Add arp for leases mikrotik что это

Записки IT специалиста

Используем режим ARP reply-only для повышения безопасности сети на оборудовании Mikrotik

Автор: Уваров А.С.
19.11.2021

Безопасность небольших сетей — больная тема для большинства администраторов, особенно если это сети небольших филиалов, торговых точек и т.д. и т.п. Обычно ситуация усугубляется ограниченными бюджетами на оборудование и отсутствием самого понятия информационной безопасности у пользователей таких сетей. Вполне распространённой практикой является свободный доступ к сетевому оборудованию и гуляющий по рукам пароль Wi-Fi. Что можно сделать в такой ситуации? Довольно многое, если у вас на руках оборудование Mikrotik, а как — расскажем в данной статье.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Прежде всего сформулируем задачу. Основную проблему небольших сетей можно выразить одной фразой — «проходной двор». Сетевое оборудование часто располагается, где придется и физический доступ к нему никем не контролируется, также плохо все и с политиками безопасности, очень часто сотрудники просто не понимают, что плохого в том, если они «поделятся» Wi-Fi с соседями по офисному центру.

Поэтому у многих администраторов есть запрос на то, чтобы нормально функционировать в пределах сети могли только доверенные устройства, а остальные, даже физически подключившись к ней, были бы крайне ограничены в сетевых возможностях. Аналогичная потребность есть и в учебных заведениях, но там несколько иная подоплека, заключающаяся в защите детей от информации, причиняющей вред их здоровью и развитию. Если перевести это с официального на русский, то ни при каких обстоятельствах устройство, подключенное в сеть учебного заведения не должно получить выход в интернет без многочисленной фильтрации запрашиваемого контента.

В общем задача понятна — построить сеть, в которой смогут работать только те устройства, которые будут явно одобрены администратором. Теперь посмотрим, какими средствами мы можем ее решить. Для этого снова вспомним как работают сети. Когда мы говорим о небольшой локальной сети, то подразумеваем IP-сеть поверх Ethernet. Вот об Ethernet сейчас и поговорим.

Протокол IP, являясь протоколом сетевого уровня (L3), решает вопросы доставки пакетов между сетями, внутри же сети взаимодействие между узлами происходит на канальном уровне — L2. Для того, чтобы отправить кадр, а сети Ethernet оперируют именно кадрами, необходимо знать физический адрес (MAC) узла назначения. Но заголовки IP-пакета содержат только IP-адреса, как быть? Использовать протокол ARP, позволяющий получить MAC-адрес зная IP-адрес узла.

Протокол достаточно прост, узел, который хочет узнать MAC-адрес другого узла отправляет широковещательный запрос «у кого адрес 192.168.0.х ответьте 192.168.0.y«, этот запрос получают все узлы, но отвечает только обладатель адреса «я 192.168.0.х, мой адрес 00:11:22:33:44:55«.

Получив ответ на ARP-запрос узел помещает его в специальную таблицу, чтобы повторно не запрашивать при каждом обращении и формирует Ethernet-кадр для указанного MAC-адреса.

Как это может нам помочь? У Mikrotik есть несколько режимов работы с протоколом ARP, один из них — reply-only — подразумевает что устройство не делает ARP-запросов, а отвечает только тем узлам, данные о которых занесены в ARP-таблицу вручную. Проще говоря, с данной настройкой роутер будет взаимодействовать только с теми устройствами, которые явно укажет администратор.

Кроме того, DHCP-сервер Mikrotik имеет режим, в котором адреса будут выдаваться только тем узлам, для которых включено резервирование, т.е. прописано явное соответствие между MAC-адресом и выдаваемым IP. Сочетание этих двух возможностей позволяет значительно повысить безопасность небольших сетей, не теряя при этом удобства администрирования.

Но начнем мы с того, что просто настроим сеть обычным образом. Теперь, если заглянуть в IP — DHCP Server — Leases — то мы увидим выданные узлам сети IP-адреса, а в IP — ARP можем увидеть ARP-таблицу.

Обратите внимание, что содержимое ARP-таблицы отличается от списка выданных адресов, к примеру в ней присутствует адрес 192.168.111.2 — это устройство со статически настроенным адресом, но так как оно взаимодействовало с роутером записи о нем попали в ARP-таблицу.

Итак, сеть настроена, подключенные устройства отображаются в указанных выше таблицах. Это хорошо. Для чего мы так поступили? Чтобы не заполнять руками данные для привязки устройств к DHCP-серверу и таблице ARP. Начнем с DHCP, выбираем нужный нам узел и в меню правой кнопки мыши нажимаем Make Static.

Выполнив данное действие для всех известных узлов переведем DHCP-сервер в режим статического пула, т.е. выдачи адресов только указанным узлам. Для этого перейдем в IP — DHCP Server — DHCP и откроем настройки экземпляра сервера, в нем изменим настройку Address Pool на static-only.

Половина дела сделана, теперь идем в IP — ARP и выполняем аналогичную операцию для записей известных узлов, точно также делаем для них Make Static, при этом не забываем про записи узлов со статическими адресами.

Выполнив эти действия, перейдем в свойства интерфейса, смотрящего в локальную сеть, скорее всего это будет сетевой мост (bridge), и изменим опцию ARP на reply-only.

Обратите внимание, как изменилась после этого ARP-таблица, из нее пропали все динамические записи для данного интерфейса.

Как на это отреагирует сеть? Для тех устройств, которые мы прописали, не изменится ничего, а вот все остальные теперь просто не смогут получить IP-адрес, но это полбеды, а если кто-то введет его вручную? Да пусть вводит, так как запись об этом узле отсутствует в ARP-таблице, то роутер не будет ему отвечать, даже пропинговать его не удастся.

Как видим, достаточно простые настройки позволили нам существенно поднять безопасность сети, но как быть, если появится новый узел? Вам придется вручную добавить записи для него на DHCP-сервер и в ARP-таблицу.

Либо можно включить опцию Add ARP For Leases в настройках DHCP-сервера и тогда ARP-таблица будет заполняться автоматически для выданных адресов.

Как видим — это несложно, но требует постоянной ручной работы, поэтому данный метод подходит только для небольших сетей. В тоже время он показывает всю гибкость RouterOS, которая позволяет решать достаточно сложные сетевые задачи даже на самом недорогом оборудовании.

Дополнительные материалы:

Mikrotik

The Dude

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал:

Name already in use

mikrotik-mtcna / m5-network-management.md

Go to file T
Go to line L
Copy path
Copy permalink

Open with Desktop
View raw
Copy raw contents Copy raw contents

Copy raw contents

M5 Network Management

Означает “Address Resolution Protocol” — «Протокол определения адреса”
Механизм, который связывает IP-адрес уровня 3 с MAC-адресом уровня 2
Обычно используется как динамический процесс, но может быть сконфигурирован статически в определенных ситуациях, когда этого требует безопасность

«Режимы ARP» расскажут RouterOS, как должен работать ARP
- Режимы настраиваются по принципу «на интерфейсе».
- Enabled: режим по умолчанию. На запросы ARP будут даны ответы и таблица ARP будет заполнена автоматически
- Disabled: интерфейс не будет отправлять или отвечать на запросы ARP. Другим хостам необходимо сообщить MAC-адрес маршрутизатора
- Proxy ARP: маршрутизатор отвечает на запрос ARP, поступающий для его непосредственно подключенной сети (независимо от источника)
- Reply only: маршрутизатор отвечает на запросы ARP. Таблица ARP маршрутизатора должна быть заполнена статически
Таблица ARP RouterOS
- Таблица ARP отображает все записи ARP и интерфейс, из которого они извлекаются
- Таблица ARP предоставляет:
  - IP-адрес известных устройств
  - MAC-адреса, связанные с IP-адресами
  - Интерфейсы, с которых они были извлечены
  - Может избежать заражения/подмены ARP
  - Требует много работы и планирования
  - Просмотр таблицы ARP:
    - /ip arp print
    - /ip arp add address=172.16.2.222 macaddress=11:22:33:44:55:66 interface=Bridge-PC
    - /interface ethernet set ether04 arp=proxyarp
    DHCP сервер и клиент
    - Расшифровывается как Dynamic Host Configuration Protocol — протокол динамической настройки узла
    - Он используется для автоматического выделения IP-адреса, маски сети, шлюза по умолчанию и, возможно, других параметров запрашиваемых узлом
    Интерфейс, на котором размещается DHCP-сервер, должен иметь собственный IP-адрес, отсутствующий в пуле адресов
    - Пул — это диапазон IP-адресов, которые будут доступны клиентам.
    В окне DHCP-сервера просто нажмите на кнопку «DHCP Setup» и ответьте на вопросы
    - DHCP Server Interface — интерфейс DHCP-сервера
    - DHCP Address Space — адресное пространство dhcp
    - Gateway for DHCP Network — шлюз для DHCP-сети
    - Addresses to Give Out — адреса для выдачи
    - DNS Servers (можно ввести более одного)
    - Lease Time — время аренды
    - Создаем пул IP-адресов:
      - Пул IP-адресов для назначения
      - Его имя и параметры (например, интерфейс, от которого он будет принимать запросы)
      - IP-сеть и различные параметры
      Результаты автоматизированной настройки
      - DHCP можно использовать для настройки таких параметров, как:
        
        42: серверы NTP
        
        70: POP3-сервер
        
        Посетите для получения дополнительных параметров DHCP
        
        Если у вас есть бриджевое пространство, DHCP-сервер должен быть установлен на интерфейсе бриджа. Если он установлен на порту бриджа, DHCP-сервер не будет работать.
        
        Настройка области DHCP
        
        /ip dhcp-server setup
        
        /ip dhcp-server option add name=46-node-type code=46 value=0x0008
        
        /ip dhcp-server network print (для просмотра доступных сетей)
        
        /ip dhcp-server network set dhcp-option=46-node-type numbers=1
        
        /ip dhcp-server network set wins-server=172.16.2.100 numbers=1
        
        Конфигурация DHCP-сервера “Networks”
        
        Пример базовой конфигурации
        
        Пример расширенной конфигурации
        
        Позволяет Ethernet-подобным интерфейсам запрашивать IP-адрес.
        
        Удаленный DHCP-сервер будет предоставлять:
        
        Адрес
        
        Маска
        
        Шлюз по умолчанию
        
        Два DNS-сервера (если удаленный DHCP-сервер настроен таким образом)
        
        Имя хоста
        
        Clientid (в виде его MAC-адреса)
        
        Настройка интерфейса DHCP-клиента
        
        /ip dhcp-client add interface=ether5 dhcp-options=clientid,hostname
        
        /ip dhcp-client print
        
        /ip dhcp-client enable numbers=1
        
        /ip address print
        
        Раздел «/ip dhcp-server lease» содержит информацию о DHCP-клиентах и арендах
        
        Показывает динамическую и статическую аренду.
        
        Может превратить динамическую аренду в статическую
        
        Может быть очень полезно, когда устройство должно получать один и тот же IP-адрес
        
        Осторожно! Если вы замените сетевую карту — она получит новый адрес
        
        Синтаксис управления арендой
        
        Просмотр аренд DHCP
        
        /ip dhcp-server lease print
        
        /ip dhcp-server lease print detail (gives moredetailed information)
        
        /ip dhcp-server lease make-static numbers=0
        
        /ip dhcp-server lease set address=192.168.3.100 numbers=0
        
        Инструмент, позволяющий отправлять электронную почту с маршрутизатора
        
        Его, например, можно использовать, наряду с другими инструментами, для отправки администратору сети регулярных резервных копий конфигурации
        
        Путь к инструменту в CLI
        
        /tools e-mail
        
        Настройка SMTP-сервера
        
        /tool e-mail set address=172.31.2.1 from=mymail@gmail.com last-status=succeeded password=never123! \
        
        port=587 start-tls=yes user=mymail@gmail.com
        
        /export file=export
        
        /tool e-mail send to=home@gmail.com subject=»$[/system identity get name] export»\
        
        body=»$\[/system clock get date] configuration file» file=export.rsc
        
        Инструмент, позволяющий контролировать состояние сетевых устройств
        
        Для каждой записи вы можете указать
        
        IP-адрес
        
        Интервал пинга
        
        Скрипты подъема и/или падения
        
        Будьте в курсе сетевых сбоев
        
        Автоматизировать изменение шлюза по умолчанию, например, в случае сбоя основного маршрутизатора
        
        Просто чтобы быстро увидеть, что происходит
        
        Все, что вы можете придумать, чтобы упростить и ускорить вашу работу (и заставить вас выглядеть эффективно!)
        
        Базовый инструмент связи, использующий эхо-сообщения ICMP для определения доступности удаленного хоста и задержки обратного хода.
        
        Один из первых инструментов для устранения неполадок. Если он пингует — хост жив (с точки зрения сети)
        
        Используйте его с другими инструментами при устранении неполадок. Это не самый лучший инструмент, но хорошее начало.
        
        Используется для отображения всех маршрутизаторов, пройденных до места назначения
        
        Указывает на задержку при достижении каждого маршрутизатора в пути по достижению пункта назначения
        
        Хорош для обнаружения сбоя или медленного узла
        
        CLI
        
        Profiler (загрузка ЦП)
        
        Инструмент, показывающий загрузку процессора
        
        Показывает процессы и их нагрузку на ЦП
        
        Примечание: “idle” (бездействие) — это не процесс. Это означает именно это; процент неиспользуемого процессора
        
        Хотя это не инструмент, важно установить идентичность системы
        
        Вы не можете управлять 100 маршрутизаторами, которые все имеют имя «MikroTik». Это делает устранение неполадок практически невозможным.
        
        После установки он значительно упростит идентификацию маршрутизатора, с которым вы работаете.
        
        /system identity print (показать текущее имя)
        
        /system identity set name=my-router (задать имя маршрутизатора)
        
        Обращение в службу поддержки Mikrotik
        
        Supout.rif это файл поддержки, используемый для отладки RouterOS и помогающий персоналу службы поддержки Mikrotik быстрее решать проблемы
        
        Синтаксис
        
        CLI: /system sup-output
        
        Чтобы получить доступ к «supout.rif viewer», необходимо иметь доступ к учетной записи Mikrotik
        
        У вас должен быть аккаунт (это хорошая идея, чтобы иметь его в любом случае)
        
        Первые шаги — найти и загрузить созданный файл.
        
        Начните просматривать все аспекты вашей конфигурации.
        
        Просмотр по умолчанию — “ресурсы”
        
        Файл может быть сгенерирован автоматически при программном сбое (напр. kernel panic или the system becomes unresponsive for a minute)
        
        Сделано через watchdog (сторожевого пса) (системно)
        
        Системное логирование и журналы отладки
        
        Логирование важно для обеспечения истории событий маршрутизатора (постоянной или нет)
        
        Самый простой способ просмотра журналов — через окно «log» (Меню).
        
        Эквивалент CLI:
        
        /log print
        
        Задачи, которые маршрутизатор будет выполнять с определенными событиями
        
        Правила указывающие маршрутизатору, какое «действие» предпринять
        
        Существует пять типов действий, поэтому вы можете иметь очень гибкую систему ведения журнала
        
        Вы должны сначала определить новые «действия», поскольку пользовательские действия не будут доступны вашим «правилам», пока они не будут созданы
        
        Они указывают RouterOS, какое «действие» предпринять с данным событием (которое называется «темой»)
        
        Вы можете иметь несколько правил для одной и той же темы, каждое правило выполняет различное «действие»
        
        Вы можете иметь одно правило с двумя или более темами, выполняя «действие»
        
        Добавить правило просто: выберите одну или несколько тем, назовите правило, выберите одно действие. (Именно поэтому предлагается сначала создать действия)
        
        Синтаксис системного журнала
        
        Просмотр правил
        
        /system logging print
        
        /system logging action print
        
        /system logging action
        
        add bsd-syslog=yes name=firewallJournal remote=172.16.1.105 src-address=10.5.5.5 syslog-facility=local5 target=remote
        
        /system logging
        
        add action=firewallJournal prefix=FW topics=firewall
        
        Куда отправляются журналы
        
        Как указано в разделе «actions»(действия), журналы можно найти в пяти местах:
        
        Диск: Жесткий диск на маршрутизаторе
        
        Эхо: консоль маршрутизатора (если присутствует)
        
        Электронная почта: предопределенная учетная запись электронной почты
        
        Память: внутренняя память маршрутизатора (как показано в окне «log»)
        
        Удаленный syslog-сервер
        
        АКА «Сделайте это ясно(чисто)!”
        
        Неизвестность — ваш злейший враг. Держите ваши конфигурации ясными и читаемыми через комментарии, имена и единообразие
        
        Комментарии: дайте простое описание предмету
        
        Имена: сделайте его значимым
        
        Единообразие: делайте все одинаково везде
        
        Зачем вам все это делать?
        
        Для себя. В долгосрочной перспективе это упростит вашу работу и заставит вас выглядеть эффективным (снова)
        
        Хорошо нарисованная диаграмма — это обязательно! Даже если вы начнете со скромного начала, ваша сеть будет расти
        
        Mikrotik: DHCP
        
        В данной статье рассмотрим процесс настройки DHCP-сервера на маршрутизаторе Mikrotik.
        
        Сейчас для подключения к роутеру необходимо вручную выставлять IP-адрес на устройствах в локальной сети. Чтобы это не требовалось, как раз и необходим DHCP-сервер.
        
        DHCP (англ. Dynamic Host Configuration Protocol — протокол динамической настройки узла)
        
        — прикладной протокол, позволяющий сетевым устройствам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети TCP/IP.
        
        Для начала необходимо задать диапазон адресов, которые будут раздаваться клиентам в локальной сети. Выбираем в Winbox пункт IP — Pool:
        
        И добавляем новый пул адресов:
        
        В данном случае клиентам будет доступен 91 адрес от 192.168.10.10 до 192.168.10.100 . Количество адресов можно уменьшить на своё усмотрение как в большую, так и в меньшую сторону. Главное соблюдать следующие правила:
        
        Количество доступных адресов должно быть больше количества устройств, которые могут одновременно подключиться к вашей сети.
        
        Нельзя включать в пул IP-адрес самого роутера.
        
        Нельзя включать в пул широковещательный адрес (последний адрес в подсети, в нашем случае 192.168.10.255).
        
        Таким образом, максимально возможный пул будет выглядеть следующим образом: 192.168.10.2-192.168.10.254 .
        
        Если вы создаёте несколько пулов адресов и хотите, чтобы следующий автоматически раздавался после исчерпания первого, то укажите дополнительный пул в параметре «Next Pool».
        
        Теперь выбираем в меню IP — DHCP Server:
        
        Для начала нажмём кнопку «DHCP Config» и отключим сохранение (пункт never) информации об аренде IP-адресов во флэш-память. Этим самым снизим количество записей в память, чем продлим её срок службы.
        
        Теперь на вкладке DHCP добавляем новый DHCP-сервер:
        
        Name — имя сервера, можно задать любое.
        
        Interface — указываем интерфейс, на который мы хотим «повесить» DHCP-сервер. В данном случае мы хотим раздавать адреса в локальной сети, которая у нас на бридже bridge-lan.
        
        Lease Time — время, на которое будут выдаваться IP-адреса в аренду устройствам. Для домашнего применения можно ставить большие величины, вплоть до суток и больше. Но если это какая-то публичная сеть, то тогда наоборот, время аренды стоит сократить до часа или меньше. Иначе адреса могут быстро закончиться.
        
        Address Pool — здесь выбираем созданный ранее пул адресов.
        
        Add ARP For Leases — добавлять привязку ARP в кэш роутера.
        
        Осталось задать настройки, которые будут раздаваться устройствам вместе с IP-адресом. Это необходимо сделать на вкладке Networks. На данный момент нас интересуют шлюз (Gateway) и DNS-сервер. Обычно оба этих параметра равны IP-адресу роутера. В поле Address указываем адрес нашей сети и маску:
        
        Если всё сделано правильно, то теперь при подключении устройств роутер автоматически будет раздавать им IP-адреса. Проконтролировать это можно на вкладке Leases:
        
        А нажав кнопку «Make Static» можно закрепить IP-адрес за конкретным устройством, другие устройства в этом случае его не получат. Привязка осуществляется по MAC-адресу. Также появляется возможность изменения некоторых других параметров:
        
        Mikrotik DHCP. Поднять за 5 минут.
        
        До чего дошел прогресс! Раньше, чтобы поднять DHCP, требовалось править кучу конфигов в текстовом редакторе. Теперь все делается в несколько кликов мышкой. И настройка DHCP-сервера на Mikrotik — яркое тому подтверждение. И вполне возможно, что прочтение данной статьи займет у вас даже больше времени, чем непосредственная настройка сервера.
        
        Добавим DHCP сервер
        
        В winbox открываем IP -> DHCP-Server. В появившемся окне нажимаем кнопку плюс «+» и видим следующее:
        
        Пройдусь по основным параметрам:
        name — собственно название сервера. Без комментариев.
        interface — интерфейс, на котором будет крутиться наш сервер и с которого будет раздавать адреса.
        relay — этот параметр нам нужен, если мы используем DHCP-Relay. В данном простом примере mikrotik не является ретранслятором, поэтому этот параметр мы опускаем.
        Lease Time — срок аренды адреса. По умолчанию 3 дня. Забегая чуть вперед скажу, что если Address Pool (следующий параметр) у вас static-only, то, по большому счету, этот параметр не важен. Если вы раздаете адреса произвольно (как правило, для гостевых сетей), то я бы рекомендовал сократить срок аренды часов до трех, например.
        Address Pool — вы можете выдавать адреса либо произвольно из пула адресов (этот пул нужно сначала создать. Через winbox: IP -> Pool), либо вы укажете static-only и IP будут выдавать в строгой привязке к MAC-адресам. В нашем примере остановимся на втором варианте, т.к. хочется пройти весь цикл настройки.
        Src. Address — важный параметр в случае, если интерфейсу на котором поднимается сервер, присвоено несколько IP-адресов. Но я рекомендую указывать всегда.
        Add ARP For Leases — если на интерфейсе, на котором вы поднимаете DHCP, включен ARP или вы руками заполняете ARP-таблицу, то этот параметр можно не отмечать.
        Остальное можно оставить по-умолчанию.
        
        Опишем подсети, в которых будем раздавать адреса. Для этого перейдем на следующую вкладку «Networks», нажмем «+».
        
        В данном примере я добавляю описания сразу для двух диапазонов одной подсети вместо всей 192.168.33.0./24 Я хочу, чтобы настройки первой половины хостов с адресами 192.168.33.2-192.168.33.127 отличались от настроек второй половины в диапазоне 192.168.33.129-192.168.33.254. Когда это может пригодиться? Например, у вас в сети половина хостов — это терминальные станции, которым требуется загрузка по сети. Другая половина — обычные ПК. Или вам надо указать разные серверы ДНС хостам в пределах вашей подсети. На последнем примере я и остановлюсь.
        
        Сервер добавлен, сеть описана, осталось добавить записи об аренде адресов. Переходим на следующую вкладку Leases и привычно жмем «+».
        
        Здесь от нас требуется по-минимуму: ввести IP-адрес ( Address ), который мы хотим присвоить хосту с MAC-адресом ( MAC Address ), который указывается во второй строке. Затем выбрать сервер ( Server ), который мы только что настроили.
        В даном примере я добавляю в аренду два адреса из первого и второго сегментов моей подсети 192.138.33.0/24. Клиент с адресом 192.168.33.2 будет видеть весь интернет, второй клиент будет ограничен ДНСом Яндекса. При этом оба хоста будут находиться в пределах одной подсети 192.168.33.0/24 и прекрасно общаться друг с другом.
        
        Options и Option Sets в данной статье я так же не рассматриваю ввиду отсутствия необходимости их использования при базовой настройке.
        
        Если у вас сеть офиса (мало ли там умников), то рекомендую добавить алерт на вкладке Alerts. Микротик будет «слушать» указанный вами Interface (в данном случае указывайте интерфейс, на котором подняли DHCP) на предмет появления в вашей сети «левых» DHCP-серверов. Для домашней сети с одним роутером это неактуально.
        
        Похожие публикации:
        
        Как подобрать функцию ляпунова
        
        Как сделать ftp папку
        
        Как читать структуры из файла c
        
        Что такое внедренный объект