Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: f4kepower 18. 01. 2021, 08:26:55

Název: MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: f4kepower 18. 01. 2021, 08:26:55
Ahoj,

včera jsem celý den řešil stavění sítě s MK a vůbec se mi to nepovedlo rozchodit. Je čas posílit zabezpečení mé malé firmy, ale jsem amatér, tak se omlouvám za nepřesné vyjadřování.

Jde o to, že mám na vstupu MikroTik RB3011UiAS verze 6.48.

Do ether 1 - WAN "teče internet" ; ether 9 je výstup do LAN přes co běží veškerý provoz. Ether 5 je propojen s dalším MK, kde je oddělená síť fyzicky. To měnit nechci.

Mám doteď jeden pool 192.168.0.0-192.168.0.255. Mám po celé firmě AP UniFi, které sbírají lidi a hází je do tohoto rozsahu.

Vytvořil jsem 6 POOLŮ:

1.) Návštěvníci - 192.168.0.1/24
2.) Ethernet - 192.168.2.1/24 - všichni připojeni po ETHERNETU
3.) WiFi - 192.168.3.1/24 - všichni připojení bezdrátově
4.) CAM - 192.168.4.1/24 - všechny kamery
5.) TECH - 192.168.5.1/24 - všechny technologické servery, tiskárny a další
6.) VPN - 192.168.6.1/24 - všichni klienti po SSTP - pro bezpečné připojení.

Mám jeden DHCP server, který běží v rozsahu na 192.168.0.1/24, což je v pořádku a tam všichni padají. Pokud chci vytvořit další DHCP servery, tak co jsem vystudoval je nutno fyzicky porty oddělit od bridge, aby to nebylo brané jako SLAVE a vytvořit nový bridge nebo to jde udělat VLAN. Testoval jsem tyto možnosti a nemohl jsem zaboha na toto přijít.

Docílil jsem toho, že jsem měl jedno DHCP na 192.168.0.1/24 tam padají lidi a pak přes DHCP leases jsem dle MAC přiřazoval IP do poolu to fungovalo, ale pak ten daný POOL neměl internet - účastník kterého jsem tam přiřadil. Nastavil jsem vše do Address listu, ARP listu a Leases.

Bohužel pak tato adresa neměla internet, ale není to ono co potřeubuji.

Chci, aby každý pool měl svůj DHCP jestli to správně chápu, tak každý pool bude mít VLAN a vytovřený DHCP server, kde si pak nastavím ARP-reply only kvůli tomu, aby si nikdo z nulové sítě 192.168.0.1/24 nevynutil další POOL.

Pool na nule bude mít ARP - enable pro návštěvníky.

Poté si ve FW - udělám pravidlo, aby 0 pool nemohl vidět do ostatních, to se mi povedlo. Ty všechny ostatní do sebe vidět můžou.

Posílám fotku z Tiku, jak mám nastaveno bez VLAN + menší schéma, jak bych si to představoval.

Omlouvám se předem jestli je to špatně pochopitelné. Snad jsem to popsal dobře.


Děkuji předem.
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: IDontCare 18. 01. 2021, 09:00:57
Podle popisu bude lepsi najit si vypomoc formou brigady, nebo si nastudovat zakladni fungovani siti nebo navstivit nejaky kurz..
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: f4kepower 18. 01. 2021, 09:43:54
Stačilo by mi vytvořit POOL pro návštěvníky, který bude mít defaultní DHCP a kdokoliv přijde a nebude zarezervovaný, tak zůstane v tomto poolu návštěva. Zamezit, aby si někdo mohl vynutit IP v druhém z rezervace. Je to nějak proveditelné na tom "šmejdu" - RB 3011? 😀

Rád bych se s MK naučil pracovat sám. Nemám problém někoho pronajmout, ale tato možnost je až na posledním místě pokud se mi toto nepodaří rozjet.

Děkuji za rady.
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: Jimmyx 18. 01. 2021, 09:56:35
MikroTik není žádný šmejd, běhají na tom dost velké sítě. Dělá to přesně to co tam člověk zadá, ale nesmí chtít zadat nesmylsné kombinace.

Nelze mít 2 DHCP servery na stejném rozhraní. Logicky. Který by měl na dotaz o IP asi odpovídat? Takže jedna cesta je oddělit rozhraní (fyzicky či VLANy) a tam pustit různé DHCP servery. Ty rozhraní pak musí ale mít správně zadané IP.

Lze mít více IP rozsahů v rámci jednoho DHCP serveru. Zadané kombinace IP/MAC to pak přiřazuje jak má, ale neznámím zařízení to pak přiřazuje IP z POOL(ů) od konce.
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: Miroslav Šilhavý 18. 01. 2021, 13:12:52
Z popisované situaci bych asi kromě VLAN doporučil ještě VRF. Určitě chcete, aby byly sítě pro návštěvníky, camy atp. oddělené maximálně od sebe. Dá se to sice udělat firewallovacími pravidly, ale je to náchylné na (bezpečnostní) chybu.
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: Vojtěch Ších 18. 01. 2021, 19:15:44
Mikrotik je pro amatéry vcelku tvrdý oříšek. Jak tu někdo píše, běhají na tom velké sítě a spolehlivě. Problém je prostě konfigurace, dá se tam zadat hromada parametrů, často protichůdných a zařízení neprotestuje. Prostě to fungovat nebude dokud nebude správná konfigurace.

Jde tu o základní neznalost při bridgování portů a přidělování IP, takže zbývá buď školení od i4wifi (zastoupení MT pro ČR), výměna za jinou ne tak složitou mašinku nebo k tomu na hodinku pustit někoho kdo tomu rozumí ..

Viděl jsem tady na Rootu moc pěkný formulář pro hlášení problémů s počítačem a je vcelku trefný na tuto situaci. Viz https://www.root.cz/clanky/postrehy-z-bezpecnosti-nebezpecne-zranitelne-tcp-ip-stacky/ (https://www.root.cz/clanky/postrehy-z-bezpecnosti-nebezpecne-zranitelne-tcp-ip-stacky/), formulář je na konci stránky.
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: Jimmyx 18. 01. 2021, 20:02:52
Amatéři s mikrotikem problém nemají, protože pro amatéry má mikrotik připraven po startu zařízení Quickset (http://´https://wiki.mikrotik.com/wiki/Manual:Quickset).

Ale to co tazatel požaduje už rozhodně není nic na úrovni amatéra, který netuší která bije. Na to co požaduje mu žádné jednoduché klikátko nepomůže, protože tady už je potřeba vědět jak přesně je co zapojeno a čeho přesně chci dosáhnout. A až pak z toho vznikne zadání co kam naklikat.
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: 5nik 19. 01. 2021, 03:28:08
To co navrhujete nemá s bezpečností moc co společného. Mít více IP rozsahů na jednom L2 segmentu není zabezpečení. Nejčastějším řešením je segmentace do VLAN, nejjednoduší je statické přidělení portů na switchích do jednotlivých VLAN. Další možnosti jsou dynamické přiřazování VLAN na základě nějaké lokální tabulky MAC adres v switchích či jinak podmíněné (MAC vendor ID), sofistikovanější je přiřazování VLAN pomocí 802.1x / radius serveru. Obdobně na AP. Předpokládá to alespoň (easy) smart switche s adekvátní podporou funkcí.
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: MikyM 03. 02. 2021, 21:18:25
Ahoj,

.....Je čas posílit zabezpečení mé malé firmy....

Do ether 1 - WAN "teče internet" ; ether 9 je výstup do LAN přes co běží veškerý provoz. Ether 5 je propojen s dalším MK, kde je oddělená síť fyzicky. To měnit nechci.

.......

Mám jeden DHCP server, který běží v rozsahu na 192.168.0.1/24, což je v pořádku a tam všichni padají. Pokud chci vytvořit další DHCP servery, tak co jsem vystudoval je nutno fyzicky porty oddělit od bridge, aby to nebylo brané jako SLAVE a vytvořit nový bridge nebo to jde udělat VLAN. .....

Přiznám se, že zadání a popis stavu není pro mě úplně srozumitelný.
Pokud většina teče přes jeden fyzický port (eth9) a cílem je posílit bezpečnost pak to bez VLAN a prvků v sítí, které toto podporují a respektují moc nepůjde. Další možnost je natahat více kabelů a využít další porty.

RB3011 je celkem povedený, vzhledem ke skupině na který tento model cílí je nutno brát v úvahu více věcí:

https://i.mt.lv/cdn/product_files/RB3011UiAS-160307123613_160313.png (https://i.mt.lv/cdn/product_files/RB3011UiAS-160307123613_160313.png)

Hodně provozu přes eth9, WAN na eth1, další MK na eth5. Hodně toho půjde přes CPU.

https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN (https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN)
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge (https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge)

Odpověd je tedy ano, vydefinují se VLAN a na ně požadované DHCP a přiřazené pooly.

Podobných rad jako zde je na webu více.
https://www.i4wifi.cz/cs/faq/425-10-nejcastejsich-chyb-pri-konfiguraci-routeros-1-2 (https://www.i4wifi.cz/cs/faq/425-10-nejcastejsich-chyb-pri-konfiguraci-routeros-1-2)

Pokud se tomu člověk nechce aktivně věnovat a navíc je to pro firmu, doporučuji investovat nějákou tu korunu, najmout si na to člověka a věnovat se podnikání. Ve výsledku to ušetří čas i peníze.
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: David 03. 02. 2021, 21:45:57
Docela šmejd to je, jak to tak vypadá - https://ispforum.cz/d/22240-3011-a-flapping-portu/39 .
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: MikyM 04. 02. 2021, 00:00:40
Docela šmejd to je, jak to tak vypadá - https://ispforum.cz/d/22240-3011-a-flapping-portu/39 .
Problém s port flapping má více modelů od Mikrotiku, bohužel dosud plně nevyřešená chyba :-/
Šmejdem bych to ale nenazval, 3011 funguje výborně už pár let, jen tam člověk nesmí míchat 1gbit a 100mbit v rámci jednoho switch chipu.
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: robac 04. 02. 2021, 10:49:33
Docela šmejd to je, jak to tak vypadá - https://ispforum.cz/d/22240-3011-a-flapping-portu/39 .

Dobře  :)
Pak mi ukažte jakékoliv zařízení, které šmejd není...
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: Jana J. 04. 02. 2021, 16:55:12
RouterOS verze 6.48 má těch chyb víc, třeba CRS125-24G-1S mi s ní neswitchuje IPv6 multicasty, takže přestala fungovat autokonfigurace. Řekla bych, že Mikrotik tuhle verzi nechá úplně plavat a pustí ven rovnou 6.49 - alespoň včera se po víc než měsíci ticha po pěšině objevila v repozitáři testing (https://mikrotik.com/download/changelogs/testing) verze 6.49beta11.

Naštěstí problémy zatažené do verze 6.48 se nechají snadno odstranit downgradem na 6.47.8.
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: Jana J. 05. 02. 2021, 10:12:57
Řekla bych, že Mikrotik tuhle verzi nechá úplně plavat a pustí ven rovnou 6.49 - alespoň včera se po víc než měsíci ticha po pěšině objevila v repozitáři testing (https://mikrotik.com/download/changelogs/testing) verze 6.49beta11.

Hmm, není lehké být prorokem. Právě vyšla 6.48.1. :-)
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: MikyM 05. 02. 2021, 12:26:17
Řekla bych, že Mikrotik tuhle verzi nechá úplně plavat a pustí ven rovnou 6.49 - alespoň včera se po víc než měsíci ticha po pěšině objevila v repozitáři testing (https://mikrotik.com/download/changelogs/testing) verze 6.49beta11.

Hmm, není lehké být prorokem. Právě vyšla 6.48.1. :-)

Mikrotik má hodně problémů pramenící z ROS 6.
Modely mají nový HW ale jeho využití limituje starý kernel v ROS 6 a nové funkce se tak implementují lepením a obcházením co jim síly stačí. 

ROS 7 se sice začal konečně pomalu hýbat ale do finále je daleko :-(

https://mikrotik.com/download/changelogs/development-release-tree
Název: Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
Přispěvatel: svaca-gmork 05. 02. 2021, 13:26:04
Na postaveni mensi site na mikrotiku potrebujete jedine radu CRS3XX.

Je to jedinna rada, co v bridge umi HW offload s VLANama a BONDem atd...

https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_Offloading

Zadna jina rada se na switchovani na router os nehodi a snizujete si vykon, protoze to pak cele taha CPU ...

Pak jsou tu jeste prvky se SW OS, ale to je opravdu sracka