IPv4 Address. . . . . . . . . . . : 192.168.0.50(Preferred) Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.40 DHCP Server . . . . . . . . . . . : 192.168.0.100 Pinging 192.168.0.40 with 32 bytes of data: Request timed out. Request timed out.

Такое же поведение и на macos (если вдруг проблема в ОС)

Шлюз не доступен, но клиент адрес то получил

Да, адрес получил, который выдал DHCP сервер (и этот сервер пингуется)

А вот почему gateway недоступен - вопрос

Ну это уже проблема не дхцп

Дхцп выдал то

А где тогда копать? Я думал, что DHCP и шлюз должны иметь один адрес, но ты говоришь что не обязательно

Вообще, у меня дхцп на сером ИП адресе выдает белые ИП

Вообще, у меня дхцп на сером ИП адресе выдает белые ИП

Это ты имеешь в виду маскарадинг или именно белые адреса для каждого клиента?

Это ты имеешь в виду маскарадинг или именно белые адреса для каждого клиента?

именно белые адреса для клинтов

именно белые адреса для клинтов

И у клиента сразу два адреса, верно(lan wan)?

нет у клиента один белый ип

ну он там уже на свое усмотрение, может маршрутизатор поставить, может сразу комп подключить

А пакет ррр в роутере нужен только если например надо роутером прицепится к впн серверу или например на роутере поднять впн сервер а если например ррр соединения устанавливать с компа и они проходят через роутер то в таком случае ррр пакет на роутере не используется и его можно отключить пральна? )

А пакет ррр в роутере нужен только если например надо роутером прицепится к впн серверу или например на роутере поднять впн сервер а если например ррр соединения устанавливать с компа и они проходят через роутер то в таком случае ррр пакет на роутере не используется и его можно отключить пральна? )

Да

спасиб )

Потому что если их сделать разными, то потом шлюз перестает быть доступен по его адресу, и соответственно недоступна внешняя сеть.

а с самого микротика шлюз пингуется? Гетвей и клиент точно в одно физическом бродкаст домене?

Кажется нет, не пингуется. Клиент и шлюз подключены пачкордом напрямую (домашняя сеть)

а с самого микротика шлюз пингуется? Гетвей и клиент точно в одно физическом бродкаст домене?

Но попробую еще раз попинговать вечером

Кажется нет, не пингуется. Клиент и шлюз подключены пачкордом напрямую (домашняя сеть)

получается тупо задан неверный адрес шлюза ?. А с чего вообще решили что он должен быть доступен и он есть в сети?

получается тупо задан неверный адрес шлюза ?. А с чего вообще решили что он должен быть доступен и он есть в сети?

Но как неверный адрес шлюза? Вот же на скриншоте

Слева ведь адрес шлюза, тобишь маршрутизатора или нет?

ну вроде да. но ты же говорил что ДХЦП-сервак и шлюз разные

вот я и проглядел ?

но я не вижу ДНС сервера. может у тебя сеть есть, ппросто сайты не открываются ?

но я не вижу ДНС сервера. может у тебя сеть есть, ппросто сайты не открываются ?

Я их вырезал, чтобы было видно самое важное. DNS клиент получает, внешняя сеть не работает. 8.8.8.8 не пингуется и не будет, так как не доступен gateway

Я их вырезал, чтобы было видно самое важное. DNS клиент получает, внешняя сеть не работает. 8.8.8.8 не пингуется и не будет, так как не доступен gateway

смотри настройки нат

смотри настройки нат

masquerade, out interface eth1

а в чем проблема?

Читать отсюда

masquerade, out interface eth1

а на компе арп -а что показывает?

Только вечером ответить смогу

а зачем в микротике настраивать networks если dhcp сервер другой?

не микротик

Покажите вкладку dhcp и список бридж портов

И еще распишите что в итоге получить хотите... Шлюз, маску, dns

Ребят, а есть аналог winbox под андроид?

Ребят, а есть аналог winbox под андроид?

Tik-App

Tik-App

Спасибо!

у кого DHCP Spooning в свичах HP ( HPE 1920, не procurve) настроен? не пойму, разве он не должен полностью отбрасывать всю активность DHCP с недоверенных портов? такое впечатление, что он или вообще не работает, или специально ретранслирует в аплинк чтобы там провайдер принял меры. но я то не провайдер, мне нужно просто это фильтровать

Он должен на untrusted портах отбрасывать только серверные пакеты DHCP

Т.е. untrust порты в сторону клиентов, trust в сторону магистрали или сервера

у кого DHCP Spooning в свичах HP ( HPE 1920, не procurve) настроен? не пойму, разве он не должен полностью отбрасывать всю активность DHCP с недоверенных портов? такое впечатление, что он или вообще не работает, или специально ретранслирует в аплинк чтобы там провайдер принял меры. но я то не провайдер, мне нужно просто это фильтровать

По-дефолту снупинг включен на всех портах. Впринципе ничто не мешает сделать доп. ACL где дропнуть dhcp пакеты

То есть снуп нужен чтобы клиент не мог тебе на порту доступа завести свой dhcp сервер

То есть снуп нужен чтобы клиент не мог тебе на порту доступа завести свой dhcp сервер

+

Он должен на untrusted портах отбрасывать только серверные пакеты DHCP

Да. Именно это я и пытаюсь сделать

Нет под рукой hpe, но на память кажется что там надо ip сервера указать...

Ну DHCPDISCOVER и прочий клиентский трафик не блокируется

Ещё возможно что у них снуп - это только построение базы клиентов, а защита от левых серверов - отдельной настройкой

Покажи show DHCP snooping и show DHCP snooping stat

ACL на inbound на клиентских портах повесить

А ещё снупинг включается для определенных вланов. Это тоже надо смотреть

ACL на inbound на клиентских портах повесить

Зачем? Если есть снупинг

Зачем? Если есть снупинг

План Б

Работает снупинг на hpe проверено.

Там есть несколько нюансов, которые я уже подзабыл...

Типа untrusted policy

Ну а если что-то гадит по dhcp то лучше трафик отзеркалить и заснифферить

Или trusted server

Гадящих в дхцп навалом... Много кто сует шнур не в тот порт роутера

Это типовая проблема, решаемая одной строкой

Да. Именно это я и пытаюсь сделать

Ждём show DHCP snooping и show DHCP snooping stat

А вообще-то тут микрототусовка

Это типовая проблема, решаемая одной строкой

Защита это конечно хорошо, но проблемы необходимо устранять.

ERROR: S client not available

Защита это конечно хорошо, но проблемы необходимо устранять.

Угу... Но при этом не надо вагон костылей крутить на сети, в которых потом сам запутаешься

Угу... Но при этом не надо вагон костылей крутить на сети, в которых потом сам запутаешься

Ну что б такого не было сеть должна быть правильно архитектурно построена. Нажо знать топологию своей сети хорошо. Но всякое бывает конечно.

Неправильно построенную сеть надо правильно перестроить. А не пытаться летать на паравозе, прикостылив к нему крыло, пусть даже от боинга

И давать котельные советы надо с оговоркой, что кто костыль... А то человек решит, что hp это г-но и будет юзать длинк какой нить

И давать котельные советы надо с оговоркой, что кто костыль... А то человек решит, что hp это г-но и будет юзать длинк какой нить

Поддерживаю.

Гадящих в дхцп навалом... Много кто сует шнур не в тот порт роутера

В свитчах есть функция доверенных dhcp серверов)

Давным давно

Покажи show DHCP snooping и show DHCP snooping stat

<Personal>display dhcp-snooping DHCP Snooping is enabled. The client binding table for all untrusted ports. Type : D--Dynamic , S--Static , R--Recovering Type IP Address MAC Address Lease VLAN SVLAN Interface ==== =============== ============== ============ ==== ===== ================= D 192.168.20.21 14cc-206a-fe39 3564 1 N/A GE1/0/6 D 192.168.12.50 4cb0-0839-ff7f 1891 1 N/A GE1/0/18 D 192.168.0.224 4ccc-6a4a-1cb0 1882 1 N/A GE1/0/11 D 192.168.0.225 4ccc-6a02-0978 1880 1 N/A GE1/0/8 D 192.168.2.6 4ccc-6a4a-1cc6 1878 1 N/A GE1/0/3 --- 5 dhcp-snooping item(s) found ---

ну вот веточка пиратская. тут пиратский DHCP сидит на порту 6 и это tplink

далее "работает" dhcp snooping, подменяется mac и все это прилетает в микротик с почти дефолтным конфигом, который бесится от того что dhcp неучтенный. у него там все маки всех портов прописаны

За антрастед портами ещё свичи?

а вот эксперимент натурально с поднятием dhcp и перехватом пакетов пока не могу провести. пока вроде ничего не происходит с сетью кроме собственно алертов на роутере-dhcp может TPLINK нормально настроен а ругает из-за чего-то другого?

За антрастед портами ещё свичи?

да еще один на 48 такой же и точно такое же поведение. У него тоже все порты кроме аплинка недоверенные

и в микрот прилетает мак уже два раза изменный: 12:31:07 echo: dhcp,critical,error dhcp alert on bridge6-10: discovered unknown dhcp server, mac E8:F7:24:61:C3 A, ip 192.168.0.1 это мак уже HP

Типа untrusted policy

даже не вижу такого в меню. и кстати это "инженерный" вывод. так то в HPE в консоли мало что можно наконфигурить

Блин... Не увидел, модель сразу...

все?) в морг?) он кстати не такой уж дешевый

Там же вебмрда и кривая консоль

Не... Вкл опт82 и опт82 полис реплейс

На антрастед портах

есть такое. все выключено. разве оно мне надо?

я пришел к выводу что эта модель максимум под провайдера заточена. передается option 82 - и ок. остальное не нужно им

Блин... Могу в понедельник посмотреть конечно, но на память как-то так

с другой стороны очень много разных фич и мне странно, что такие простые штуки не работают

А там, где нет свича за антрастед портом - полистирол дроп

Полистирол=полиси

Или напиши мне в пн. - посмотрю на живом

Полиси? там такого нет по крайней мере в контексте DHCP. Может другие меню с этим связаны? документацию я всю пролистал уже

на самом деле надо добить до конца и на CRS тоже изобразить. Вот там вообще туманные концепции каких-то изоляций

и да, там есть и dhcp relay, но он не вдохновляет

и да, там есть и dhcp relay, но он не вдохновляет

Такое впечатление что есть dhcp relay и он отрабатывает раньше snooping