как запретить раздачу dhcp адресов в другой сегмент сети

Тема в разделе "Маршрутизация", создана пользователем 10000volt, 6 апр 2016.

  1. 10000volt

    10000volt Участник

    Здравствуйте, есть такая ситуация, покупаем L2 VPN туннель у провайдера (Ростелеком).
    В каждом офисе есть свой dhcp сервер и своя подсеть.
    Если просто проводом соединим свичи офисов, будет каша разданных dhcp адресов в обоих офисах (поправьте если ошибаюсь).
    Поставить железо и настроить маршрутизацию в другом офисе отказались. Там стоит простой домашний роутер.
    Вопрос. Не ставя маршрутизаторы в обоих офисах можно как-то зарезать на mikrotik L2 пакеты, оставив только L3?
    P.S. в свой офис я могу поставить что угодно. Но скажем если я поставлю в свой офис маршрутизатор и пропишу у него нат на другую сеть, мне нужно будет указать и шлюз в той сети, а там только интернет на простом роутере.
     
  2. 10000volt

    10000volt Участник

    Т.е. задача просто не пускать раздачу адресов dhcp сквозь VPN туннель, что будет с остальным L2 трафиком всё равно.
    Как это сделать?
     
  3. Илья Князев

    Илья Князев Администратор Команда форума

    Ставите в разрыв соединения Ростелекома Mikrotik. Воткнув соответственно LAN и кабель VPN в езернет-порты.
    Объединяете эти порты в бридж.
    Далее либо пользуетесь Bridge Filters (можете например фильтровать трафик UDP по портам 67-68 и адресам 0.0.0.0 и 255.255.255.255)
    Или если функционала маловато, в Bridge Settings ставите галку Use IP Firewall и пользуетесь IP Firewall.
     
    10000volt нравится это.
  4. 10000volt

    10000volt Участник

    Спасибо Илья, много раз выручали советами.
     
  5. 10000volt

    10000volt Участник

    Теперь другая проблема.
    Есть бридж, в нем два порта, 1) порт который на VPN 2) порт лан через который dhcp раздает адреса локальным компьютерам. Они в бридже.
    Но dhcp отказывается раздавать на порт, соглашается только на бридж.
    Подскажите как можно решить?
    P.S.: т.е. условия те-же, резать dhcp раздачу из ВПН в сетку и обратно, но своей сетке адреса раздавать.
     
    Последнее редактирование: 25 апр 2016
  6. 10000volt

    10000volt Участник

    Вот что я написал:
    /interface bridge
    add name=bridge-vpn2lan

    /interface bridge port
    ** интерфейс к которому подключен vpn
    add bridge=bridge-vpn2lan interface=ether5
    ** интерфейс lan
    add bridge=bridge-vpn2lan interface=ether2

    ** если прописать правила на сам бридж
    /interface bridge filter
    add action=drop chain=input disabled=yes dst-address=255.255.255.255/32 dst-port=67-68 in-bridge=bridge-vpn2lan ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward disabled=yes dst-address=255.255.255.255/32 dst-port=67-68 in-bridge=bridge-vpn2lan ip-protocol=udp mac-protocol=ip
    ** тогда само-собой dhcp через бридж не ходит, но и через ether2 адреса не раздаются

    ** если прописать правила на ether5 (vpn)
    /interface bridge filter
    add action=drop chain=input dst-address=255.255.255.255/32 dst-port=67-68 in-interface=ether5 ip-protocol=udp mac-protocol=ip
    add action=drop chain=output dst-address=255.255.255.255/32 dst-port=67-68 ip-protocol=udp mac-protocol=ip out-interface=ether5
    add action=drop chain=forward dst-address=255.255.255.255/32 dst-port=67-68 in-interface=ether5 ip-protocol=udp mac-protocol=ip
    ** по факту "ловят" пакеты только "input in ether5 255.255.255.255" и "forward in ether5 255.255.255.255"
    ** при этом dhcp НЕ ПРОХОДИТ из ether2(lan) в ether5(vpn), и ПРОХОДИТ из ether5(vpn) в ether2(lan).

    Если я правильно понимаю эти правила относятся только к портам в бридже. Т.е. input ether5 указывает на пакеты идущие из бриджа в интерфейс 5.
    меняю output правило на:
    add action=drop chain=forward dst-address=255.255.255.255/32 dst-port=67-68 in-bridge=bridge-vpn2lan ip-protocol=udp mac-protocol=ip out-interface=ether5
    ** выходной интерфейс ether5, входной bridge-vpn2lan - работает, режет в обе стороны

    Будет-ли это правильным решением или это "костыли"?
    Если костыли то как прописать?
     
    Последнее редактирование: 25 апр 2016
  7. Илья Князев

    Илья Князев Администратор Команда форума

    Неа. input это пакет пришедший с интерфейса в бридж.
    Т.е.
    Input->Bridge decision -> Forward -> Output
    Но тут нюанс. В цепочку input IP Firewall оно не попадет.
    https://wiki.mikrotik.com/wiki/Manual:Packet_Flow#Bridging_with_use-ip-firewall.3Dyes
     
    Последнее редактирование модератором: 23 янв 2019