- А физические порты вы поделили, какие кому, или все втыкаются в один и тот-же br,
 Licha Morada (ok), 02:01 , 08-Сен-20 (1)> Подключаться могут как по ВиФи, так и по шнурку А физические порты вы поделили, какие кому, или все втыкаются в один и тот-же broadcast domain? Если все вместе, то никакого разделения у вас не получится. > здесь, вроде, vlan-ы можно, но можно, мне кажется, и без них... Да, без VLAN можно, если физических портов хватает непосредственно на Микротике.
Их скорее всего не хватает, но всё равно можно, потребуется организовать отдельные физические свичи для своих и для чужих.
С VLAN-ами удобнее, собственно, их для того и придумали. Вкратце:
Определитесь, как какие физические порты будете использовать для чего: для Интернета, для офисных, для гостей (если вам так в VLAN-ы не хочется).
Нарисуйте наглядную картинку, смотрите примры на микротиковской вики.
На разных портах назначте адреса из 192.168.X.0/24 и 192.168.Y.0/24. 192.168.Z.0/24 не нужен.
Создайте DHCP сервер для каждой локальной подсети.
Создайте SSID для каждой локальной подсети. Нагугленному особо не верьте, Mikrotik очень гибок и там можно много работоспособной дичи наворотить. Верьте ихней вики https://wiki.mikrotik.com/wiki/Manual:TOC
Обратите внимение на Bridging and switching: Switch Router
- 802 1x - вам поможет, mikrotik поддерживает И для wifi и для ethernet, и никакой, shadow_alone (ok), 11:03 , 09-Сен-20 (2)
802.1x - вам поможет, mikrotik поддерживает.
И для wifi и для ethernet, и никакой пароль не утечет, ибо каждый ответственный за свой пароль, и если его пароль утечёт что и иметь будут его.
И не мудрите с сетями и масками, вы еще далеки от понимания этого, учитывая вашу писанину.
- Ну да, конечно же 802 1x ему строго необходим, заодно с RADIUS разберется, его , pofigist (?), 12:31 , 09-Сен-20 (3) –1
> 802.1x - вам поможет, mikrotik поддерживает.
> И для wifi и для ethernet, и никакой пароль не утечет, ибо
> каждый ответственный за свой пароль, и если его пароль утечёт что
> и иметь будут его.
> И не мудрите с сетями и масками, вы еще далеки от понимания
> этого, учитывая вашу писанину.Ну да, конечно же! 802.1x ему строго необходим, заодно с RADIUS разберется, его взаимодействие с LDAP/AD настроит... Повеселиться от души... Лучше уж разобраться с адресацией... И самое главное - с понятием интерфейса, физического и виртуального, чтоб не возникало вопроса "как сделать так чтоб устройство получало адрес из определенной подсети". А ответ простой - оно всегда получает адрес из той подсети, адрес которой присвоен тому интерфейсу (физическому или виртуальному - не важно), к которому подключено это устройство. Поясняю на примерах - у нас есть роутер с тремя физическими интерфейсами L3, eth0, eth1 и eth2. Пусть eth0 всегда подключен к сети ISP (WAN), eth1 и eth2 - к LAN. Назначаем им соответственно адреса eth1 192.168.1.1/24 и eth2 192.168.2.1/24. Тогда устройство, подключенное к eth1 получит по DHCP адрес из подсети 192.168.1.0/24, а к eth2 - из подсети 192.168.2.0/24
А что делать если у нас на роутере всего два физических интерфейса L3 - eth0 и eth1? Создаем два VLAN? ну пусть это будет VLAN 10 и VLAN 20 (1й VLAN - особенной, это тоже самое что и отсуствие VLAN-ов). При этом в роутере создается два виртуальных интерфейса - vlan10 и vlan20. Далее - аналогично, назначаем им соответствующие подсетки и подключаем устройство к нужному VLAN - и он получает нужный IP. Как подключить устройство к нужному VLAN? Правильный путь - использовать управляемый коммутатор, просто на нем назначаешь соответствующие порты соответствующим VLAN. Положим порты с 1-го по 10й - VLAN 10, а с 11-го по 20й - VLAN 20. Неправильный (но иногда единственно возможный) - прописать на оконечном устройстве номер VLAN, к которому он подключен.
- Коллега имеет опыт работы с isc-dhcpd в линуксе бсд Там я любому клиенту пропи, Адексанкр (?), 17:51 , 09-Сен-20 (4)
>[оверквотинг удален]
>> ибо каждый ответственный за свой пароль, и если его пароль утечёт то и иметь будут его.
>> И не мудрите с сетями и масками, вы еще далеки от понимания этого, учитывая вашу писанину.
> Ну да, конечно же! 802.1x ему строго необходим, заодно с RADIUS разберется,
> его взаимодействие с LDAP/AD настроит... Повеселиться от души...
> Лучше уж разобраться с адресацией... И самое главное - с понятием интерфейса,
> физического и виртуального, чтоб не возникало вопроса "как сделать так чтоб
> устройство получало адрес из определенной подсети". А ответ простой - оно
> всегда получает адрес из той подсети, адрес которой присвоен тому интерфейсу
> (физическому или виртуальному - не важно), к которому подключено это устройство. Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/... Не знаю, противоречит ли это какому-нибудь из RFC, но клиент легко получает адрес, не соответствующий адресному пространству интерфейса сервера. >[оверквотинг удален]
> адреса eth1 192.168.1.1/24 и eth2 192.168.2.1/24. Тогда устройство, подключенное к eth1
> получит по DHCP адрес из подсети 192.168.1.0/24, а к eth2 -
> из подсети 192.168.2.0/24
> А что делать если у нас на роутере всего два физических интерфейса
> L3 - eth0 и eth1? Создаем два VLAN? ну пусть это
> будет VLAN 10 и VLAN 20 (1й VLAN - особенной, это
> тоже самое что и отсуствие VLAN-ов). При этом в роутере создается
> два виртуальных интерфейса - vlan10 и vlan20. Далее - аналогично, назначаем
> им соответствующие подсетки и подключаем устройство к нужному VLAN - и
> он получает нужный IP. Как работают vlan-ы я знаю. Драйвера не всех карт в винде умеют vlan. Мне кажется, проще разобраться с dhcp на микротике, чем городить vlan-ы на винде. > Как подключить устройство к нужному VLAN? Правильный путь - использовать управляемый коммутатор,
> просто на нем назначаешь соответствующие порты соответствующим VLAN. Положим порты с
> 1-го по 10й - VLAN 10, а с 11-го по 20й
> - VLAN 20. Неправильный (но иногда единственно возможный) - прописать на
> оконечном устройстве номер VLAN, к которому он подключен. Спасибо за советы, но... Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a|TP-Linka умеет vlan-ы? Офис представляет собой, ну, скажем, трёхкомнатную квартиру с туалетом и кухней. Есть девочка на входе, отвечающая на звонки и принимающая почтовую/бумажную/факсовую корреспонденцию. Есть "комната" для гостей, где они могут подождать сотрудника или присесть за стол(ы) для переговоров, оформления документов/заказов, напечатать/отксерить на местном МФУ. Есть две "комнаты" для сотрудников, куда гостей водить "не рекомендуется, чтобы не отвлекать сотрудников от работы". Но жёсткого запрета нет - те, кто из сотрудников перешёл в партнёры - заходят туда без препятствий; те, кому нужно особое отношение при оформлении/выполнении задачи/заказа проходят туда после разрешения начальника (на время работы по заказу) без препятствий. Начальник имеет небольшую выгородку в одном из помещений, где стоит комп с общим доступом к рабочей документации по всем проектам, но сам не всегда сидит в офисе. В общем - демократия раннего гугла или эппла. Народ молодой, увлечённый, народу в коллективе не много. Друг друга знают и друг другу доверяют. На домен прав с разделением доступа ещё не созрели. Удочку начальнику я закинул, но насаждать насильно этого я им не буду. Из аппаратных ресурсов есть на сегодня упомянутый микротик и два неуправляемых 16-портовых свича. Хочется выполнить задачу на имеющемся оборудовании. Чтобы "свои" не испытывали трудности при подключении к необходимым ресурсам, а условный школьник, подсмотревший пароль от ВиФи или воткнувший свободный шнурок в свой ноут, не смог запросто получить доступ в интернет. Бесспорно, что создать абсолютно или даже серьёзно защищённую сеть непросто, недёшево, но здесь пока такая задача и не стоит.
- Этого должно быть достаточно Вы можете сделать так пусть один из ваших свитчей , Licha Morada (ok), 19:55 , 09-Сен-20 (6)
> Из аппаратных ресурсов есть на сегодня упомянутый микротик и два неуправляемых 16-портовых
> свича.Этого должно быть достаточно.
Вы можете сделать так: пусть один из ваших свитчей обслуживает "доверенные" помещения, а другой все остальные. Сделайте на Микротике две локальные сети на разных интерфейсах, с разными правилами, и подключайте их к соответствующим свитчам. Решайте задачу по частям. Сначала разделите проводную сеть и заставьте её работать как вам нужно. Потом разделяйте беспроводную.
- А потом - получает кучу тяжело устранимых глюков Плавали - знаем Сеть в линакс, pofigist (?), 16:37 , 14-Сен-20 (13)
> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/А потом - получает кучу тяжело устранимых глюков. Плавали - знаем. Сеть в линаксе - вообще-то далеко не образец того, как надо ее делать. Скорей наоборот. > Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a|TP-Linka умеет vlan-ы? T1500G-8T для примера. Если новый. Если б/у - то я за такие деньги цельный каталист возьму :)
- Не знаю - не первый год в плавании - проблем нет Если от RFC далеко не выпрыгив, Адексанкр (?), 16:03 , 16-Сен-20 (14)
>> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/
> А потом - получает кучу тяжело устранимых глюков. Плавали - знаем.Не знаю - не первый год в плавании - проблем нет. Если от RFC далеко не выпрыгивать. > Сеть в линаксе - вообще-то далеко не образец того, как надо ее
> делать. Скорей наоборот. Ну, не линуксом единым жив интернет. Есть и *BSD, и Солярка и много ещё некогда серьёзных систем сейчас ушло на open-рельсы. Везде, где пробовал, isc-dhcpd ведёт себя вполне ровно и одинаково. >> Главный вопрос к участникам дискуссии: какой свитч из линейки дешёвого (10-50$) SOHO D-Link-a|TP-Linka умеет vlan-ы?
> T1500G-8T для примера. Если новый. Если б/у - то я за такие деньги цельный каталист возьму :) Ну, не знаю... Может, плохо я искал, но то, что я нашёл - минимум 60$ предлагают. За эту цену можно ещё пару микротиков взять. Я с начальником ещё поговорю, но, мне кажется, он пока не готов так вкладываться. :(
- Проблемы появляются не столько от того что из RFC выпрыгнули, сколько из-за того, Licha Morada (ok), 22:03 , 16-Сен-20 (15)
>>> Коллега имеет опыт работы с isc-dhcpd в линуксе/*бсд? Там я любому клиенту прописываю те параметры, которые _мне_ нужны для _решения_поставленной_задачи: адрес/маска/маршруты/DNS-ы/
>> А потом - получает кучу тяжело устранимых глюков. Плавали - знаем.
> Не знаю - не первый год в плавании - проблем нет. Если
> от RFC далеко не выпрыгивать.Проблемы появляются не столько от того что из RFC выпрыгнули, сколько из-за того что нескольким людям приходится с системой взаимодействовать и поддерживать. Собственно, тут проявляется различие между "безошибочно" и "в соответствии с ожиданиями".
- Ты поделил на Микротике порты Своих в один Bridge Чужих в другой Нет Это над, Андрей (??), 19:33 , 09-Сен-20 (5)
Ты поделил на Микротике порты? Своих в один Bridge. Чужих в другой? Нет? Это надо сделать в первую голову.
Если у тебя в офисе куча свичей, свои и чужие люди вперемежку, провода втыкай куда хочешь, то "миссия становится почти невыполнима". Спасет только некое кучкование чужих в пределах определенных розеток. На них отдельный свитч, от свича в отдельный порт микротика и читай ниже. Ну а если есть свичи с поддержкой VLAN-ов, то поднимай VLAN-ы, микротик тоже их умеет. Доводи до Микротика, создавай на нем VLAN-интерфейсы.На интерфейс bridge-1 (или как ты его там назовешь) вешаешь IP для своих.
На bridge-2 вешаешь IP для чужих. Как привязать DHCP-пул к интерфейсу надеюсь разберешься. Надо создать пул. Потом в настройках DHCP-сервера указать какой пул на какой интерфейс будет относиться. Для WiFi сделай два разных SSID, со своим пулом IP-адресов. Ну и дальше FireWall-ом руби кому чего можно, а чего нельзя. Вроде задача простая.
- Толку близко к 0, безопасность 0, изоляция 0 и нафига это делать gt овер, fantom (??), 14:35 , 11-Сен-20 (9)
.> на локальном интерфейсе
> ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей), Толку близко к 0, безопасность 0, изоляция 0... и нафига это делать???
>[оверквотинг удален]
> статиком - адрес им отдаётся, но с маской /4, соотвественно, разделене
> сетей летит к чёрту, интернет работает в зависимости от уровня воды
> в океане. :( На фрюниксах с isc-dhcpd в статиках я могу
> прописать всё, что мне нужно для работы именно этого клиента, а
> в микротике - только IP и mac. Попытка прописать адрес 192.168.X.5/24
> даёт ошибку.
> Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле
> советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но
> можно, мне кажется, и без них... Опыта с микротиками у меня
> мало, подскажите, плз, что я делаю не так? Спасибо!
Вы не пытаетесь понять КАК это работает... Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать добиться, правда непонятно нафига вам 2!! подсети при таком подходе.
ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253 гостевые.... и собственно все.
> ЗЫ: про административные меры безопаснсти и ответственность не говорите - шеф ещё
> эту мысль не переварил и не созрел. Давайте пока попробуем с
> dhcp разобраться.
- В одноранговой сети вся безопасность близка к 0 Перекладывать провода по офис, Адексанкр (?), 18:26 , 11-Сен-20 (10)
>> на локальном интерфейсе
>> ставлю две сети - 192.168.X.0/24 (для офисных), 192.168.Y.0/24 (для допущенных гостей),
> Толку близко к 0, безопасность 0, изоляция 0...В одноранговой сети вся безопасность близка к 0. :( > и нафига это делать??? Перекладывать провода по офису шеф не видит смысла - "всё работает и так". :( Он - администратор (в смысле - управленец), финансист, выросший из своей специальности. Немного помнит кодинг, но давно этим не занимается - есть более молодые и продвинутые члены команды. А шеф ищет заказы, проекты, кадры... >>[оверквотинг удален]
>> Задача, вроде, несложная, но не выходит у меня каменный цветок. В гугле
>> советы разделения сетей через vlan-ы, но здесь, вроде, vlan-ы можно, но
>> можно, мне кажется, и без них... Опыта с микротиками у меня
>> мало, подскажите, плз, что я делаю не так? Спасибо!
> Вы не пытаетесь понять КАК это работает... Хорошо! КАК это работает? Почему в isc-dhcpd от такого монстра "Open Source For an Open Internet" работает, а значит, не нарушает принципы работы DHCP(D), RFC? Или будем ставить под сомнение правильность их продукта? Цитата из RFC-1531: "Alternately, the key might be the pair (IP-subnet-number, hostname), allowing the server to assign parameters intelligently to a host that has been moved to a different subnet...". > Совет про VLAN очень правильный, хотя и вашего "хотения" тоже можно попробовать VLAN имеет смысл, если его поддерживают более, чем одно устройство в сети. А в идеале - должны быть магистральные свичи, умеющие vlan, которых в моём случае нет в наличии. 70% виндовых драйверов их тоже не умеют. А городить VLAN-ы на одном микротике?... На ESXi - я ещё понимаю, для эксперимента... > добиться, правда непонятно нафига вам 2!! подсети при таком подходе.
> ПУСТЬ ПОДСЕТЬ БУДЕТ ОДНА, но адреса 2-126 -- основные офисные, а 129-253
> гостевые.... Простой fpinger 20-тилетней давности, запущенный на винде "школьника-пришельца", легко просканирует и покажет карту сети, после чего подобрать свободный адрес - дело даже не минуты. Если же "пришелец" получит адрес из отдельной сети - что ему нарисует fpinger? А при появлении нового "пришельца", алярм на почту шефа для пригляда за "пришельцем" - не проблема. Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам? > и, собственно, все. Ну, если реализация dhcpd от микротика этого не позволяет - так и скажите. :( > Спасет только некое кучкование чужих в пределах определенных розеток. Нет розеток - есть свич на столе в углу, а от него шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный свич, а вот что делать с теми, кто проходит в рабочие кабинеты?
- gt оверквотинг удален если нет управляемых коммутаторов, если нет возможности , pavel_simple. (?), 08:22 , 13-Сен-20 (11)
>[оверквотинг удален]
> алярм на почту шефа для пригляда за "пришельцем" - не проблема.
> Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам?
>> и, собственно, все.
> Ну, если реализация dhcpd от микротика этого не позволяет - так и
> скажите. :(
>> Спасет только некое кучкование чужих в пределах определенных розеток.
> Нет розеток - есть свич на столе в углу, а от него
> шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный
> свич, а вот что делать с теми, кто проходит в рабочие
> кабинеты?если нет управляемых коммутаторов, если нет возможности их приобрести, то самое простое что можно сделать для сегментации пользователей сети это заставить всех использовать pppoe.
- Проинструктировать, под протекцией шефа, что пришельцам вот в этот свитч нельзя,, Licha Morada (ok), 09:08 , 13-Сен-20 (12)
>> Спасет только некое кучкование чужих в пределах определенных розеток.
> Нет розеток - есть свич на столе в углу, а от него
> шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный
> свич, а вот что делать с теми, кто проходит в рабочие
> кабинеты?Проинструктировать, под протекцией шефа, что пришельцам вот в этот свитч нельзя, а можно только вон в тот, или в гостевой вайфайчик.
- gt оверквотинг удален Без понятия, могет оно или не могет Уровень изоляции и б, fantom (??), 15:25 , 17-Сен-20 (16)
>[оверквотинг удален]
>> гостевые....
> Простой fpinger 20-тилетней давности, запущенный на винде "школьника-пришельца", легко
> просканирует и покажет карту сети, после чего подобрать свободный адрес -
> дело даже не минуты. Если же "пришелец" получит адрес из отдельной
> сети - что ему нарисует fpinger? А при появлении нового "пришельца",
> алярм на почту шефа для пригляда за "пришельцем" - не проблема.
> Я не спорю, wireshark не обманешь, но зачем упрощать работу школьникам?
>> и, собственно, все.
> Ну, если реализация dhcpd от микротика этого не позволяет - так и
> скажите. :( Без понятия, могет оно или не могет. >> Спасет только некое кучкование чужих в пределах определенных розеток.
> Нет розеток - есть свич на столе в углу, а от него
> шнурки по углам разбегаются. Гостевую комнату я постараюсь перецепить на отдельный
> свич, а вот что делать с теми, кто проходит в рабочие
> кабинеты? Уровень изоляции и безопасности при 2-х сетях и при одной, поделенной на 2 части будет фактически одинаковый, а мозготраха (ну это моё личное мнени) на порядок меньше. А при такои уровне и железа и желании обезопаситься -- используйте LAN сегмент только как гостевой, а все "конторское" в VPN запихните, если обьёмы трафика укладываются в 50-100 Мбит.
Внутри VPN-на "свои", вне его "гости".
OpenVPN тот же самый.
Будет вам и защита от ретивых школьников, и контроль сотрудников -- отозвал серт и чел уже "гость".
|
Свернуть нити
Пометить прочитанным
Создать тему
