Mikrotik od zera – Statyczny adres w DHCP #04
Statyczny adres w DHCP
W przypadku urządzeń IoT, czy też drukarek sieciowy adres IP powinien być przypisany na stałe. Możemy tego dokonać poprzez ręczne ustawienie adresu w urządzeniu, bądź poprzez dodanie odpowiedniego wpisu w serwerze DHCP, gwarantującego przydzielenie zawsze tego samego adresu IP. Rezerwacja opiera się o MAC Address urządzenia. Przechodzimy na IP->DHCP Server klikamy w zakładkę Leases. Statyczny adres możemy dodać na klika sposobów. Klikając prawym przyciskiem myszy na podświetlony wpis wybierając z menu kontekstowego „Make Static”. Drugim sposobem jest dwukrotne kliknięcie w wiersz, i w nowym oknie kliknięcie w „Make Static”.
Blokada dostępu do Internetu
Dbając o bezpieczeństwo firmowej sieci, nie chcemy, aby drukarka sieciowa miała pełen dostęp do Internetu. Blokadę dostęp do Internetu możemy zrealizować na kilka sposobów. W tej cześci kursu skupimy się na najbardziej restrykcyjnej, a zarazem najprostszej, czyli zablokujemy ruch po adresie IP. Z bocznego menu wybieramy IP->Firewall i znakiem plusa dodajemy nowy wpis. W nowym oknie uzupełniamy pola:
- Chain: forward
- Src. Address: adres ip drukarki sieciowej
- Protocol: tcp
- Out. Interface: ether1, czyli interfejs WANowy
- Action: drop
Dla większego bezpieczeństwa możemy także dodać podobną regułę, zmieniając port na udp.
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): hAP AX Lite , hAP AC3, RB4011, RB260GS, RB2011
hAP AC3 LTE, hAP AX2, hAP AX3, L009UiGS-2HaxD-IN, RB5009UG+S+IN, Audience
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit, Audience LTE, Chateau LTE6 ax, LTAP LTE6
Access Pointy: mAP lite, mAP, cAP AX, cAP XL AC
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S, CCR2004-16G-2S+
Grzegorzu mam pytanie. Chcę osiągnąć następującą funkcjonalność:
1) Na MT mam bridge-a zaadresowanego 192.168.10.1/16
2) Potrzebuję, aby tylko adresy statyczne przypisane przy pomocy mac adresu miały dostęp do Internetu i dostawały adresy wyłącznie z puli 192.168.10.10-254
3) Wszystkie inne/nieznane urządzenia powinny otrzymywać z dhcp adresy 192.168.0.10-254 i być odcięte od dostępu do Internetu
Teoretycznie mógłbym to zrobić prościej i włączyć na interfejsie bridge-a ARP -> reply-only co z automatu odcięło by adresy dynamiczne od dostępu do Internetu. Niemniej nie spowoduje do, że nieznane urządzenia będą wpadały do puli adresowej 192.168.0.10-254.
Czy jest jakiś sposób, aby nieautoryzowane urządzenia otrzymywały automatycznie adresy z puli 192.168.0.10-254?
Natomiast urządzenia autoryzowane po mac adresie otrzymywały adresy z puli 192.168.10.10-254?
Czy MT potrafi coś takiego wykonać
Możesz zrobić statyczne wpisy na MT w DHCP->Leases, i na podstawie mac-addresów zrobić listę. Następnie na Firewallu ustawiłbym regułę na drop z całej 192.168.0.0/16(aczkolwiek to jest bardzo szeroka maska, na pewno potrzebujesz, aż tyle adresów?) z włączoną opcją negacji na src.address.list(a tu dodajesz liste ip, które maja mieć dostęp).
Dzień dobry. Mam pytanie odnośnie przypisywania stałego IP komputerom w sieci. Wyświetla mi się na zakładce Leases dany komputer, jego przypisane IP i nazwa komputera. Chciałabym w komentarzu przypisać mu konkretne pomieszczenie i zmienić IP. Kilka lat temu robiłam to, ale dużo komputerów pozmieniało się i teraz przyznam, że utknęłam bo zapomniałam jak to robiłam.
Po dwukrotnym kliknięciu w wiersz z komputerem, w nowym okiem będzie przycisk „make static”. Komentarze nadajemy z poziomu Leases.
Hej. Mam na jednym z portów podłączonego switcha, który jest w ogólnodostępnym miejscu i do niego podpięte 2 komputery. Jak najprościej zrobić aby nikt i nic więcej nie podłączyło się do tego switcha. Oczywiście nie ma być to zabezpieczenie na skalę NASA, przed zwykłym „Kowalskim” co przyjdzie z laptopem, podłączy się i będzie grzebał mi sieci. Z góry wielkie dzięki za pomoc.
Switch Mikrotika? Czy jakiegoś innego producenta?
Dzień Dobry, Panie Grzegorzu mam pytanie odnośnie podłączonego urządzenia, które już posiadało sałe ip, ale ze względu na potrzebę zmieniłem mu ten adres na inny. W tej chwili w zakładce Leases urządzenie jest oczywiście widoczne i ma nowe stałe ip, ale po wejściu w zakładkę Active, nie ma żadnych informacji, a w linii Last Seen, widniej opis never. Dodam, że problem pojawił się po zmianie tego adresu. Skończyły mi się już pomysły co może być przyczyną takiego stanu. Z góry dziękuję za pomoc.
Stawiałbym na czas dzierżawy adresu, dopóki nie wyłączysz fizycznie interfejsu po stronie klienta, system może jeszcze trzymać stary adres.
Dodam do mojego poprzedniego wpisu, że od zmiany ip urządzenie ma cały czas status waiting.
Dziękuję za pomoc.