Главная > Без рубрики > Настройка DHCP-server Mikrotik RB751g на идентификацию по mac адресу и запрет подмены ip адресов.

Настройка DHCP-server Mikrotik RB751g на идентификацию по mac адресу и запрет подмены ip адресов.

7 августа 2017

Задача: Существует сеть с огромным количеством ПК и не меньшим количеством «умников» внутри нее. Надо раздавать IP адреса только тем пользователям сети, mac адрес которого у нас есть. И не разрешать прохождение за роутер тех, кто вручную поставил себе ip адрес (пытается подменить ip адрес другого пользователя).
Добавим dhcp-server: IP=>DHCP Server=>ADD (красный крестик)

Начнем настройку созданного dhcp со вкладки «DHCP»:
intrerface => «bridge-local». Так так нам надо что бы дхцп работал на всех портах микротика и по вайфаю, конечно же если вы их объединили в бридж;-)
address pool => «static-only». Этим мы говорим, что бы микротик не выдавал кому попало из пула ip адреса, а только те, которые есть в списке. Список ip и mac адресов мы будем формировать сами.
«Add ARP for leases» => true.  Ставим галочку для того, что бы микротик сам не формировал список ip и mac адресов. Его формировать будем мы вручную.

Во вкладке «Networks» добавим настройки сети которые должен передавать dhcp-server: адрес, шлюз и dns сервер. Более глубокая настройка будет при помощи вкладки «Options».

Во вкладке «Leases» добавляем mac адреса клиентов сети, которым будет разрешен доступ через шлюз. Это те пользователи, которым мы доверяем.

А теперь самое интересное. Заходим во вкладку «Bridge» (основное меню). Выбираем свойства нашего моста, и выставим ARP значение «reply-only». Это позволит нам отсеять тех «умников», что сами включились в сеть и присвоили себе ip адрес из нашей сети. Теперь они за роутер не пройдут.

Важно! Добавить в доверительный список шлюз через который наш микротик ходит в интернет, так как в bridge у нас теперь стоит arp => reply-only.
Заходим IP => ARP => ADD (красный крестик) или из списка выбрать наш роутер, если он там есть, и добавить «make static».

Все. Теперь только пользователи, что получили ip адрес от нашего dhcp смогут гулять по сети 😉

Categories: Без рубрики Tags:
Комментирование отключено.