DHCP podział na znale i obce komputery



  • Komputer ma 3 karty sieciowe:

    • Wan,
    • Lan,
    • Lan2
      Wszystkie komputery co są mi znane zostały przypisane do sieci LAN jako adresy statyczne, a obce mac adresy ma odrzucić.
      Natomiast dla sieci Lan2 dałem inny zakres adresy i dhcp typowe dające wszystkim.
      Obie karty podpięte są do tego samego switch-a bez podziału na vlany.
      No i komputery testowe zamiast pobierać adres stały z sieci LAN dostają z sieci LAN2. Nie mam pojęcia jak go zmusić do pobierania adresu z odpowiedniej sieci.

    Zależy mi na takim rozwiązaniu. Rozdzielenie komputerów oddzielnymi sieciami zwiększą bezpieczeństwo. Typowy user nie będzie wiedział co i jak.



  • Wydaje mi się że nie da rady tak zrobić. W pfSense nie można przypisać dwóch sieci do jednej karty sieciowej, więc i zakres dostępny dla DHCP będzie z jednej sieci. Idąc dalej jeżeli podłączysz dwie karty sieciowe do jednego switcha to obie słuchają brodcastów i obie odpowiadają na requesty DHCP. W Twoim przypadku jedna odpowie tylko skonfigurowanym klientom a druga i jednym i drugim. Nie wiem czy to pomoże ale może spróbuj z tymi VLANami i jedną kartą sieciową po stronie LAN.



  • No właśnie masz rację. Nie da rady tak zrobić jak chciałem. Jak nie przetestowałem tego to nie wierzyłem.
    Mogę jedynie pociapać jedna kartę na wiele podsieci np. z maską 255.255.248.0. Ale nie z 2 kartami sieciowymi działającymi w jednym VLanie. Na dniach pobawię się RADIUS-em by rozrzucać komputery do odpowiednich Vlanów w zależności od mac adresu. Ale czy mi to wypali…

    Przy ciapaniu sieci z maską 255.255.248.0 najgorsze jest to że wszyscy dodają maskę 255.255.248.0 a to oznacza że komputer mający adres np 10.0.0.1 widzi bez problemu komputer o adresie: 10.0.0.7.60. I nie idzie tego łatwo wyizolować.
    No nic pobawię się jeszcze może coś dam radę zdziałać.



  • Dzień dobry.

    A dużo tych znanych komputerów jest w LAN ?

    Może łatwiej ustawić na nich statyczne IP a DHCP dać dla LAN2?

    Pozdrawiam
    WKali



  • Łącznie ponad 150 adresów (komputery, drukarki). Nie mam zamiaru ustawiać im adresów statycznych. Wolę zarządzać przydziałem adresów z jednego miejsca niż latać od kompa do kompa.



  • Podzieliłem sieć na znane i obce komputery.
    Do pierwszej wpisałem wszystkie znane komputery i do drugiej te co są tymim obcymi.
    Obie podsieci są wpięte do tej samej sieci.
    Powiedzmy komputer o mac adresie: 02324261e3f jest przypisany do sieci 1 ( w drugiej już nie). Pytanie dlaczego dostaje adres z sieci 2 skoro w obu zaznaczona jest opcja odmówienie dla nie znanych klientów. Druga podsieć winna go odrzucić a tego nie robi.
    Wygląda to tak jakby lista mac adresów ze wszystkich interfejsów była wrzucona do wspólnego wora.



  • Co rozumiesz przez obce komputery? Skoro są obce tzn że nie znasz ich MACów?



  • Obce w sensie wszystkie nie należące do firmy. Z szefem przyjąłem zasadę że nikt obcy sam nie podłączy się do sieci. W momencie kiedy ktoś chce się podłączyć (jak pracownik wydziału potwierdzi) musi przyjść do mnie ja spiszę jego MAC adres i przydzielę do LAN 2 o zupełnie innej adresacji.
    Mógłbym to realizować na podstawie podsieci główna to 10.0.0.x a podsieć 10.0.1.x. Tyle że wszyscy dostają tą samą maskę np 23. I w takiej sytuacji te "obce" komputery moją dostęp do serwerów firmowych czego chcę uniknąć.
    Podział na VLAN-y na chwilę obecną nie wchodzi w grę z racji że nie wszystkie switche są zarządzalne.
    Niestety zdarzają się też sytuacji kiedy to ten "obcy" odpina kabel od komputera pracownika wiec jak przypiszę VLAN na sztywno do portu cały zabieg szlak trafia. Ale można takiego delikwenta filtrować na serwerze DHCP co też jest jakaś myślą.

    Na tej drugiej sieci działają 3 AP-ki (podłączeni dostają adres z AP) i póki co działa to dobrze. Nie odnotowałem problemów przy osobnej adresacji co przy wspólnej adresacji bywało czasem kłopotliwe.
    Hmm chyba że w każdym pokoju wydzielę jedno gniazdo jako VLAN2 z typowym DHCP a pozostałe gniazda jako VLAN domyślny + filtrowanie mac adresów przez DHCP.

    ps. Hmm zastanowię się nad podziałem sieci na VLAN-y bo i tak mam zamiar kupić kolejny switch 48 portowy. Aktualnie część osób jest wpięta do zwykłego switcha.



  • I mówisz że jak wyłączysz przydzielanie IP nieznanym adresom to i tak są przydzielane?



  • Dzień dobry.

    Jeżeli chcesz odseparować te dwie sieci korzystając z DHCP to moim zdaniem pomogą tylko VLANy na zarządzalnym przełączniku.

    Wspomniałeś o "obcych" odpinających pracownika od sieci i wpinających swój komputer.

    W tym wypadku [zakładając, że mamy na tym porcie VLAN1] musisz zrobić dwie rzeczy:
    1. Na przełączniku zmienić przypisanie portu do VLAN2.
    2. Na pfSense dodać MAC "obcego" do DHCP dla VLAN2.

    W tym wypadku każde pojawienie się "obcego" wymaga zmian konfiguracyjnych - nie wiem czy jest to do zaakceptowania  :)

    Nie wiem jaką rolę odgrywają "obcy" w Twoim środowisku i jaka jest ich potrzeba pracy w Twojej sieci.

    Może należałoby wydzielić jakieś strefy - gdzie mogą się wpinać a gdzie nie.

    Albo nawiązując do mojej wcześniejszej odpowiedzi:

    • dla swoich znanych - stałe adresy IP - wiesz co i gdzie jest - tabelka w Excelu - pojawia się nowy znany i przydzielasz mu kolejny adres z wolnej puli,
    • dla "obcych" DHCP z filtrowaniem po MAC.

    Nie potrzebujesz nowego przełącznika. Fakt, trzeba na początku się nalatać i ustawić te IP, ale korzyści są nawet w zarządzaniu urządzeniami, komputerami. Jeżeli chciałbyś zobaczyć co w sieci lata to analizując ramki będziesz dokładnie wiedział jakie IP co wysyła.

    Pozdrawiam
    WKali



  • 2 działające DHCP w jednej sieci będą się gryzły. Wystarczy spojrzeć w logi komputera chcącego adres. Często jest tak że komputer ma 5-10 wpisów odrzucenia przez DHCP2 zanim dostanie adres z DHCP1.
    Aktualnie działa mi 1 DHCP w sieci póki co wszystko działa jak trzeba. W logach widzę że ktoś chciał się podłączyć ale telefonu brak:D Sądzę że boją się zapytać ;D

    Co do przypisania komputerów na sztywno. Takie rozwiązanie rozważałem kilka lat temu, ale że nie chciało mi się latać  i postawiłem zwykłe DHCP na win2003. W między czasie miałem kilka zmian w sieci przez co znów musiałbym latać po wszystkich końcówkach a dzięki DHCP zmiany same weszły dnia następnego.
    Po wielu rozmowach dostałem zgodę na WIFI na osobnym VLAN-ie na co wcześniej szefostwo się nie godziło. Dzięki temu znacznie podniosę bezpieczeństwo. Nikt obcy nie wepnie się do sieci firmowej chyba że skopiuje mac adres i dobierze odpowiedni adres IP (statyczna tablica ARP). Na osobnym VLAN-ie nic nie zrobi z racji na statyczną tablicę ARP + izolacja portów na switchu jak i samych AP-kach. Czy sieć będzie zabezpieczona czy nie to już kwestia ustaleń.
    Dzięki wielkie za odpowiedzi.

    ps. Moglibyście sprawdzić ten temat: https://forum.pfsense.org/index.php?topic=72947.0



  • Sieć podzielona na osobne Vlany. Adresy statyczne. To co obce do sieci się nie dostanie.

    Ale znalazłem jeden szkopuł który nie daje mi spokoju. Trochę igra z bezpieczeństwem.
    VLAN1: Mam ustawionych ok 150 MAC adresów.
    VLAN2: Tu mam ok 50 MAC adresów.
    Nie ma adresu który byłby wpisany w obu sieciach.

    Wypinam komputer1 z VLAN1 i podpinam go do VLAN2. Teoretycznie nie powinien dostać adresu z racji na aktywna tablicę ARP jak i odrzucanie obcych. I właśnie teoretycznie. Bo jak się wepnie do drugiej sieci to skubany dostaje adres z puli (adresów wolnych) ale nie ma dostępu do internetu. Ale za to buszować po sieci lokalnej może co już mi się nie podoba.

    Ja to rozumiem tak ze komputer jest zaufany w sieci nr1 wiec można mu zaufać w sieci nr2. Ale przecież nie w każdym środowisku takie zachowanie jest mile widziane.



  • Dzień dobry.

    Co oznaczają "adresy statyczne" w pierwszym wierszu postu ?

    Odpięcie od VLAN1 i wpięcie do VLAN2 polega na fizycznej zmianie gniazda ?

    Jaki przełącznik ?

    VLAN1 i VLAN2 na jednej karcie w pfSense ?

    Pozdrawiam
    WKali



  • Już odpowiadam.
    Stytyczne czyli stałe. Dziwi mnie to pytanie.

    Odpięcie od VLAN1 i wpięcie do VLAN2 polega na fizycznej zmianie gniazda

    Nie ma znaczenia przy przepnę fizycznie gniazdo z Jednego do drugiego VLAN-u czy też na aktualnym porcie zmienię VLAN.
    Efekt jest ten sam. Komputer mający statyczny adres z sieci 1 dostaje adres z sieci 2 tyle że z puli dynamicznej którą trzeba ustawić chociażby na 1 adres.

    Jaki przełącznik ?

    VLAN1 i VLAN2 na jednej karcie w pfSense ?

    Przełącznik jak i czy VLAN-y na jednej czy osobnej karcie nie ma tu żadnego znaczenia. Sprawdzałem to na 2 osobnych kartach i 2 osobnych switch-ach. Efekt jest dokładnie taki sam. Wystarczy że dany mac adres jest zdefiniowany w dowolnej sieci to podłączając komputer do każdej innej podsieci/sieci dostanie on adres (dynamiczny). WG mnie nie powinien co by się nie działo. Chyba że idzie to gdzieś zmienić czego nie udało mi się do tej pory znaleźć.