SKFREE
Mikrotik Podpora - cudzi dhcp server a mikrotik
Chalan - 22.01.2014 - 13:47
Post subject: cudzi dhcp server a mikrotik
mam nastaveny alarm na ether6 co je master port pre 7,8,9,10 na rb1100, kde su strcene dva plastove switche a klienti. v logu som nasiel
13:02:49 dhcp,critical,error dhcp alert on ether6: discovered unknown dhcp server,
mac 64:66:B3:C3:B6:5C, ip 192.168.0.1
podla mac je to klientsky tplink... ako tu mac vyblokujem tak aby nesiel ani dhcp broadcast? zial nieje priamo na porte rbcka ale za jednym z tych plastakov takze neviem vypnut port a potrebujem to vyriesit nadialku, dakujem za kazdu radu, nakopnutie...
neos - 22.01.2014 - 14:12
Post subject:
Menezovatelny switchik by to poriesil so zapnutym DHCP snooping a okrem toho kopec dalsich security ficur. Inak taketo "utoky" zvnutra neporiesis. Iba ak osobny vyjazd a zrusenie/prekonfigurovanie tplinku, co tiez nieje zadarmo. Mas tam roznych kliento na tych portoch mkrotiku, ci je to len jeden zakaznik a mk je "cpe" ?
JOFO - 22.01.2014 - 14:13
Post subject:
Ked je za plastakom tak asi nijako.. Vsetko co ide cez ten plastak si moze pytat IPcku aj od toho TP-Linku... niekto si zrejme pomylil porty a pichol internetovy kabel do LAN portu.. asi nepomoze nic len zistit, koho to je, nech si to zapoji tak ako to ma byt...
majak - 22.01.2014 - 14:17
Post subject:
toto sme riesili naposledy v roku 2008 a potom sme uz plastaky prestali pouzivat lebo ludia su prijebani...
Chalan - 22.01.2014 - 14:18
Post subject:
mozno je to klient priamo na porte ale kedze tam mam spraveny master port 6 a 7-10 su switchovane vsetok traffic vidim na porte 6... ako zistim na ktorom porte sa ta mac nachadza? da sa to vobec ked je tam spraveny hw switch?
pixall - 22.01.2014 - 15:00
Post subject:
majak wrote: toto sme riesili naposledy v roku 2008 a potom sme uz plastaky prestali pouzivat lebo ludia su prijebani...
toto sme naposledy riesili v roku 2008 a potom sme uz DHCP prestali pouzivat, nahradili sme ho za PPPoE a netreba nam ani DHCP snooping na switchoch... 
Chalan - 22.01.2014 - 16:32
Post subject:
verim, tiez sa chystam na ppoe... vcul vsak potrebujem nejako vyriesit toto... a majak tam kde mam 5klientov na plastaku sa mi moc neoplati davat managovatelny switch... tiez nie kazdy managovatelny switch vie korektne dhcp snooping... kebyze dam rb260s nevie niekto ci to vie port izolation a ci by sa tomu tym dalo zabranit? manualnym vypnutim portu to vsak tiez nieje najlepsie riesenie...
neos - 22.01.2014 - 17:30
Post subject: iptv
pixall wrote:
majak wrote: toto sme riesili naposledy v roku 2008 a potom sme uz plastaky prestali pouzivat lebo ludia su prijebani...
toto sme naposledy riesili v roku 2008 a potom sme uz DHCP prestali pouzivat, nahradili sme ho za PPPoE a netreba nam ani DHCP snooping na switchoch...
Ako potom riesis klienta na switchi, ak mu davas IPTV? DHCP + security + MVR mi vychadza ako lepsia alternativa.
Scenar s PPPoE si viem predstavit len tak ako to maju ruzovi. Z hagu idu von tagovane pakety extra pre data a extra pre iptv. V datovej VLAN HAG vytaca PPPoE.
Palino - 22.01.2014 - 18:45
Post subject:
Ak pouzivas pre klientov DHCP, tak asi poznas MAC adresy WAN portov a teda aj toho jedneho konkretneho. MAC adresa v alarme bude napadne podobna jednej z nich, co povies? Potom uz len zavolas klientovi a zdvorilo ho zdrbes.
Chalan - 22.01.2014 - 19:15
Post subject:
hej, ale nie je podobna, zrejme mal na WAN clonovanu mac, zistil som len ze je za tym plastakom 
tie rb260ky nemaju funkciu dhcp spoofing? pripadne nejaku fintu ako zabranit cudzim dhcp serverom? nejak som sa toho nedopatral, nevie niekto?
pixall - 22.01.2014 - 23:06
Post subject: iptv
neos wrote: Ako potom riesis klienta na switchi, ak mu davas IPTV? DHCP + security + MVR mi vychadza ako lepsia alternativa.
Scenar s PPPoE si viem predstavit len tak ako to maju ruzovi. Z hagu idu von tagovane pakety extra pre data a extra pre iptv. V datovej VLAN HAG vytaca PPPoE.
presne takto to riesime... samostana VLAN pre IPTV a samostatna pre PPPoE.
majak - 23.01.2014 - 07:37
Post subject:
http://www.differencebetween.net/techno ... and-pppoe/
Chalan - 23.01.2014 - 11:02
Post subject: iptv
pixall wrote:
neos wrote: Ako potom riesis klienta na switchi, ak mu davas IPTV? DHCP + security + MVR mi vychadza ako lepsia alternativa.
Scenar s PPPoE si viem predstavit len tak ako to maju ruzovi. Z hagu idu von tagovane pakety extra pre data a extra pre iptv. V datovej VLAN HAG vytaca PPPoE.
presne takto to riesime... samostana VLAN pre IPTV a samostatna pre PPPoE.
voip mas vo vlanke s netom cez ppoe?
Chalan - 23.01.2014 - 12:22
Post subject:
ti co pouzivaju managovatelne switche na mensich lankach, poradte nejaeko 8 portove co vedia dhcp spoofing/igmp snooping a idu na 12-24V? asi chcem vela ze...
pixall - 23.01.2014 - 12:43
Post subject:
ano, aj migracia od PPPoE na DHCP je mozna, tak ako pisu v tom texte, odpada potreba autorizacie menom a heslom. takze ak ty ako ISP nepotrebujes vediet kto sa ti hlasi do siete (napr. preto ze nepodnikas v EU a nepotrbeujes riesit logovanie), alebo ak mas spolahlivo vyriesenu autorizaciu inou cestou (napri. podla fyzickeho portu na switchi), tak sa to tak da.
napriklad na IPTV a VoIP sluzbe v nasej sieti, ked sa autorizacia vykonava na aplikacnej vrstve (t.j. nami dodane a nami nastavene koncove zariadenie sa autorizuje do sluzby), pouzivame aj my DHCP. taktiez sme mali moznost pripojenia na internet cez DHCP, bolo to aktivne subezne s PPPoE pocas prechodnej doby ked sa migrovali ucasnticke internetove pripojky na PPPoE co trvalo cca 2 roky. ked uzivatel este isiel cez DHCP, musel sa potom zautorizovat na captive-portali menom+heslom.
doplnenie: pri PPPoE oproti DHCP povazujem za velku vyhodu, ze PPPoE ma v sebe LCP (link control protocol) ktorym niekolkokrat za minutu kontorluje, ci je klient este stale online. pri akejkolvek otazke klienta ohladom funkcnosti, vie klientovi callcentrum vdaka tomu okamzite povedat, ze ano, teraz ste pripojeny k nasej sieti, vidime vase zariadenie aktivne, ak vam to nejde, hladajte chybu medzi svojim routrom a pocitacom - alebo naopak, nie nevidime vac pripojeneho od vcera od piatej popoludni, ale ostatni klientina tom istom switchi idu aj teraz v pohode, hladajte chybu v routtri, a ak chybu nenajdete, posleme vam nasho technika. alebo - vidime ze ste sa za hodinu reconnectli 30x, bud sa vam restartuje router, alebo mate poskodeny kabel (pripadne zly signal pri wifi). takato diagnostika s DHCP nie je mozna, a prinos tejto diagnostiky k rieseniu problemov je neskutocne velky.
neos - 23.01.2014 - 16:07
Post subject: iptv
pixall wrote:
neos wrote: Ako potom riesis klienta na switchi, ak mu davas IPTV? DHCP + security + MVR mi vychadza ako lepsia alternativa.
Scenar s PPPoE si viem predstavit len tak ako to maju ruzovi. Z hagu idu von tagovane pakety extra pre data a extra pre iptv. V datovej VLAN HAG vytaca PPPoE.
presne takto to riesime... samostana VLAN pre IPTV a samostatna pre PPPoE.
Zakaznik ma u seba ake zariadenie, ak to rozdelujete do VLAN? Alebo tahate zakaznikovi 2 kable?
pixall - 23.01.2014 - 17:59
Post subject: iptv
neos wrote: Zakaznik ma u seba ake zariadenie, ak to rozdelujete do VLAN? Alebo tahate zakaznikovi 2 kable?
riesenie zavisi pripad od pripadu.
na FTTB sietach ma vo vacsine pripadov klient iba internet, vtedy mu rovno v nasom FTTB switchi v bytovke odovzdavame internetovu VLANu ako netagovanu (nativnu, accessovu).
ak je na FTTB sieti pripojka iba cisto pre IPTV, odovzdavame ako nativnu prave IPTV VLAN.
Ak je na FTTB sieti internet+TV, posielame ku klientovi tieto VLANy ako tagovane, a davame ku klientovi switch ktory ma podporu VLAN+IGMP, ktorym sa to u neho rozdeli.
najelegantnejsie riesenie mame pre koaxialnu HCNA siet, tam koncove zariadenie (modem) ma pre klienta dva LAN porty - jeden je nastaveny pre internet VLAN, druhy pre IPTV VLAN. priamo v sebe ma modem zabudovany aj telefonny FXS port a ten sa tiez mapuje do samostatnej VLAN. takze v takomto pripade je to len a len o nastaveni HCNA modemu.