MO
1 раз воспользовался, больше не пригодилось 😂
Size: a a a
2020 May 26
T
hi
T
does anyone have failover script for 2 isp providers ?
E
Teo
does anyone have failover script for 2 isp providers ?
ИБ
Ну там не скриптами же
EV
они нам еще за санкции должны денег)
E
Ну там не скриптами же
это всё условно
T
AA
Добрый день. Настраиваю DHCP Snooping, чтобы вражеские DHCP-сервера не раздавали клиентам адреса.
С цепочкой свичей, которые описаны в Wiki вроде все понятно.
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#DHCP_Snooping_and_DHCP_Option_82
А как быть с самим микротиком, на котором поднят DHCP сервер и подцеплены как последующие свичи, так и непосредственно клиенты.
Например есть центральный микротик, на нем DHCP сервер и bridge c eth1 - eth3. На первом порту вражеский DHCP сервер, на втором порту клиент, на третьем последующий микротик с клиентами.
1. Надо что-то делать, чтобы клиент на eth2 не получил от вражеского устройства на eth1 настройки по DHCP или микротик сам умный в себе и это уже сделаает?
2. Надо ли включать на этом центральном микротике галочки DHCP Snooping and Option 82, указав как доверенные порты только последующие микроты eth3 или не нужно?
3. Нужно ли на этом центральном микротике как то добавить в доверенные саму службу DHCP-сервера, чтобы к ней запросы не блокировались?
С цепочкой свичей, которые описаны в Wiki вроде все понятно.
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#DHCP_Snooping_and_DHCP_Option_82
А как быть с самим микротиком, на котором поднят DHCP сервер и подцеплены как последующие свичи, так и непосредственно клиенты.
Например есть центральный микротик, на нем DHCP сервер и bridge c eth1 - eth3. На первом порту вражеский DHCP сервер, на втором порту клиент, на третьем последующий микротик с клиентами.
1. Надо что-то делать, чтобы клиент на eth2 не получил от вражеского устройства на eth1 настройки по DHCP или микротик сам умный в себе и это уже сделаает?
2. Надо ли включать на этом центральном микротике галочки DHCP Snooping and Option 82, указав как доверенные порты только последующие микроты eth3 или не нужно?
3. Нужно ли на этом центральном микротике как то добавить в доверенные саму службу DHCP-сервера, чтобы к ней запросы не блокировались?
E
Добрый день. Настраиваю DHCP Snooping, чтобы вражеские DHCP-сервера не раздавали клиентам адреса.
С цепочкой свичей, которые описаны в Wiki вроде все понятно.
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#DHCP_Snooping_and_DHCP_Option_82
А как быть с самим микротиком, на котором поднят DHCP сервер и подцеплены как последующие свичи, так и непосредственно клиенты.
Например есть центральный микротик, на нем DHCP сервер и bridge c eth1 - eth3. На первом порту вражеский DHCP сервер, на втором порту клиент, на третьем последующий микротик с клиентами.
1. Надо что-то делать, чтобы клиент на eth2 не получил от вражеского устройства на eth1 настройки по DHCP или микротик сам умный в себе и это уже сделаает?
2. Надо ли включать на этом центральном микротике галочки DHCP Snooping and Option 82, указав как доверенные порты только последующие микроты eth3 или не нужно?
3. Нужно ли на этом центральном микротике как то добавить в доверенные саму службу DHCP-сервера, чтобы к ней запросы не блокировались?
С цепочкой свичей, которые описаны в Wiki вроде все понятно.
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#DHCP_Snooping_and_DHCP_Option_82
А как быть с самим микротиком, на котором поднят DHCP сервер и подцеплены как последующие свичи, так и непосредственно клиенты.
Например есть центральный микротик, на нем DHCP сервер и bridge c eth1 - eth3. На первом порту вражеский DHCP сервер, на втором порту клиент, на третьем последующий микротик с клиентами.
1. Надо что-то делать, чтобы клиент на eth2 не получил от вражеского устройства на eth1 настройки по DHCP или микротик сам умный в себе и это уже сделаает?
2. Надо ли включать на этом центральном микротике галочки DHCP Snooping and Option 82, указав как доверенные порты только последующие микроты eth3 или не нужно?
3. Нужно ли на этом центральном микротике как то добавить в доверенные саму службу DHCP-сервера, чтобы к ней запросы не блокировались?
1) если на микротике бридж - это такой же свитч. со всеми вытекающими
2) опшн 82 к снупингу отношения не имеет
3) нет, если я хоть как-то корректно понял смысл
2) опшн 82 к снупингу отношения не имеет
3) нет, если я хоть как-то корректно понял смысл
VP
Добрый день. Настраиваю DHCP Snooping, чтобы вражеские DHCP-сервера не раздавали клиентам адреса.
С цепочкой свичей, которые описаны в Wiki вроде все понятно.
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#DHCP_Snooping_and_DHCP_Option_82
А как быть с самим микротиком, на котором поднят DHCP сервер и подцеплены как последующие свичи, так и непосредственно клиенты.
Например есть центральный микротик, на нем DHCP сервер и bridge c eth1 - eth3. На первом порту вражеский DHCP сервер, на втором порту клиент, на третьем последующий микротик с клиентами.
1. Надо что-то делать, чтобы клиент на eth2 не получил от вражеского устройства на eth1 настройки по DHCP или микротик сам умный в себе и это уже сделаает?
2. Надо ли включать на этом центральном микротике галочки DHCP Snooping and Option 82, указав как доверенные порты только последующие микроты eth3 или не нужно?
3. Нужно ли на этом центральном микротике как то добавить в доверенные саму службу DHCP-сервера, чтобы к ней запросы не блокировались?
С цепочкой свичей, которые описаны в Wiki вроде все понятно.
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#DHCP_Snooping_and_DHCP_Option_82
А как быть с самим микротиком, на котором поднят DHCP сервер и подцеплены как последующие свичи, так и непосредственно клиенты.
Например есть центральный микротик, на нем DHCP сервер и bridge c eth1 - eth3. На первом порту вражеский DHCP сервер, на втором порту клиент, на третьем последующий микротик с клиентами.
1. Надо что-то делать, чтобы клиент на eth2 не получил от вражеского устройства на eth1 настройки по DHCP или микротик сам умный в себе и это уже сделаает?
2. Надо ли включать на этом центральном микротике галочки DHCP Snooping and Option 82, указав как доверенные порты только последующие микроты eth3 или не нужно?
3. Нужно ли на этом центральном микротике как то добавить в доверенные саму службу DHCP-сервера, чтобы к ней запросы не блокировались?
Порты trust - это те порты в которые может прилетать трафик от дхцп сервера. Соответственно на самом сервере они не нужны, если только сам микротик с дхцп сервером не является и дхцп клиентом.
AA
ну вопрос как правильно заблочить трафик DHCP от вражеского DHCP на первом порту до клиента на втором порту?
a
после микроика у тебя еще есть свитч л2?
a
или все только на тике?
AA
с теми микротиками которые после - понятно из wiki. А вот непосредственно с теми портами что на самом микротике как быть?
VP
ну вопрос как правильно заблочить трафик DHCP от вражеского DHCP на первом порту до клиента на втором порту?
Не ставить траст на порт к вражескому серверу
a
в общем, как по мне, то самый простой способ - это запретить через микротик пакет OFFER
E
с теми микротиками которые после - понятно из wiki. А вот непосредственно с теми портами что на самом микротике как быть?
пункт 1 моего ответа.
VP
с теми микротиками которые после - понятно из wiki. А вот непосредственно с теми портами что на самом микротике как быть?
Точно так же.
a
т.е. сам микротик этот пакет будет отправять, но на вход все будет дропать