“Защита” сети от несанкционированных подключений (MIKROTIK)

Не зря “защита” написана в кавычках. Данный метод подойдет вам если необходимо при наличии единственного Mikrotik в небольшом офисе с не большим сетевым трафиком. При этом нет необходимости, чтобы все клиенты были подключены напрямик к MIKROTIK.

В статье MIKROTIK УВЕДОМЛЕНИЯ О НОВЫХ УЗЛАХ рассматривалось как “ловить” новых клиентов сети используя DHCP. Заблокировать их доступ во внешнюю сеть просто, но при этом у этих подключений останется доступ к локальной сети что тоже не желательно. Чтобы избежать этого достаточно заставить всех клиентов слать пакеты через MIKROTIK. Т.к. на шлюз отправляются пакеты, которые не входят в подсеть клиента, то через DHCP заставляем клиента считать таковыми всех:

QIP Shot - Screen 137В данной схеме DHCP будет выдавать IP адреса с маской 255.255.255.255:

QIP Shot - Screen 138

Проверяем как идут пакеты для клиента в локальной сети:

Как видим, пакеты пошли через Mikrotik. Соответственно, начнут действовать  правила Firewall внутри локальной сети.

Данный метод абсолютно не претендует на супер защиту сети, но без затрат поставит дополнительную заслонку перед сотрудниками с личными устройствами. Для “правильных” клиентов (особенно IP-видеонаблюдение и т.д.) желательно завести VLAN со своим DHCP, который позволит увести трафик мимо шлюза и разгрузить его.

 

2 мысли о ““Защита” сети от несанкционированных подключений (MIKROTIK)”

  1. Вы не могли бы развить тему “VLAN cо своим DHCP” для разгрузки шлюза (ip video наблюдение). К сожалению нет понимания как это делается.

    1. Уточните что собственно нужно? Если хотите чтобы у видеонаблюдения (IPCam) было свое адресное пространство, то для этого (кратенько) необходимо:
      1. Добавить VLAN (interfaces/add/VLAN) для интерфейса куда подключена сеть IPCam или для bridge (myVLAN);
      2. Назначить этому интерфейсу IP (который будет шлюзом в будущем для этой сети) – ip/address/add и указать интерфейс – myVLAN;
      3. Создать пул адресов для этой сети (ip/pool);
      4. Добавить DHCP сервер (и поднастроить) на myVLAN указав адресное пространство п.3. Сложности, думаю, не возникнет;
      Если IPCam оборудование тегирует трафик, то все будет работать.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.