SKFREE

Mikrotik™ Podpora - Mikrotik ARP

Levian - 12.10.2015 - 21:18
Post subject: Mikrotik ARP
Zdravim majstri.
Na mikrotiku mam zapnuty na interface ARP na reply-only, teda musim zapisat k IP adrese ktora moze komunikovat s mikrotikom aj jej MAC

Da sa nastavit na jednom interface reply-only iba na niektore adresne rozsahy ? Napr. rozsah 192.168.1.1-255 na reply only a 192.168.2.1-255 na ARP na enabled ?
misohero - 12.10.2015 - 22:32
Post subject:
to skor cez firewall odfiltrovat
Levian - 13.10.2015 - 15:57
Post subject:
Este pre upresnenie : Pre povolenie internetu pre jednotlive IP adresy zapisujem ich mac adresu. Ak nesedi mac s IP, cez router sa nedostane. Na jednom Interface mam spravenych viac subnetov. V jednej s tych subnetov mam klientske IPcky radii. Tie by som potreboval aby sa dostali na router aj bez povolenych mac adries v ARP.
misohero - 13.10.2015 - 16:04
Post subject:
ja si myslim ze lepsie riesenie je radia dat do vlany, keby si to mal vo vlane tak vies arp takymto sposobom odfiltrovat

(ale na to musia radia vediet dat manazment do vlany)
pixall - 13.10.2015 - 18:44
Post subject:
Levian wrote: ›Este pre upresnenie : Pre povolenie internetu pre jednotlive IP adresy zapisujem ich mac adresu. Ak nesedi mac s IP, cez router sa nedostane. Na jednom Interface mam spravenych viac subnetov. V jednej s tych subnetov mam klientske IPcky radii. Tie by som potreboval aby sa dostali na router aj bez povolenych mac adries v ARP.


to si si to pekne prekomplikoval..

my pozuivame rovnaku autorizaciu ako sa pouziva aj na DSL linkach - klient sa prihlasuje cez PPPoE a autorizuje sa pridelenym menom a heslom. heslo overi centrlany RADIUS server a v ramci overenia poskytne pristupovemu serveru tiez udaje o rychlosti priopjenia, o tom aka ma byt pouzita IP adresa (dynamicka alebo nejaka konkretna staticka), maximalnej dlzke pripojenia (napr. ak je zmluva vo vypovednej lehote), ci ma mat klient zapnuty firewall (blokovanie spojeni z internetu do jeho pocitaca), atd.

MAC adresy klientov ma vobec nezaujimaju, klient ma pridelene meno+heslo, a z akej MAC ho pouziva, je jeho vec.

nas klient moze kludne otocit antenu na ine AP z ineho segmentu siete, alebo vymenit pocitac alebo router na kablovej sieti, a prehlasuje sa opat tym istym menom+heslom a my nic neriesime.

na APckach alebo kablovych sietach je pv miestach kde sa pripajaju klienti dostupna iba VLANa v ktorej su PPPoE tunely - nie su tam konfigurovane ziadne IP adresy. aj ked sa tam prihlasi intruder, nema sancu nic ani len opingat, proste IP protokol v tomto mieste siete vobec nebezi. nie je tam v tej VLANe ani ziadny routing, takze sa nema sancu dostat ani do manazmentu, ani do internetu. no way.

ked sa prihlasi klient cez PPPoE, ten ma routing zabezpeceny do internetu, ale do manamznetu sa taktiez nedostane.

tie iste principy sa pouzivaju na prihlasovanie do mnohych obrovskych sieti po celom svete, je to overene a funkcne. namiesto vymyslania hovadin typu staticky ARP je lepsie sa poobzerat po serioznych rieseniach. nasadenie RADIUSu a PPPoE nebolo uplne trvialne, ale jeho prinosy su obrovske a som rad, ze sme to pred rokmi takto urobili.
Levian - 15.10.2015 - 17:45
Post subject:
Pixall ma teraz celkom inspiroval a pozdava sa mi to co pise hore. Priznam sa ze uz nejaky cas som nad tym rozmyslal aj ja. Asi by som sa do toho pustil, skor ci neskor ma to aj tak caka..
Nasiel by sa nejaky dobrovolnik co by mi usetril cas a pomohol rozbehat konfiguraciou na mikrotiku? Pripadne aj odmena ho neminie Very Happy
misohero - 15.10.2015 - 17:56
Post subject:
to co popisuje pixall mame my spravene na sieti ,freeradius,pppoe ,ale s tym rozdielom ze bezi aj dhcp pre tranzitne zariadenia vo vlane

pre zaciatok sa to da spravit jednoduchsie bez radiusu ,ze loginy budu ulozene na MK ,iba nastavis pppoe server , secrets a profily s rychlostami
Levian - 16.10.2015 - 16:50
Post subject:
A nieje lepsie to spravit hned aj s radiusom nakomplet, aby sa to neprerabalo na 2 krat ?
misohero - 16.10.2015 - 17:09
Post subject:
Levian wrote: ›A nieje lepsie to spravit hned aj s radiusom nakomplet, aby sa to neprerabalo na 2 krat ?


prerobis to pridanim ip adresy radius servera do zoznamu, existujuci pppoe konfig zostane. v secrets nastavis "use radius"

v momente prihlasovania sa najprv pozera na secrets, a ak tam nieje tak sa MK spyta radius servera
neos - 17.10.2015 - 12:16
Post subject:
pixall wrote: ›
Levian wrote: ›Este pre upresnenie : Pre povolenie internetu pre jednotlive IP adresy zapisujem ich mac adresu. Ak nesedi mac s IP, cez router sa nedostane. Na jednom Interface mam spravenych viac subnetov. V jednej s tych subnetov mam klientske IPcky radii. Tie by som potreboval aby sa dostali na router aj bez povolenych mac adries v ARP.


to si si to pekne prekomplikoval..

my pozuivame rovnaku autorizaciu ako sa pouziva aj na DSL linkach - klient sa prihlasuje cez PPPoE a autorizuje sa pridelenym menom a heslom. heslo overi centrlany RADIUS server a v ramci overenia poskytne pristupovemu serveru tiez udaje o rychlosti priopjenia, o tom aka ma byt pouzita IP adresa (dynamicka alebo nejaka konkretna staticka), maximalnej dlzke pripojenia (napr. ak je zmluva vo vypovednej lehote), ci ma mat klient zapnuty firewall (blokovanie spojeni z internetu do jeho pocitaca), atd.

MAC adresy klientov ma vobec nezaujimaju, klient ma pridelene meno+heslo, a z akej MAC ho pouziva, je jeho vec.

nas klient moze kludne otocit antenu na ine AP z ineho segmentu siete, alebo vymenit pocitac alebo router na kablovej sieti, a prehlasuje sa opat tym istym menom+heslom a my nic neriesime.

na APckach alebo kablovych sietach je pv miestach kde sa pripajaju klienti dostupna iba VLANa v ktorej su PPPoE tunely - nie su tam konfigurovane ziadne IP adresy. aj ked sa tam prihlasi intruder, nema sancu nic ani len opingat, proste IP protokol v tomto mieste siete vobec nebezi. nie je tam v tej VLANe ani ziadny routing, takze sa nema sancu dostat ani do manazmentu, ani do internetu. no way.

ked sa prihlasi klient cez PPPoE, ten ma routing zabezpeceny do internetu, ale do manamznetu sa taktiez nedostane.

tie iste principy sa pouzivaju na prihlasovanie do mnohych obrovskych sieti po celom svete, je to overene a funkcne. namiesto vymyslania hovadin typu staticky ARP je lepsie sa poobzerat po serioznych rieseniach. nasadenie RADIUSu a PPPoE nebolo uplne trvialne, ale jeho prinosy su obrovske a som rad, ze sme to pred rokmi takto urobili.


Na akom HW terminujes PPPoE sessions?
kongo - 20.10.2015 - 21:37
Post subject:
pixall wrote: ›
Levian wrote: ›Este pre upresnenie : Pre povolenie internetu pre jednotlive IP adresy zapisujem ich mac adresu. Ak nesedi mac s IP, cez router sa nedostane. Na jednom Interface mam spravenych viac subnetov. V jednej s tych subnetov mam klientske IPcky radii. Tie by som potreboval aby sa dostali na router aj bez povolenych mac adries v ARP.


to si si to pekne prekomplikoval..

my pozuivame rovnaku autorizaciu ako sa pouziva aj na DSL linkach - klient sa prihlasuje cez PPPoE a autorizuje sa pridelenym menom a heslom. heslo overi centrlany RADIUS server a v ramci overenia poskytne pristupovemu serveru tiez udaje o rychlosti priopjenia, o tom aka ma byt pouzita IP adresa (dynamicka alebo nejaka konkretna staticka), maximalnej dlzke pripojenia (napr. ak je zmluva vo vypovednej lehote), ci ma mat klient zapnuty firewall (blokovanie spojeni z internetu do jeho pocitaca), atd.

MAC adresy klientov ma vobec nezaujimaju, klient ma pridelene meno+heslo, a z akej MAC ho pouziva, je jeho vec.

nas klient moze kludne otocit antenu na ine AP z ineho segmentu siete, alebo vymenit pocitac alebo router na kablovej sieti, a prehlasuje sa opat tym istym menom+heslom a my nic neriesime.

na APckach alebo kablovych sietach je pv miestach kde sa pripajaju klienti dostupna iba VLANa v ktorej su PPPoE tunely - nie su tam konfigurovane ziadne IP adresy. aj ked sa tam prihlasi intruder, nema sancu nic ani len opingat, proste IP protokol v tomto mieste siete vobec nebezi. nie je tam v tej VLANe ani ziadny routing, takze sa nema sancu dostat ani do manazmentu, ani do internetu. no way.

ked sa prihlasi klient cez PPPoE, ten ma routing zabezpeceny do internetu, ale do manamznetu sa taktiez nedostane.

tie iste principy sa pouzivaju na prihlasovanie do mnohych obrovskych sieti po celom svete, je to overene a funkcne. namiesto vymyslania hovadin typu staticky ARP je lepsie sa poobzerat po serioznych rieseniach. nasadenie RADIUSu a PPPoE nebolo uplne trvialne, ale jeho prinosy su obrovske a som rad, ze sme to pred rokmi takto urobili.


Na APckach pouzivas aky typ autentifikacie ?
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits