vairākas adreses uz 1 bridge mikrotikā

[uldii12345]

Nesen objektā saskāros ar interesantu konfigurāciju mikrotikā. 

Pie IP/adress uz bridge salikti vairāki subneti 192.168.0.1/24, 192.168.1.1/24,192.168.0.254/24, 192.168.88.1/24

Visdrīzākais tiek izmantots 192.168.0.254/24, jo dchp arī uz to. 

 

Šādi vairāki adrešu ieraksti uz 1 bridge nevar radīt mistiskus L2 gļukus, vai tas neko neietekmē un ir normāla prakse likt vairākas adreses uz viena interfeisa? 

[tiger23]

Tādu brīnumu neesmu redzējis, bet zinu un esmu izmantojis tādu lietu, kā IP aliasing. Ir nācies uz tā paša Rasperry eth0 likt divas pilnīgi dažādas IP.

[hero]

Tā var darīt, ja vienā L2 domainā vajag paralēli vairākus tīklus dabūt. Ilgtermiņā tas var sagādāt problēmas, bet kā pagaidu variants - der. 

Kāpēc tas ir radies jau jājautā pašam autoram, jo tur var būt viss sākot no 'pagaidu variantā uzlikts papildus tīkls migrācijai, kur pēc tam aizmirsa noņemt'   līdz pat 'kāda pseido-admina meistardarbiem'

[uldii12345]

Es jau klientam ieteicu,  to visu nahrenizēt un atstāt 1 subnetu, interesēja tikai vai to daru pamatoti un kāpēc vispār jāliek vairāki subneti uz viena interfeisa. 

Principā, tur tas routeris būtu droši vien no jauna jāsaprogrammē. Tīkla shēma tur ir tāda,  mikrotik ir pieslēgts aiz tele2 huawei. Uz mikrotik ir gan statiska WAN ip adrese, gan dchp klients.  Firewall sākās ar aizliedzošiem forward rulliem dažām ip udp protokolam,  hvz vēl kas. Kaut gan viss strādā, tik ik pa brīdim sāk bremzēties un tad palīdz tele2 restarts. 

 

[uldise]

1 stundu atpakaļ, uldii12345 teica:

Firewall sākās ar aizliedzošiem forward rulliem dažām ip udp protokolam

tas vairāk izklausās pēc mēģinājuma neļaut visiem LANā darīt visu - tāpēc arī saliek dažādos subnetos, Mikrotik pēc noklusējuma norūtēs visus - un tad var likt aizliegumus.

DHCP jau jā - tikai vienam, bet tad tas nozīmē, ka ir kastes, kurām ir statiskās adreses saliktas, kas arī pakļaujas iepriekš minētajiem Firewall rules.

[Ronalds]

 

Pirms 58 minūtēm , uldise teica:

tas vairāk izklausās pēc mēģinājuma neļaut visiem LANā darīt visu

Jā, bet tas nestrādā. 

 

Ja vajag aizliegumus, tas darās savādā. Klasisks variants - dhcp dala IP pēc mac, ja IP nav DHCP izdalīta, tad drop visam. 

pirms 2 stundām , uldii12345 teica:

Es jau klientam ieteicu,  to visu nahrenizēt un atstāt 1 subnetu

Tieši tā! 

[mafijs]

pirms 2 stundām , uldii12345 teica:

Es jau klientam ieteicu,  to visu nahrenizēt un atstāt 1 subnetu

Pirms nahrenizēt, paskaties ARP, kādas IP adreses reāli ir tīklā, kuras izmantojas, lai saprastu kuri subneti reāli izmantojas.

Jā, ir tāds joks redzēts, pats tādu esmu pēc tam pārmantojis savulaik. DHCP dala vienu subnetu, pēc tam leases to MAC statiski piesaista citam subnetam.

Nedomāju ka tas ir kas labs. tāds "fiksais variants uz laiku" . Pie tam firewall nebija nekādi aizliegumi starp subnetiem.

Pēcāk visu pa vlan_iem saliku.

 

[Stepselis]

pirms 12 stundām , hero teica:

vajag paralēli vairākus tīklus dabūt. Ilgtermiņā tas var sagādāt problēmas,

Piemēram, kādas?

Es arī ar kaut ko tādu esmu saskāries, bet problēmas gan nav novērotas.

Mikrotiks taču strādā stabili kā cirvis - Vai nu pie nepareizas konfigurācijas kaut kas nestrādā, vai strādā visu laiku.

Labots Augusts 5, 2020 - Stepselis

[mafijs]

Nav "labais tonis" tādus tiklus veidot. Nevar pilnībā norobežot divus subnetus. Ar roku ieleic otra tīkla IP adreses un voalā - jau esi otrā tīklā pie tā paša switch porta. Bet tas mazina drošibu.

Piemēram, ja kopēja fiziskā tīkla atrodas novērošanas kameras. Ļoti izplatīta lieta.

Un pēc sadales pa vlaniem, CPU noslodze RB3011 samazinājās par 10-15 % neko citu nedarot un pat pieaugot datorus kaitam tīklā.

[Stepselis]

Pirms 5 minūtēm , mafijs teica:

Un pēc sadales pa vlaniem, CPU noslodze RB3011 samazinājās par 10-15 % neko citu nedarot un pat pieaugot datorus kaitam tīklā.

Tātad, ja grib divus subnetus, tad jātaisa VLAN?

[mafijs]

Tā būtu pareizāk. Vai fiziski divi tīkli, kas savienojas tikai pie rūtera. Vai arī vlan , tikai tad vajadzēs menedžejamos switch. Ieguldījums dārgāks, bet elastīgāks. Jebkurā vietā jebkuru vlan var "palaist"

[uldise]

pirms 4 stundām , Ronalds teica:

Jā, bet tas nestrādā.

es neteicu ne to, ka tas strādā korekti, ne to, ka tā ir jādara.

vienkārši mēģināju rast skaidrojumu, kāpēc tā ir darīts - tas, ka ne īpaši korekti un viegli appejami, tas ir cits stāsts. 

[hero]

pirms 2 stundām , Stepselis teica:

Piemēram, kādas?

1. nevari normāli iedarbināt viena L2 segmenta ietvaros abiem apakštīkliem DHCP servisu
2. pie troubleshootinga, ja tu pingo, tev specifiski vienmēr būs jānorāda source adrese, ja gribi nopingot tā paša vlana ietvaros citu IP segmentu, kas nav primārais
3. no drošības viedokļa, daudzi liek secondary subnetus, cerībā, ka tādējādi tīkli tiek izolēti, bet tā nav. Diezgan primitīvi nosnifojot ARPu, tu vari saprast kādi citu apakštīkli tur dzīvo, nomainīt ip adresi uz vajadzīgo un pielietojot kādu no spoofing tehnikām sākt sniffot/'pentestēt' tīklu.
4. pie trafika prioritizēšanas un šeipošanas ir vieglāk, ka katrs segments ir uz sava vlana/interfeisa
5. ja tiek darbināti dinamiskie routing protokoli - neighbori būvēsies tikai no primary subneta IP, kas atkal pie protokola keepaliviem un troubleshootinga rada problēmas.
utt

Jā, lielākā daļa problēmu mazās implementācijās nekad nebūs aktuālas, bet tad, kad būs - paši to sapratīsiet un labosiet kļūdas.

Galvenais viens teikums - nelikt secondary subnetus viena L2 segmenta ietvaros, ja idejas pamatā ir 'security' aspekts.

Rezumējot:
- īslaicīgi - migrējot subnetu vai palielinot, ir normāli uzkabināt divus tīklus

 

- ilgtermiņā: 
-- tad jautājums kāpēc to dara - ja tīkls ir pa īsu, palielini masku.
-- ja ir nepieciešama 'segmentācija' (atdalīt datus/voipu/video/wifi/guestus/serverus/dmz/watever), tad vispareizākais ir veidot jaunus vlanus/subinterfeisus/zonas (atkarībā no izmantotās tehnoloģijas /rūtera/firewalla)

 

 

Labots Augusts 5, 2020 - hero