можно в bridge firewall порезать, а можно и в ip->firewall

67 на IN drop на Master port ether

в bridge зарежет и wlan. он ведь в нем.

сорри.. dhcp ip firewall не порежет, dhcp висит прям на сокете, до ip firewall не доходит. можно порезать бриджовым файрволом

на порт бриджа правило вешай

не на весь бридж

так если дропать запросы от клиентов по 67 порту неужели сервер на сокете перехватит раньше?

если я исключу wlan из бриджа связи ведь не будет между проводными и wi-fi клиентами?

или тут только нагрузка на CPU другая будет?

просто не совсем понял как не на весь bridge)

Maksim посомтрите в винбоксе bridge->filter и станет ясно :)

Maksim посомтрите в винбоксе bridge->filter и станет ясно :)

О сколько нам открытий чудных Готовит просвещенья дух И опыт, сын ошибок трудных, И гений, парадоксов друг, И случай, бог изобретатель.©

Спасибо!

Maksim /interface bridge filter add action=drop chain=input dst-port=67 in-bridge=wan in-interface=eth1-gateway ip-protocol=udp mac-protocol=ip

так проще :)

Maksim всеж на inpute может не поулчиться отфильтровать ... только проходящий трафик через бридж... dhcp использует raw socket, в этом и проблема

уже проверил на подопытном компе)

так и есть

а по поводу Maksim Shulyak, [06.07.16 18:46] если я исключу wlan из бриджа связи ведь не будет между проводными и wi-fi клиентами? Maksim Shulyak, [06.07.16 18:46] или тут только нагрузка на CPU другая будет?

если убрать wifi из бриджа, то связь по L2 пропадет... простым языком говоря .. виндовое сетевое окружение работать не будет :)

Если маршрутизации между ними нет, то связи не будет

По умолчанию, кстати, по-моему там policy allow, т.е. если два клиента (один в проводе, второй в воздухе) подпишут mt как гейт, то связь будет.

А зачем dhcp отключать? Может лучше псевдостатику сделать?

еще можно попробовать оправить куда-то не туда пакет через switch->rule

там явного дропа нет, но можно отправить в туда, где никогда не светит солнце :)

сейчас скину топологию

Зону, выделенную красным я не контролирую. Мне нужно исключить вероятность подключения неавторизованных клиентов хотя бы по DHCP

ну так вынеси wifi отдельным интерфйесом и не мучайся...

Зону, выделенную красным я не контролирую. Мне нужно исключить вероятность подключения неавторизованных клиентов хотя бы по DHCP

Тогда логичнее изолировать именно эту зону

или да, вытащи ether3 как отдельный интерфейс

будут на этом интерфейсе другие ip адреса

не понятно что у тебя за сеть и какие задачи... от этого зависит решение

Но им же никто не мешает адреса статикой прописать

Отключение DHCP - так себе с точки зрения безопасности

ZyWall корпоративный VPN-клиент оборудование(порт P2 WAN-резервный для клиентов сети за ZyWall), а я со своей сетью скорее неавторизован)). Раньше был установлен модем P-660RT2 TT в режиме роутера с выключенным DHCP/ а потом я ее немного "расширил" своим микротиком и неуправляемыми коммутаторами. Хотелось оставить сеть без DHCP как было раньше. Остальные проблемы-это проблемы наших админов.

Раньше было так

Нужно больше неуправляемых коммутаторов

По 5 портов цепочками

богу одноранговых сетей

По 5 портов цепочками

с кривыми и вшитыми СoS и STP

Когда нужен интернет на работе и не такое придумаешь) Этот канал не задействован никогда-зачем ему простаивать)

Нужно больше неуправляемых коммутаторов

Идея на миллион brfilters и бриджи на openwrt или линухе

как в славные 90е

Недоброе утро, народ. Пришел сегодня утром - ничего не работает в офисе из сети. В итоге пришлось ребутнуть Микрот. Таки после этого ВПН не поднимается, смотрю Сикреты - а там пусто ?. Ну бэкап есть от 10 чилса, 00:10 сделанный. А еще я руками 8 числа делал, он бы мне тоже подошел. Дай думаю, возьму от 8 числа. А нет - Сикреты все равно не восстановились ((( Неужели в бэкапы учетки ВПН не попадают? А как их тогда восстанавливать? Заранее простите (((

всегда попадают

сколько восстанавливал - все восстанавливалось

попробуй обновить рос, сделать полный сброс, потом уже восстановить из бэкапа

ок, попробую сбросить и потом накатить.

явный глюк тика. сбрасывай. бывает у него такое. это ж тик

а что такое "рос"? RouterOS ?

конечно

накатил еще раз - сначала не было Сикретов, но через некоторое время появились. Но ВПН не поднимается (

Подождать и он разгрузиться или уже вскрывать на предмет конденсаторов посмотреть?

запусти профайлы. там покажет чем занят

system - profiles

в 4 версии вроде нет профайла

блин. тогда хз

4ю вообще не помню. давно с ней не сталкивался

А нам тут рассказывают, что ключи/сертификаты/прочее сенситив не попадает в бекапы, если верить микротику

То есть, если попадает — бага

сикреты не ключи

тем не менее сенситив дата

ERROR: S client not available

пппшные ключи всегда попадали

То есть, если попадает — бага

Также как настройки cpu в /export

А хотя, может и вру. Уточню, но помню так: "микротик стремится к такой ситуации, пока не очень так, это баги"

в экспорт всегда попадают сикреты, причем в открытом виде. а вот например пасс юзера - нет

не всегда, но вообще да. Я что-то странное загоняю

короче, все работает. Окромя ВПН Сикретов (. Включал без сети и поочередно втыкал шнурки чтобы нагрузка сразу под 100% не поднималась. В итоге с задержкой, но Сикреты PPP появились. Но все равно после подтыкания последнего шнурка, от провайдера, нагрузка подскочила. И витоге я не знаю, то ли он так виснет что ВПН не поднимается, то ли что (. Вкладка Интерфейсов переодически ЕррорТаймаут (как на моем скрине выше)

Решил подождать, кондеры на вид хорошие

Микротик был введен в строй 06.2011, так что я подумал на кондеры

занчит сикреты никуд ане деваются, просто из-за нагрузки не сразу отображаются

и кстати возможно из-за этого и впн не поднимается

да уж (

проще тик поменять на более менее современный

чтобы версия была хотя бы 5

обновляться - это время. на 5-ю конфиг без проблем из моего бэкапа зайдет?

даже не знаю. никогда не делал

попробуй сделать экспорт, потом в крайнем случае что не импортируется - руками внесешь

там же все плейнтекстом идет

никогда не обновлял РОС?

обновляться - это время. на 5-ю конфиг без проблем из моего бэкапа зайдет?

они только за год 2 раза меня меняли синтаксис. Вангую, что не взлетит

не обновлял с 4 на 5. :)

круть (

да они блин постоянно меняют. экспорт от 6.3 не заливается на 6.35 например. ругается. прриходится руками править

4 версии даже в загрузка нет на сайте ) либо 5-ка, либо 6-ка

так в чем проблема? если есть версия хотя бы 5ки для 450 - делай экспорт и обновляйся

короче, я понял почему чуваки с Москвы наших соседей-партнеров меня обсмеивали с циской. у них циска 7 год уже тянет.

Если она 7ой год тянет у тебя, а у них нет — ты должен их высмеивать, не?

у меня с июНя 2011 в работе

циска сколько угодно тянет. на то она и циска

5 лет было

за это и платят

так если мужики говорят что с 4.17 файл MikroTik-08072016-1343.backup не накатишь просто так на 5-ку или 6-ку - то смысл обновляться?