Блокировка машин с вручную установленным IP

werter

@scodezan

ARP Table Static Entry настраивает фаервол так чтобы трафик разрешался только если соблюдается вышеупомянутое предпочтение.

Нет. Эта галка создает жесткую связку IP+MAC в ARP таблице пф.
Даже если откл. dhcp на пф , то связка все равно будет работать. Пф будет считать, что этому MAC-у присвоен только такой ip и никакой другой.

Ps.

Но в офисе несколько контор и по тем или иным причинам, я не имею организационного влияния на все.

Ох. В таком случае правильнее вообще физически (доп. сетевая) или на канальном уровне (L2-свитч) разделить сети. Иначе этот "коллега" может создать большие проблемы. Какие ? Напр., у него в сети заведется вирус-шифровальщик. Дальше рассказывать, что будет?

Tolpa

Короче ржака! )))
Неделю назад написал этому умнику, что статических IP ему больше не видать и срок до понедельника переключить всех на динамические... Копию письма отправил его боссу.
Смотрю никаких подвижек нет. В пятницу при свидетелях босса предупредил, что в понедельник, в связи с невыполнением требований, у его фирмы будут большие неприятности. Тот поржал... Сегодня ржал Я! )))
Сегодня поставил галку Enable static ARP entries и начал всем привязывать IP.
Свои конторы запустил в инет на выходных. Постепенно запускаю в инет компы "железячника" - появились они в DHCP, я привязал...
...Вдруг бросается в глаза, что в столбце hostname в DHCP Leases два компа с именем Kassa ! Как так-то О-о
Начинаю сравнивать и понимаю что mac'и у них отличаются на единицу - "железячник" решил сменить mac-адрес и типа обмануть "систему" )))
Я по невнимательности на оба mac'а выдал по IP ))) Я тут же нашёл всех "близнецов" и удалил нафиг, чтоб не разбираться кто-есть-who.
В 11:00 прибежал босс "железячника". Говорит "найди с ним общий язык, подскажи... - у меня офис не работает"! Я спустился - во-первых у тех кто догадался перезагрузиться (единицы) инет есть (получили новый IP). У остальных - нет.
Я этому клоуну отбившемуся от труппы говорю - "провод выдерни и вставь" (чтоб DHCP с новым IP подцепило). Вижу мокрый весь, замученный, смотрит с надеждой, но не верит. Добавляю - "Не на 220 провод, а сетевой!" ...и ухожу.
Короче большинство его компов несмотря на все усилия "железячника" увидели сегодня инет )))
ПС: а mac'и он менял до конца дня - не понимал почему не прокатывает! ))) В 16:30 получил от него письмо, которое первый раз за всю переписку начиналось фразой "Добрый день..." О-о
Суть письма - что 3 ПК так и не вышли в инет (игрался mac`ами сволочь до последнего)))

...вот как так-то?! Что у человека вместо мозга? (((

Tolpa

Один вопрос сегодня появился только. Два компа в сети имеют странный mac О-о. Вот один из:

Я добавил первые 12 цифр из mac'а в DHCP и оно его подцепило. И инет на машинах есть. Но эти длинные mac'и один фиг подцепляются (((
Думал IP6 как-то влияет - отключил на этой машине протокол в принципе - не помогло.
Гуру, это что такое? Как избавиться?

Scodezan

@werter Спасибо. Единственно, что так чуть сложнее для понимания.

@Tolpa У железячника только две ошибки

1. Лучше не перечить провайдеру, может выйти боком.
2. Он не поставил фаервол в своей сети.

Подумай, лучше о своих ошибках.

Что до длинного MAC адреса, я такие видел после установки UBUNTU в виртуальной среде. Что является причиной такого длинного адреса, я ещё не разбирался.

Tolpa

@scodezan обе машины с Win`10. Ничего виртуального там нет

werter

Добрый.
Перезагрузите пф.
Зы. Как вариант, ваш коллега изменил МАКи руками. Можно же глянуть что у него там.

Tolpa

@werter , смотрел. Руками ничего не делалось. У меня три таких девайса и все ноуты О-о
Нагуглил тему, но она не подтвердилась...

Tolpa

Причём, после реального мака какое-то "нереальное" окончание. Как пример - 06:aa:55:4a:00:00:00:00:00:00

Scodezan

@Tolpa Ещё вот такое бывает.

werter

Посоветуйте коллеге иногда обновлять ОСи.

Tolpa

@scodezan там Win`10

Tolpa

@werter ноуты эти не у "коллеги", у меня (
лицензионная винда и все обновления как полагается...

Scodezan

@tolpa тогда принеси сюда решение.

Из того что я нашёл в интернете:
а. Всё это следствие того что dhcp сервер не поддерживает option 61 или 81 82.
б. Источники "кривых" пакетов могут быть

1. некорректно настроенные коммутаторы (включен dhcp relay на каком-либо порте)
2. виртуальная машины (с установленным маршрутизатором)
3. кривые драйвера(софт)
4. @tolpa, впиши свой вариант.

Tolpa

@scodezan ,
а. pfsense 2.4.3 не поддерживает option 61 и 81?
б.:
1 - посмотрю
2 - их нет
3 - запросто для microsoft!!! (
4 - ok! найду - впишу ;)

Scodezan

Про pfsense 2.4.3 не знаю, у меня пока её нет.

werter

Добрый.

Option 61:
Win 10 - http://vmind.ru/2018/02/01/dhcp-option-61-clientid-windows10/
Для debian-подобных http://mikrotik-ukraine.blogspot.com/2015/11/clientid-dhcp-option-61.html

И https://www.netgate.com/docs/pfsense/dhcp/dhcp-server.html

For more information on DHCP option numbers and types, see http://www.iana.org/assignments/bootp-dhcp-parameters/bootp-dhcp-parameters.xhtml#options and https://www.freebsd.org/cgi/man.cgi?query=dhcp-options&sektion=5

Option 81:

Option 81 - Client FQDN - fqdn option space - N/A - sent by client regarding DDNS update.

И что должно быть на dhcp сервере при этом http://www.ipamworldwide.com/ipam/fqdn-option.html

https://www.petri.com/forums/forum/server-operating-systems/windows-server-2000-2003-2003-r2/4340-dhcp-option-81

Option 81 allows for dynamic updates of DNS records.

В настр. DHCP пф есть опция Dynamic DNS

Хор. офиц. видео по работе с DHCP на пф. Для общего развития https://www.youtube.com/watch?v=KERcR_le_eA

P.s. А ведь оч. интересная тема оказалась. Спасибо, что подняли.

Scodezan

Упс... Судя по этим ссылкам я имел ввиду dhcp option 82 а не 81.

werter

Option 82 должны поддерживать ваши свитчи. Это прежде всего.

Tolpa

Нашёл следующую инфу.

Протокол IPv6 имеет следующие характеристики:

■ Введен 128-разрядный адрес (16 октетов), который иерархически структурирован для упрощения делегирования прав выделения адресов и маршрутизации.

Всё-таки это IP6 "гадит"? )

Tolpa

Сегодня длинные mac'и изменились (((
Вначале реального адреса добавилось "52 41 53" и какой-то ещё октет (уже не помню).
На конвертере hex в ascii это превратилось в RAS О-о.
Помошник нашёл как отключить RAS: в ветке реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess в параметре Start нужно изменить 2 на 4.
После этого маки стали правильными! Делать это нужно естественно на машине выдающей длинный мак.
Это стоит сделать по одной причине - и прописанная "статика" и выданная "динамика" на длинный мак пинговались с потерей пакетов от 30 до 38% (((