MikroTik - RB3011UiAS - 6.48 - postavení menší sítě

Ahoj,

včera jsem celý den řešil stavění sítě s MK a vůbec se mi to nepovedlo rozchodit. Je čas posílit zabezpečení mé malé firmy, ale jsem amatér, tak se omlouvám za nepřesné vyjadřování.

Jde o to, že mám na vstupu MikroTik RB3011UiAS verze 6.48.

Do ether 1 - WAN "teče internet" ; ether 9 je výstup do LAN přes co běží veškerý provoz. Ether 5 je propojen s dalším MK, kde je oddělená síť fyzicky. To měnit nechci.

Mám doteď jeden pool 192.168.0.0-192.168.0.255. Mám po celé firmě AP UniFi, které sbírají lidi a hází je do tohoto rozsahu.

Vytvořil jsem 6 POOLŮ:

1.) Návštěvníci - 192.168.0.1/24
2.) Ethernet - 192.168.2.1/24 - všichni připojeni po ETHERNETU
3.) WiFi - 192.168.3.1/24 - všichni připojení bezdrátově
4.) CAM - 192.168.4.1/24 - všechny kamery
5.) TECH - 192.168.5.1/24 - všechny technologické servery, tiskárny a další
6.) VPN - 192.168.6.1/24 - všichni klienti po SSTP - pro bezpečné připojení.

Mám jeden DHCP server, který běží v rozsahu na 192.168.0.1/24, což je v pořádku a tam všichni padají. Pokud chci vytvořit další DHCP servery, tak co jsem vystudoval je nutno fyzicky porty oddělit od bridge, aby to nebylo brané jako SLAVE a vytvořit nový bridge nebo to jde udělat VLAN. Testoval jsem tyto možnosti a nemohl jsem zaboha na toto přijít.

Docílil jsem toho, že jsem měl jedno DHCP na 192.168.0.1/24 tam padají lidi a pak přes DHCP leases jsem dle MAC přiřazoval IP do poolu to fungovalo, ale pak ten daný POOL neměl internet - účastník kterého jsem tam přiřadil. Nastavil jsem vše do Address listu, ARP listu a Leases.

Bohužel pak tato adresa neměla internet, ale není to ono co potřeubuji.

Chci, aby každý pool měl svůj DHCP jestli to správně chápu, tak každý pool bude mít VLAN a vytovřený DHCP server, kde si pak nastavím ARP-reply only kvůli tomu, aby si nikdo z nulové sítě 192.168.0.1/24 nevynutil další POOL.

Pool na nule bude mít ARP - enable pro návštěvníky.

Poté si ve FW - udělám pravidlo, aby 0 pool nemohl vidět do ostatních, to se mi povedlo. Ty všechny ostatní do sebe vidět můžou.

Posílám fotku z Tiku, jak mám nastaveno bez VLAN + menší schéma, jak bych si to představoval.

Omlouvám se předem jestli je to špatně pochopitelné. Snad jsem to popsal dobře.


Děkuji předem.


Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #1 kdy: 18. 01. 2021, 09:00:57 »
Podle popisu bude lepsi najit si vypomoc formou brigady, nebo si nastudovat zakladni fungovani siti nebo navstivit nejaky kurz..

Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #2 kdy: 18. 01. 2021, 09:43:54 »
Stačilo by mi vytvořit POOL pro návštěvníky, který bude mít defaultní DHCP a kdokoliv přijde a nebude zarezervovaný, tak zůstane v tomto poolu návštěva. Zamezit, aby si někdo mohl vynutit IP v druhém z rezervace. Je to nějak proveditelné na tom "šmejdu" - RB 3011? 😀

Rád bych se s MK naučil pracovat sám. Nemám problém někoho pronajmout, ale tato možnost je až na posledním místě pokud se mi toto nepodaří rozjet.

Děkuji za rady.

Jimmyx

  • ***
  • 113
    • Zobrazit profil
    • E-mail
Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #3 kdy: 18. 01. 2021, 09:56:35 »
MikroTik není žádný šmejd, běhají na tom dost velké sítě. Dělá to přesně to co tam člověk zadá, ale nesmí chtít zadat nesmylsné kombinace.

Nelze mít 2 DHCP servery na stejném rozhraní. Logicky. Který by měl na dotaz o IP asi odpovídat? Takže jedna cesta je oddělit rozhraní (fyzicky či VLANy) a tam pustit různé DHCP servery. Ty rozhraní pak musí ale mít správně zadané IP.

Lze mít více IP rozsahů v rámci jednoho DHCP serveru. Zadané kombinace IP/MAC to pak přiřazuje jak má, ale neznámím zařízení to pak přiřazuje IP z POOL(ů) od konce.

Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #4 kdy: 18. 01. 2021, 13:12:52 »
Z popisované situaci bych asi kromě VLAN doporučil ještě VRF. Určitě chcete, aby byly sítě pro návštěvníky, camy atp. oddělené maximálně od sebe. Dá se to sice udělat firewallovacími pravidly, ale je to náchylné na (bezpečnostní) chybu.


Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #5 kdy: 18. 01. 2021, 19:15:44 »
Mikrotik je pro amatéry vcelku tvrdý oříšek. Jak tu někdo píše, běhají na tom velké sítě a spolehlivě. Problém je prostě konfigurace, dá se tam zadat hromada parametrů, často protichůdných a zařízení neprotestuje. Prostě to fungovat nebude dokud nebude správná konfigurace.

Jde tu o základní neznalost při bridgování portů a přidělování IP, takže zbývá buď školení od i4wifi (zastoupení MT pro ČR), výměna za jinou ne tak složitou mašinku nebo k tomu na hodinku pustit někoho kdo tomu rozumí ..

Viděl jsem tady na Rootu moc pěkný formulář pro hlášení problémů s počítačem a je vcelku trefný na tuto situaci. Viz https://www.root.cz/clanky/postrehy-z-bezpecnosti-nebezpecne-zranitelne-tcp-ip-stacky/, formulář je na konci stránky.

Jimmyx

  • ***
  • 113
    • Zobrazit profil
    • E-mail
Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #6 kdy: 18. 01. 2021, 20:02:52 »
Amatéři s mikrotikem problém nemají, protože pro amatéry má mikrotik připraven po startu zařízení Quickset.

Ale to co tazatel požaduje už rozhodně není nic na úrovni amatéra, který netuší která bije. Na to co požaduje mu žádné jednoduché klikátko nepomůže, protože tady už je potřeba vědět jak přesně je co zapojeno a čeho přesně chci dosáhnout. A až pak z toho vznikne zadání co kam naklikat.

5nik

  • ***
  • 101
    • Zobrazit profil
    • E-mail
Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #7 kdy: 19. 01. 2021, 03:28:08 »
To co navrhujete nemá s bezpečností moc co společného. Mít více IP rozsahů na jednom L2 segmentu není zabezpečení. Nejčastějším řešením je segmentace do VLAN, nejjednoduší je statické přidělení portů na switchích do jednotlivých VLAN. Další možnosti jsou dynamické přiřazování VLAN na základě nějaké lokální tabulky MAC adres v switchích či jinak podmíněné (MAC vendor ID), sofistikovanější je přiřazování VLAN pomocí 802.1x / radius serveru. Obdobně na AP. Předpokládá to alespoň (easy) smart switche s adekvátní podporou funkcí.

MikyM

  • ***
  • 124
    • Zobrazit profil
Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #8 kdy: 03. 02. 2021, 21:18:25 »
Ahoj,

.....Je čas posílit zabezpečení mé malé firmy....

Do ether 1 - WAN "teče internet" ; ether 9 je výstup do LAN přes co běží veškerý provoz. Ether 5 je propojen s dalším MK, kde je oddělená síť fyzicky. To měnit nechci.

.......

Mám jeden DHCP server, který běží v rozsahu na 192.168.0.1/24, což je v pořádku a tam všichni padají. Pokud chci vytvořit další DHCP servery, tak co jsem vystudoval je nutno fyzicky porty oddělit od bridge, aby to nebylo brané jako SLAVE a vytvořit nový bridge nebo to jde udělat VLAN. .....

Přiznám se, že zadání a popis stavu není pro mě úplně srozumitelný.
Pokud většina teče přes jeden fyzický port (eth9) a cílem je posílit bezpečnost pak to bez VLAN a prvků v sítí, které toto podporují a respektují moc nepůjde. Další možnost je natahat více kabelů a využít další porty.

RB3011 je celkem povedený, vzhledem ke skupině na který tento model cílí je nutno brát v úvahu více věcí:

https://i.mt.lv/cdn/product_files/RB3011UiAS-160307123613_160313.png

Hodně provozu přes eth9, WAN na eth1, další MK na eth5. Hodně toho půjde přes CPU.

https://wiki.mikrotik.com/wiki/Manual:Interface/VLAN
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge

Odpověd je tedy ano, vydefinují se VLAN a na ně požadované DHCP a přiřazené pooly.

Podobných rad jako zde je na webu více.
https://www.i4wifi.cz/cs/faq/425-10-nejcastejsich-chyb-pri-konfiguraci-routeros-1-2

Pokud se tomu člověk nechce aktivně věnovat a navíc je to pro firmu, doporučuji investovat nějákou tu korunu, najmout si na to člověka a věnovat se podnikání. Ve výsledku to ušetří čas i peníze.

David

  • ***
  • 114
    • Zobrazit profil
Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #9 kdy: 03. 02. 2021, 21:45:57 »
Docela šmejd to je, jak to tak vypadá - https://ispforum.cz/d/22240-3011-a-flapping-portu/39 .

MikyM

  • ***
  • 124
    • Zobrazit profil
Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #10 kdy: 04. 02. 2021, 00:00:40 »
Docela šmejd to je, jak to tak vypadá - https://ispforum.cz/d/22240-3011-a-flapping-portu/39 .
Problém s port flapping má více modelů od Mikrotiku, bohužel dosud plně nevyřešená chyba :-/
Šmejdem bych to ale nenazval, 3011 funguje výborně už pár let, jen tam člověk nesmí míchat 1gbit a 100mbit v rámci jednoho switch chipu.

robac

  • ***
  • 158
    • Zobrazit profil
    • E-mail
Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #11 kdy: 04. 02. 2021, 10:49:33 »
Docela šmejd to je, jak to tak vypadá - https://ispforum.cz/d/22240-3011-a-flapping-portu/39 .

Dobře  :)
Pak mi ukažte jakékoliv zařízení, které šmejd není...

Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #12 kdy: 04. 02. 2021, 16:55:12 »
RouterOS verze 6.48 má těch chyb víc, třeba CRS125-24G-1S mi s ní neswitchuje IPv6 multicasty, takže přestala fungovat autokonfigurace. Řekla bych, že Mikrotik tuhle verzi nechá úplně plavat a pustí ven rovnou 6.49 - alespoň včera se po víc než měsíci ticha po pěšině objevila v repozitáři testing verze 6.49beta11.

Naštěstí problémy zatažené do verze 6.48 se nechají snadno odstranit downgradem na 6.47.8.

Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #13 kdy: 05. 02. 2021, 10:12:57 »
Řekla bych, že Mikrotik tuhle verzi nechá úplně plavat a pustí ven rovnou 6.49 - alespoň včera se po víc než měsíci ticha po pěšině objevila v repozitáři testing verze 6.49beta11.

Hmm, není lehké být prorokem. Právě vyšla 6.48.1. :-)

MikyM

  • ***
  • 124
    • Zobrazit profil
Re:MikroTik - RB3011UiAS - 6.48 - postavení menší sítě
« Odpověď #14 kdy: 05. 02. 2021, 12:26:17 »
Řekla bych, že Mikrotik tuhle verzi nechá úplně plavat a pustí ven rovnou 6.49 - alespoň včera se po víc než měsíci ticha po pěšině objevila v repozitáři testing verze 6.49beta11.

Hmm, není lehké být prorokem. Právě vyšla 6.48.1. :-)

Mikrotik má hodně problémů pramenící z ROS 6.
Modely mají nový HW ale jeho využití limituje starý kernel v ROS 6 a nové funkce se tak implementují lepením a obcházením co jim síly stačí. 

ROS 7 se sice začal konečně pomalu hýbat ale do finále je daleko :-(

https://mikrotik.com/download/changelogs/development-release-tree