнени) на порядок меньше.
А при такои уровне и железа и желании обезопаситься -- используйте LAN сегмент только как гостевой, а все "конторское" в VPN запихните, если обьёмы трафика укладываются в 50-100 Мбит.
Внутри VPN-на "свои", вне его "гости".
OpenVPN тот же самый.
Будет вам и защита от ретивых школьников, и контроль сотрудников -- отозвал серт и чел уже "гость".

Ответить | Правка | К родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "mikrotik - странного? хочу"	+/–
Сообщение от Licha Morada (ok), 08-Сен-20, 02:01
> Подключаться могут как по ВиФи, так и по шнурку А физические порты вы поделили, какие кому, или все втыкаются в один и тот-же broadcast domain? Если все вместе, то никакого разделения у вас не получится. > здесь, вроде, vlan-ы можно, но можно, мне кажется, и без них... Да, без VLAN можно, если физических портов хватает непосредственно на Микротике. Их скорее всего не хватает, но всё равно можно, потребуется организовать отдельные физические свичи для своих и для чужих. С VLAN-ами удобнее, собственно, их для того и придумали. Вкратце: Определитесь, как какие физические порты будете использовать для чего: для Интернета, для офисных, для гостей (если вам так в VLAN-ы не хочется). Нарисуйте наглядную картинку, смотрите примры на микротиковской вики. На разных портах назначте адреса из 192.168.X.0/24 и 192.168.Y.0/24. 192.168.Z.0/24 не нужен. Создайте DHCP сервер для каждой локальной подсети. Создайте SSID для каждой локальной подсети. Нагугленному особо не верьте, Mikrotik очень гибок и там можно много работоспособной дичи наворотить. Верьте ихней вики https://wiki.mikrotik.com/wiki/Manual:TOC Обратите внимение на Bridging and switching: Switch Router
Ответить \| Правка \| Наверх \| Cообщить модератору

2. "mikrotik - странного? хочу"	+/–
Сообщение от shadow_alone (ok), 09-Сен-20, 11:03
802.1x - вам поможет, mikrotik поддерживает. И для wifi и для ethernet, и никакой пароль не утечет, ибо каждый ответственный за свой пароль, и если его пароль утечёт что и иметь будут его. И не мудрите с сетями и масками, вы еще далеки от понимания этого, учитывая вашу писанину.
Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "mikrotik - странного? хочу"	–1 +/–
	Сообщение от pofigist (?), 09-Сен-20, 12:31
	> 802.1x - вам поможет, mikrotik поддерживает. > И для wifi и для ethernet, и никакой пароль не утечет, ибо > каждый ответственный за свой пароль, и если его пароль утечёт что > и иметь будут его. > И не мудрите с сетями и масками, вы еще далеки от понимания > этого, учитывая вашу писанину. Ну да, конечно же! 802.1x ему строго необходим, заодно с RADIUS разберется, его взаимодействие с LDAP/AD настроит... Повеселиться от души... Лучше уж разобраться с адресацией... И самое главное - с понятием интерфейса, физического и виртуального, чтоб не возникало вопроса "как сделать так чтоб устройство получало адрес из определенной подсети". А ответ простой - оно всегда получает адрес из той подсети, адрес которой присвоен тому интерфейсу (физическому или виртуальному - не важно), к которому подключено это устройство. Поясняю на примерах - у нас есть роутер с тремя физическими интерфейсами L3, eth0, eth1 и eth2. Пусть eth0 всегда подключен к сети ISP (WAN), eth1 и eth2 - к LAN. Назначаем им соответственно адреса eth1 192.168.1.1/24 и eth2 192.168.2.1/24. Тогда устройство, подключенное к eth1 получит по DHCP адрес из подсети 192.168.1.0/24, а к eth2 - из подсети 192.168.2.0/24 А что делать если у нас на роутере всего два физических интерфейса L3 - eth0 и eth1? Создаем два VLAN? ну пусть это будет VLAN 10 и VLAN 20 (1й VLAN - особенной, это тоже самое что и отсуствие VLAN-ов). При этом в роутере создается два виртуальных интерфейса - vlan10 и vlan20. Далее - аналогично, назначаем им соответствующие подсетки и подключаем устройство к нужному VLAN - и он получает нужный IP. Как подключить устройство к нужному VLAN? Правильный путь - использовать управляемый коммутатор, просто на нем назначаешь соответствующие порты соответствующим VLAN. Положим порты с 1-го по 10й - VLAN 10, а с 11-го по 20й - VLAN 20. Неправильный (но иногда единственно возможный) - прописать на оконечном устройстве номер VLAN, к которому он подключен.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "mikrotik - странного? хочу"	+/–
	Сообщение от Адексанкр (?), 09-Сен-20, 17:51
	>[оверквотинг удален] >> ибо каждый ответственный за свой пароль, и если его пароль утечёт то и иметь будут его. >> И не мудрите с сетями и масками, вы еще далеки от понимания этого, учитывая вашу писанину. > Ну да, конечно же! 802.1x ему строго необходим, заодно с RADIUS разберется, > его взаимодействие с LDAP/AD настроит... Повеселиться от души... > Лучше уж разобраться с адресацией... И самое главное - с понятием интерфейса, > физического и виртуального, чтоб не возникало вопроса "как сделать так чтоб > устройство получало адрес из определенной подсети". А ответ простой - оно > всегда получает адрес из той подсети, адрес которой присвоен тому интерфейсу > (физическому или виртуальному - не важно), к которому подключено это устройство. Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/... Не знаю, противоречит ли это какому-нибудь из RFC, но клиент легко получает адрес, не соответствующий адресному пространству интерфейса сервера. >[оверквотинг удален] > адреса eth1 192.168.1.1/24 и eth2 192.168.2.1/24. Тогда устройство, подключенное к eth1 > получит по DHCP адрес из подсети 192.168.1.0/24, а к eth2 - > из подсети 192.168.2.0/24 > А что делать если у нас на роутере всего два физических интерфейса > L3 - eth0 и eth1? Создаем два VLAN? ну пусть это > будет VLAN 10 и VLAN 20 (1й VLAN - особенной, это > тоже самое что и отсуствие VLAN-ов). При этом в роутере создается > два виртуальных интерфейса - vlan10 и vlan20. Далее - аналогично, назначаем > им соответствующие подсетки и подключаем устройство к нужному VLAN - и > он получает нужный IP. Как работают vlan-ы я знаю. Драйвера не всех карт в винде умеют vlan. Мне кажется, проще разобраться с dhcp на микротике, чем городить vlan-ы на винде. > Как подключить устройство к нужному VLAN? Правильный путь - использовать управляемый коммутатор, > просто на нем назначаешь соответствующие порты соответствующим VLAN. Положим порты с > 1-го по 10й - VLAN 10, а с 11-го по 20й > - VLAN 20. Неправильный (но иногда единственно возможный) - прописать на > оконечном устройстве номер VLAN, к которому он подключен. Спасибо за советы, но... Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a\|TP-Linka умеет vlan-ы? Офис представляет собой, ну, скажем, трёхкомнатную квартиру с туалетом и кухней. Есть девочка на входе, отвечающая на звонки и принимающая почтовую/бумажную/факсовую корреспонденцию. Есть "комната" для гостей, где они могут подождать сотрудника или присесть за стол(ы) для переговоров, оформления документов/заказов, напечатать/отксерить на местном МФУ. Есть две "комнаты" для сотрудников, куда гостей водить "не рекомендуется, чтобы не отвлекать сотрудников от работы". Но жёсткого запрета нет - те, кто из сотрудников перешёл в партнёры - заходят туда без препятствий; те, кому нужно особое отношение при оформлении/выполнении задачи/заказа проходят туда после разрешения начальника (на время работы по заказу) без препятствий. Начальник имеет небольшую выгородку в одном из помещений, где стоит комп с общим доступом к рабочей документации по всем проектам, но сам не всегда сидит в офисе. В общем - демократия раннего гугла или эппла. Народ молодой, увлечённый, народу в коллективе не много. Друг друга знают и друг другу доверяют. На домен прав с разделением доступа ещё не созрели. Удочку начальнику я закинул, но насаждать насильно этого я им не буду. Из аппаратных ресурсов есть на сегодня упомянутый микротик и два неуправляемых 16-портовых свича. Хочется выполнить задачу на имеющемся оборудовании. Чтобы "свои" не испытывали трудности при подключении к необходимым ресурсам, а условный школьник, подсмотревший пароль от ВиФи или воткнувший свободный шнурок в свой ноут, не смог запросто получить доступ в интернет. Бесспорно, что создать абсолютно или даже серьёзно защищённую сеть непросто, недёшево, но здесь пока такая задача и не стоит.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "mikrotik - странного? хочу"	+/–
	Сообщение от Licha Morada (ok), 09-Сен-20, 19:55
	> Из аппаратных ресурсов есть на сегодня упомянутый микротик и два неуправляемых 16-портовых > свича. Этого должно быть достаточно. Вы можете сделать так: пусть один из ваших свитчей обслуживает "доверенные" помещения, а другой все остальные. Сделайте на Микротике две локальные сети на разных интерфейсах, с разными правилами, и подключайте их к соответствующим свитчам. Решайте задачу по частям. Сначала разделите проводную сеть и заставьте её работать как вам нужно. Потом разделяйте беспроводную.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "mikrotik - странного? хочу"	+/–
	Сообщение от pofigist (?), 14-Сен-20, 16:37
	> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/ А потом - получает кучу тяжело устранимых глюков. Плавали - знаем. Сеть в линаксе - вообще-то далеко не образец того, как надо ее делать. Скорей наоборот. > Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a\|TP-Linka умеет vlan-ы? T1500G-8T для примера. Если новый. Если б/у - то я за такие деньги цельный каталист возьму :)
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору


	14. "mikrotik - странного? хочу"	+/–
	Сообщение от Адексанкр (?), 16-Сен-20, 16:03
	>> Коллега имеет опыт работы с isc-dhcpd в линуксе/бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/ > А потом - получает кучу тяжело устранимых глюков. Плавали - знаем. Не знаю - не первый год в плавании - проблем нет. Если от RFC далеко не выпрыгивать. > Сеть в линаксе - вообще-то далеко не образец того, как надо ее > делать. Скорей наоборот. Ну, не линуксом единым жив интернет. Есть и BSD, и Солярка и много ещё некогда серьёзных систем сейчас ушло на open-рельсы. Везде, где пробовал, isc-dhcpd ведёт себя вполне ровно и одинаково. >> Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a\|TP-Linka умеет vlan-ы? > T1500G-8T для примера. Если новый. Если б/у - то я за такие деньги цельный каталист возьму :) Ну, не знаю... Может, плохо я искал, но то, что я нашёл - минимум 60$ предлагают. За эту цену можно ещё пару микротиков взять. Я с начальником ещё поговорю, но, мне кажется, он пока не готов так вкладываться. :(
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "mikrotik - странного? хочу"	+/–
	Сообщение от Licha Morada (ok), 16-Сен-20, 22:03
	>>> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/ >> А потом - получает кучу тяжело устранимых глюков. Плавали - знаем. > Не знаю - не первый год в плавании - проблем нет. Если > от RFC далеко не выпрыгивать. Проблемы появляются не столько от того что из RFC выпрыгнули, сколько из-за того что нескольким людям приходится с системой взаимодействовать и поддерживать. Собственно, тут проявляется различие между "безошибочно" и "в соответствии с ожиданиями".
	Ответить \| Правка \| Наверх \| Cообщить модератору

5. "mikrotik - странного? хочу"	+/–
Сообщение от Андрей (??), 09-Сен-20, 19:33
Ты поделил на Микротике порты? Своих в один Bridge. Чужих в другой? Нет? Это надо сделать в первую голову. Если у тебя в офисе куча свичей, свои и чужие люди вперемежку, провода втыкай куда хочешь, то "миссия становится почти невыполнима". Спасет только некое кучкование чужих в пределах определенных розеток. На них отдельный свитч, от свича в отдельный порт микротика и читай ниже. Ну а если есть свичи с поддержкой VLAN-ов, то поднимай VLAN-ы, микротик тоже их умеет. Доводи до Микротика, создавай на нем VLAN-интерфейсы. На интерфейс bridge-1 (или как ты его там назовешь) вешаешь IP для своих. На bridge-2 вешаешь IP для чужих. Как привязать DHCP-пул к интерфейсу надеюсь разберешься. Надо создать пул. Потом в настройках DHCP-сервера указать какой пул на какой интерфейс будет относиться. Для WiFi сделай два разных SSID, со своим пулом IP-адресов. Ну и дальше FireWall-ом руби кому чего можно, а чего нельзя. Вроде задача простая.
Ответить \| Правка \| Наверх \| Cообщить модератору

9. "mikrotik - странного? хочу"	+/–
Сообщение от fantom (??), 11-Сен-20, 14:35
. > на локальном интерфейсе > ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей), Толку близко к 0, безопасность 0, изоляция 0... и нафига это делать??? >[оверквотинг удален] > статиком - адрес им отдаётся, но с маской /4, соотвественно, разделене > сетей летит к чёрту, интернет работает в зависимости от уровня воды > в океане. :( На фрюниксах с isc-dhcpd в статиках я могу > прописать всё, что мне нужно для работы именно этого клиента, а > в микротике - только IP и mac. Попытка прописать адрес 192.168.X.5/24 > даёт ошибку. > Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле > советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но > можно, мне кажется, и без них... Опыта с микротиками у меня > мало, подскажите, плз, что я делаю не так? Спасибо! Вы не пытаетесь понять КАК это работает... Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать добиться, правда непонятно нафига вам 2!! подсети при таком подходе. ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253 гостевые.... и собственно все. > ЗЫ: про административные меры безопаснсти и ответственность не говорите - шеф ещё > эту мысль не переварил и не созрел. Давайте пока попробуем с > dhcp разобраться.
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "mikrotik - странного? хочу"	+/–
	Сообщение от Адексанкр (?), 11-Сен-20, 18:26
	>> на локальном интерфейсе >> ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей), > Толку близко к 0, безопасность 0, изоляция 0... В одноранговой сети вся безопасность близка к 0. :( > и нафига это делать??? Перекладывать провода по офису шеф не видит смысла - "всё работает и так". :( Он - администратор (в смысле - управленец), финансист, выросший из своей специальности. Немного помнит кодинг, но давно этим не занимается - есть более молодые и продвинутые члены команды. А шеф ищет заказы, проекты, кадры... >>[оверквотинг удален] >> Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле >> советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но >> можно, мне кажется, и без них... Опыта с микротиками у меня >> мало, подскажите, плз, что я делаю не так? Спасибо! > Вы не пытаетесь понять КАК это работает... Хорошо! КАК это работает? Почему в isc-dhcpd от такого монстра "Open Source For an Open Internet" работает, а значит, не нарушает принципы работы DHCP(D), RFC? Или будем ставить под сомнение правильность их продукта? Цитата из RFC-1531: "Alternately, the key might be the pair (IP-subnet-number, hostname), allowing the server to assign parameters intelligently to a host that has been moved to a different subnet...". > Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать VLAN имеет смысл, если его поддерживают более, чем одно устройство в сети. А в идеале - должны быть магистральные свичи, умеющие vlan, которых в моём случае нет в наличии. 70% виндовых драйверов их тоже не умеют. А городить VLAN-ы на одном микротике?... На ESXi - я ещё понимаю, для эксперимента... > добиться, правда непонятно нафига вам 2!! подсети при таком подходе. > ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253 > гостевые.... Простой fpinger 20-тилетней давности, запущенный на винде "школьника-пришельца", легко просканирует и покажет карту сети, после чего подобрать свободный адрес - дело даже не минуты. Если же "пришелец" получит адрес из отдельной сети - что ему нарисует fpinger? А при появлении нового "пришельца", алярм на почту шефа для пригляда за "пришельцем" - не проблема. Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам? > и, собственно, все. Ну, если реализация dhcpd от микротика этого не позволяет - так и скажите. :( > Спасет только некое кучкование чужих в пределах определенных розеток. Нет розеток - есть свич на столе в углу, а от него шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный свич, а вот что делать с теми, кто проходит в рабочие кабинеты?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "mikrotik - странного? хочу"	+/–
	Сообщение от pavel_simple. (?), 13-Сен-20, 08:22
	>[оверквотинг удален] > алярм на почту шефа для пригляда за "пришельцем" - не проблема. > Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам? >> и, собственно, все. > Ну, если реализация dhcpd от микротика этого не позволяет - так и > скажите. :( >> Спасет только некое кучкование чужих в пределах определенных розеток. > Нет розеток - есть свич на столе в углу, а от него > шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный > свич, а вот что делать с теми, кто проходит в рабочие > кабинеты? если нет управляемых коммутаторов, если нет возможности их приобрести, то самое простое что можно сделать для сегментации пользователей сети это заставить всех использовать pppoe.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "mikrotik - странного? хочу"	+/–
	Сообщение от Licha Morada (ok), 13-Сен-20, 09:08
	>> Спасет только некое кучкование чужих в пределах определенных розеток. > Нет розеток - есть свич на столе в углу, а от него > шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный > свич, а вот что делать с теми, кто проходит в рабочие > кабинеты? Проинструктировать, под протекцией шефа, что пришельцам вот в этот свитч нельзя, а можно только вон в тот, или в гостевой вайфайчик.
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору


	16. "mikrotik - странного? хочу"	+/–
	Сообщение от fantom (??), 17-Сен-20, 15:25
	>[оверквотинг удален] >> гостевые.... > Простой fpinger 20-тилетней давности, запущенный на винде "школьника-пришельца", легко > просканирует и покажет карту сети, после чего подобрать свободный адрес - > дело даже не минуты. Если же "пришелец" получит адрес из отдельной > сети - что ему нарисует fpinger? А при появлении нового "пришельца", > алярм на почту шефа для пригляда за "пришельцем" - не проблема. > Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам? >> и, собственно, все. > Ну, если реализация dhcpd от микротика этого не позволяет - так и > скажите. :( Без понятия, могет оно или не могет. >> Спасет только некое кучкование чужих в пределах определенных розеток. > Нет розеток - есть свич на столе в углу, а от него > шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный > свич, а вот что делать с теми, кто проходит в рабочие > кабинеты? Уровень изоляции и безопасности при 2-х сетях и при одной, поделенной на 2 части будет фактически одинаковый, а мозготраха (ну это моё личное мнени) на порядок меньше. А при такои уровне и железа и желании обезопаситься -- используйте LAN сегмент только как гостевой, а все "конторское" в VPN запихните, если обьёмы трафика укладываются в 50-100 Мбит. Внутри VPN-на "свои", вне его "гости". OpenVPN тот же самый. Будет вам и защита от ретивых школьников, и контроль сотрудников -- отозвал серт и чел уже "гость".
	Ответить \| Правка \| К родителю #10 \| Наверх \| Cообщить модератору