Čini mi se da je jedino rešenje ono što si sigurno i sam skontao, tj. DHCP snooping, ali hajde da vidimo možda ima neko drugu ideju.
Ono što je moguće je da neko i namerno pravi "eksperimente" igrajući se sa Ettercapom ili nekim sličnim programčićem, jer kapiram da, kad računar dobije DHCP, neće tek tako uzeti drugi, pre nego mu istekne najam adrese - osim ako nema "još nešto".

Nije Ettercap, gledam ja gateway kada mi laptop dobije IP adresu pristupam GUI rootera, dobra stvar je kada je sifra na default pa ja lepo ručno ugasim DHCP problem je kada nije.

Razmisljao sam da bih to rešio povećanjem najama adrese, ali sta da radim kada se novi korisnik konektuje on odmah ide kod njega, onda ja to rešavam ukucavanjem static adress.

A DHCP snooping mogu da podesim na mom Mikrotiku ili moram da kupim CISCO switch? Ili moze neki drugi upravljivi da pomogne?

Čitam na TP Link ruterima postoji Option 82 koja se bavi baš ovim pitanjem.

Najbolja varijanta je da nabavis neki upravljiv switch pa da izolujes korisnike jedne od drugih. Ovo sve ostalo su neka polu-resenja koja mogu a i ne moraju da rade...

edit: A ako izolujes klijente jedne od drugih onda ti ne treba dhcp snooping vec jednostavno ARP tabelu podesis na "reply-only" i to je to. Gateway ce onda da razgovara samo sa uredjajima koji su od njega dobili konfiguraciju.

_{[Ovu poruku je menjao Informer dana 02.12.2016. u 11:29 GMT+1]}

Tebi onda imaju problem samo klijenti na kablu ako si separatisao wlan i lan. Ako nisi onda je najbolje da ih razdvojis da ti nebi i klijenti na wifi-u trpeli (a takvih je sigurno 90%+).

Oni koji ostanu na kablu ne mozes resiti mikrotikom. Postoji opcija alerts u dhcp serveru na mikrotiku preko kojeg mozes da dozvoljavas koji mtik moze biti dhcp server (ako klijent koristi mikrotik, sto je retkost :)), ali pravi dhcp snooping nije podrzan na mikrotiku.

Mislim da SW-OS ima opciju da stavis da li je port protected ili unprotected pa da zabrani pass paketa izmedju klijenata a dozvoli samo sa jednog porta gde ti je ruter, pa tako klijent nema mogucnost da broadcastuje dhcp zahtev drugom klijentu nego se citav saobracaj odvija u smeru klijent-switch-ruter (client-switch-client ne prolazi) i obrnuto.

Na wifiu ugasis wireless default forward da nebi klijent imao dhcp na nekom wifi client ruteru (mada toga skoro i da nema, osim kada je klijent bridzovan pa iza na njegovom lanu opet dhcp-server).

Ostaje ti da nabavis neki cisco ili da batalis klijente na lanu.

ZA početak odradi ovo:



I umesto 2 sekudne (podrazumevano) stavi na Yes. 99% su šanse da će pre tvoj mikrotik dodeliti ip, nego tp link ruter.

Ukljuci DHCP snooping na ovim TP Link switchevima (pretpostavljam da ih koristis, cim se pozivas na manual) i podesi da je port prema tvojem DHCP serveru Trusted port, i trebalo bi da si resio problem.

Danas sam kupio upravljivi switch Tp linko TL-SL2428 on u sebi ima nešto kao DHCP filtering što pretpostavljam da je isto jer isto imam trusted port da skeniram. Pa videćemo kako se ponaša.

Jel ima još neka pomoć šta bih mogao da podesim da mi mreza radi kvalitetnije? :D

Pitanje?

Port 8 mi je "Dolazni" za internet
Od porta 1 do porta 4 imam Glupe switcheve
Port 7 mi je BackBone sa Drugim switchom gde imam drugi deo zgrade.

Čitajući po internetu mislim da bih dosta doprineo performasi mreze ako bih napravio vlanove posebno za svaki glupi svitch.

Jel onda mi se ne bi preplitali broadcastovi međusobno, i ne bi dolazilo do nepotrebnog zagušenja mreze.

Jel sam dobro razumeo?

Napravi za početak 2 vlana, jedan za zaposlene i drugi za goste i tako ćeš razdvojiti saobraćaj.

Na APovima za goste uključi ap isolation kako wifi klijenti ne mogu da pričaju međusobno, već samo sa ruterom i tako ćeš, između ostalog drastično smanjiti broadcast saobraćaj.

Da segmentuješ mrežu na još više nivoa može, ali sve te segmente spaja neki ruter i zavisno od saobraćaja, upravo ti taj ruter može biti usko grlo.

Ova linija mi je samo za korisnike i nemam wifi samo kablove.
Pokušao sam danas da pravim VLAN-ove, ali nisam uspeo izgleda nisam dovoljno čitao.

Tačnije napravim Vlan 10 Prvi sprat, stavim port koji mi je za prvi sprat port1 stavim za untaged a ovaj što mi dolazi internet stavim na taged. I šta se desi? Nemam internet :D Izgleda nisam dovoljno čitao.

Malo mi je nezgodno da radim ovako na zivo, korisnici se bune. Jel postoji neki simulator, koji bi mi rešio problem?

jedan vlan je jedan host, svaki port ka hostu access neki vlan, trunk svaki vlan ka mikroriku pa sve te vlanove nabacis na logički int na mikroriku i na logičkom intu filtriraj šta ti treba.

Ipak bolje da ja još čitam :D


Jedno pitanje, jel mogu da upravljam vlanovima i naravno da sve to radi bez ikakvog podešavanja na mikrotiku tj. sve ovo da mi se reguliše na switchu? Mislim da bih ga ovako još više opterećujem.

L2 ili L3 svič je u pitanju ?

TL-SL2428 smart switch L2

A korisnici su mi povezani na "Glupe" switcheve pa na ovaj, pa na Mikrotik RB750.

Sve dok ne zamenis sve sviceve neces resiti problem.

Znam, ali to je skupo rešenje.

hajde da nađemo jeftinije rešenje.

Razmisljam ako bih napravio vlanove barem bih izolovao problem od ostatka mreze.

Kako da nadjemo? Ako neko ubode drugi DHCP svi koji su u istom broadcast domenu mogu da dobiju adresu od njega. Prosto i jednostavno.

Sa rekonfiguracijom rutera i upravljivog sviča možeš smanjiti domene na onoliko domena koliko imaš neupravljivih svičeva i izolovati ilegalni dhcp server u jedan manji domen.
Ovo je jedino što možeš uraditi sa opremom koju imaš.