+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Фильтрация или блокировка DHCP через EOIP

Фильтрация или блокировка DHCP через EOIP, RouterOS

nino

Guest

22.05.2012 19:08:00

Здравствуйте, у меня полностью маршрутизированная сеть WISP с OSPF, и я пытаюсь настроить PPPoE концентратор доступа. Настройка основана на http://mum.mikrotik.com/presentations/EG07/lutz_kleeman.pdf. На каждой вышке есть DHCP-сервер через мостовой интерфейс. Этот мостовой интерфейс включает в себя туннель EoIP к PPPoE концентратору доступа, которые объединены мостом на PPPoE-сервере. Проблема в том, что я получаю IP-адреса от DHCP-серверов других вышек по всей сети. Как можно заблокировать DHCP через EoIP туннели? Спасибо.

nino Guest	#2 0 13.06.2012 18:18:00 Большое спасибо, Натан. Попробую это.

spippan

Guest

22.01.2016 09:10:00

У меня настроен EoIP в GNS3, я связал две «локации» через EoIP по OVPN-туннелю. На роутере SiteA у меня бридж (eth2-5 + EoIP-SiteB), на роутере SiteB — бридж (eth2-5 + EoIP-SiteA). На обеих сайтах есть по 2 клиента vPC с DHCP-конфигурацией (подключены через свитч). На SiteA — PC8 и PC9, на SiteB — PC6 и PC7. Я применил указанное выше правило фильтрации на обоих бриджах — и на SiteA, и на SiteB.

Теперь, когда я делаю DHCP-release на любом из ПК, вижу запрос DHCP на обоих роутерах. Например: release с PC6 появляется и на SiteA, и на SiteB, то же с PC8, PC7 и PC9.

Помогите, пожалуйста, я совсем новичок в EoIP и очень хочу это решить, потому что EoIP действительно даст большой плюс для расширения моих широковещательных доменов.

pe1chl Guest	#4 0 22.01.2016 09:42:00 Ты уже понял, почему расширять свои широковещательные домены обычно — плохая мысль!

spippan

Guest

22.01.2016 09:45:00

Да, но если я не ошибаюсь, EoIP как раз и включает эту функцию? Было бы намного полезнее, если бы кто-то помог разобраться, как сделать так, чтобы DHCP-запросы с SiteA оставались на SiteA, а запросы с SiteB — на SiteB… Без обид, но я совсем застрял…

pe1chl

Guest

22.01.2016 10:11:00

Я считаю, что прежде чем пытаться соединить две существующие сети с помощью моста (как вы делаете, когда создаёте EoIP-туннель между ними), нужно сначала полностью понять, что это даст и какие могут возникнуть проблемы. Ваша текущая проблема с DHCP — всего лишь один из примеров. Может быть много других проблем, в зависимости от использования и нагрузки на сети. Конечно, можно применять фильтры, чтобы решать эти проблемы по одной, но сначала стоит решить, действительно ли вы хотите так делать и не будет ли маршрутизируемый VPN гораздо лучшим решением.

spippan

Guest

22.01.2016 11:26:00

Я понимаю, как это работает и что действительно может пойти не так… Это скорее лабораторная настройка и носит обучающий характер, связанный с EoIP и тем, как с ним (не) обращаться (поэтому всё виртуализировано в GNS3). У меня также есть много локаций, подключённых через OVPN с маршрутизируемыми сетями. Всё работает отлично, проблем пока нет, спасибо. Эта конфигурация — тестовая, возможно для дальнейшего внедрения удалённых сотрудников. Они будут подключаться через EoIP, и их клиенты должны будут получать запросы от DHCP-сервера на стороне EoIP Target (корпоративная сеть, к которой подключён удалённый сотрудник). Для резервирования может быть локальный DHCP в сети удалённого работника, но это пока лишь предварительный план… Сначала я хотел бы разобраться с проблемами вещания DHCP, прежде чем продолжать планирование и тестирование этого решения с EoIP. Кстати, туннель EoIP реализован поверх OVPN-туннеля между SiteA и SiteB, если эта информация хоть в чём-то важна (хотя вряд ли — основная цель здесь EoIP).

ZeroByte Guest	#8 0 22.01.2016 15:58:00 Я полностью согласен с Pe1chl — мост через VPN поверх публичного Интернета должен быть маршрутизируемым решением, а не мостовым. Есть ли причины использовать мосты? Конечно. Но в общем случае мосты через WAN создают гораздо больше проблем. Лично я отвечал на десятки обсуждений, где пользователи пытались обойти какую-то проблему, которая возникала именно из-за плохой архитектуры сети. Дело не в том, что что-то НЕЛЬЗЯ делать, а в том, что "это не самая лучшая идея". (Если бы смотритель зоопарка спросил на форуме зоопарка, как не дать аллигаторам съесть кроликов, ответ был бы: не сажайте кроликов с аллигаторами.) Разделение DHCP по WAN, который при этом надо мостить — решение шаткое. Проблема, которую пытаются решить, звучит так: "Я хочу, чтобы пользователи на площадке А всегда получали DHCP, даже если связь с площадкой Б пропадет." А как не дать пользователям на площадке А присвоить статические IP из диапазона площадки Б? Простой ответ — сделать их независимыми сетями и маршрутизировать между ними, чтобы при наличии канала они могли общаться, а при отсутствии — нет. Так обе сети живут самостоятельно, даже если связь упала. Хорошо, для лабораторных экспериментов можно и так. Как уже написали выше, достаточно прописать простое правило на мосту в обеих точках — заблокировать в цепочке forward любой UDP-трафик с портами назначения 67 или 68 — можно даже заблокировать исходные порты 67 или 68, чтобы DHCP-ответы, если они вдруг будут в широковещательном виде, тоже не проходили. Если я всё же делаю мост поверх WAN, то лично я не позволяю маршрутизаторам, создающим мост, участвовать в самой сети (то есть DHCP на каждой площадке на разных устройствах). Это с точки зрения провайдера, чтобы порт выглядел и работал как неуправляемый коммутатор.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры