Настройка wifi точки доступа в mikrotik
Наш роутер почти готов к работе. Осталось только настроить wi fi точку доступа и можно про него забывать :). Настройка wifi в микротике заслуживает отдельной статьи. Там очень много нюансов и возможностей. Мы сейчас сделаем самую простую настройку, которая подойдет и полностью удовлетворит потребности домашнего wifi роутера. А для более глубоких познаний можно будет воспользоваться отдельным материалом на эту тему.
Первым делом активируем беспроводной интерфейс. По-умолчанию он выключен. Идем в раздел Wireless, выбираем wlan1 и жмем синюю галочку.
Интерфейс из серого станет светлым. Переходим на вкладку Security profiles, два раза жмем мышкой на строчку с профилем default. В поле Mode выбираем dynamic keys. Ставим галочки напротив WPA PSK и WPA2 PSK и aes ccm. В поля WPA Pre-Shared Key и WPA2 Pre-Shares Key вводим пароль от будущей беспроводной сети. Я рекомендую использовать длинный пароль (не меньше 12-ти символов) с цифрами и спецсимволами. Да, вводить не очень удобно, но после того, как я сам без проблем брутил хэши простых паролей, я убедился, что лучше поставить сложный пароль, если не хочешь, чтобы к твоему wifi кто-то подключался.
Сохраняем настройки. Возвращаемся на вкладку Interfaces и два раза жмем на wlan1, открываются настройки wifi интерфейса микротика. Переходим на вкладку Wireless. Выставляем настройки как у меня на скриншоте.
Обращаю внимание на следующие настройки:
- SSID — имя вашей беспроводной сети. Пишите то, что хочется.
- Frequency — частота, соответствующая одному из 12-ти каналов. Самое первое значение это первый канал и так далее. Тут рекомендуется выбрать тот канал, который в вашем конкретном случае менее всего занят другими точками доступа. Если вы не знаете что это за каналы и как их проверить, то не обращайте внимания, может выбрать любое значение из списка.
Сохраняете настройки, нажимая ОК. Все, wifi точка доступа на mikrotik настроена, можно проверять. Запускаете любое устройство, ищете вашу сеть, вводите пароль доступа и проверяете интернет. Все должно работать.
На этом основная настройка микротика закончена, но я рекомендую выполнить еще несколько настроек для удобства и безопасности.
Необходимый минимальный набор сервисов для работы сети
Самый минимальный набор сервисов для локальной сети с выходом в Интернет включается обычно следующее:
- DHCP — сервис динамической конфигурации хостов, обеспечивающий автоматическое получение адресов и других сетевых параметров
- DNS — сервис доменных имен, обеспечивающий работу с символьными именами, который позволяет открывать сайты по именам, например
- Сетевой шлюз, обеспечивающий выход в Интернет
В небольших сетях весь этот минимальный набор сервисов обеспечивается обычно либо аппаратным роутером, либо компьютером, выступающим в роли сервера. Настройка роутера обычно проще, но при очень активной работе с сетью ресурсов его может не хватить, если, скажем, у вас локальная сеть из 50 машин, а для выхода в Интернет вы используете роутер домашнего класса. Поэтому при росте сети вам, возможно, в дальнейшем нужно будет переходить на сервер-шлюз, либо на более производительное сетевое оборудование. Кроме этого, в небольшой сети сервер-шлюз может использоваться как файловый сервер и принт-сервер, к которому подключается принтер или принтеры.
DHCP-сервер
Одно из преимуществ ИКС — встроенный DHCP-сервер. Настройка занимает минимум времени.
DHCP (Dynamic Host Configuration Protocol) — протокол, отвечающий за динамическую выдачу ip-адресов устройствам сети. Упрощает работу системного администратора — специалисту не требуется каждый раз вручную назначать ip-адреса новым компьютерам.
Настройка сводится к заданию пула адресов, какие будут закрепляться за клиентскими устройствами.
Схемы раздачи IP:
- динамическая — ПК получает IP-адрес на определенный срок. После этого сетевой адрес может быть закреплен за другим компьютером. Применяется на 95% всех серверов.
- автоматическая — разница с предыдущим вариантом раздачи только в том, что компьютер получает не динамический, а статический IP-адрес.
- ручная — системный администратор составляет матрицу соответствия MAC и IP-адресов. Применяется в сетях с высокими требованиями к безопасности.
DHCP стоит использовать, если к вашей корпоративной сети часто подключаются разные устройства.
При этом ограничение срока выдачи ip-адреса обеспечивает базовую защиту и контроль пользователей.
Возможности DHCP в ИКС
DHCP нужно настраивать отдельно для каждой локальной сети (раздел «Провайдеры и сети»). Потребуется указать диапазон адресов в виде 192.168.1.1-192.168.1.100 или 192.168.1.1/16.
DHCP-сервер в ИКС позволяет:
- Добавить связь IP и MAC адресов (используется ARP-таблица).
- Задать срок аренды адреса, по истечении которого ip, закрепленные за клиентским MAC, могут использоваться другими устройствами.
- Автоматически создавать DNS-записи для каждого компьютера в сети и обращаться к ним по имени, а не по ip-адресу.
- Закрепить ip-адрес за определенным пользователем или устройством.
- Отслеживать пользователей, получивших ip-адрес от DHCP-сервера.
- Экспортировать данные журнала за определенный период или удалить их.
- Задать WINS.
- Сконфигурировать путь до TFTP-сервера.
Подробнее процесс настройки DHCP-сервера в ИКС описан в документации.
Разрешить DHCP в модуле «Провайдеры и сети»
Другие возможности ИКС
Шлюз безопасности ИКС — необходимый многофункциональный инструмент для системных администраторов. В одном интерфейсе можно настроить:
- локальную сеть, провайдеров, маршрутизацию, туннели;
- межсетевой экран, ids/ips, антивирус;
- vpn-сервер для удаленного подключения;
- правила доступа пользователей к сети;
- контроль приложений, фильтрацию трафика.
Широкие возможности Интернет Контроль Сервера делают возможным его использование в сети любой организации.
Скачивайте ИКС для бесплатного тестирования. Помочь в настройке решения могут специалисты технической поддержки. Много полезных вебинаров и видеоуроков есть на нашем -канале.
Выберите свой тип покупателя
Физическоелицо Юридическоелицо
X
Резервирование адресов
Служба DHCP предоставляет IP-адреса клиентским устройствам на определённый промежуток времени. После этого адрес может быть изменён. Также, подключаясь к сети, каждый компьютер или смартфон каждый раз будет получать новый адрес. А тот адрес, который использовался им ранее, может быть предоставлен другому устройству. Обычно смена адресов происходит незаметно для пользователя и не влияет на работу сети. Однако может возникнуть необходимость сделать так, чтобы у конкретного компьютера IP-адрес не менялся. Это может быть актуально, если вы играете по локальной сети в игры или же данному компьютеру присвоены какие-то специфические функции, которые будут работать только при статичном IP.
Есть простой способ решить эту задачу с помощью DHCP — зарезервировать IP-адрес за конкретным компьютером.
Для этого переходим в подпункт «Резервирование адресов» пункта меню «DHCP». Если ранее вы уже резервировали адреса, здесь будет доступен список устройств, который можно редактировать по мере необходимости. Если же нет, жмём кнопку «Добавить».
В открывшемся окне нужно ввести МАС-адрес устройства и IP, который будет за ним зарезервирован.
Здесь же можно включить или выключить резервирование адреса для этого устройства, изменив соответствующий параметр в пункте «Состояние».
После ввода параметров нажмите кнопку «Сохранить». Теперь это устройство всегда будет получать при подключении к сети только этот IP-адрес.
После сохранения параметров вы вернётесь в предыдущее окно. В списке устройств теперь будет видно то, которое вы только что добавили. Нажав «Изменить», вы можете отредактировать параметры резервирования адреса. А с помощью пункта «Удалить» удалить устройство из списка и отменить резервирование.
С помощью кнопок «Включить всё», «Отключить всё» и «Удалить всё» вы можете управлять резервированием адресов для всех устройств из списка.
Для применения сделанных изменений вам понадобится перезагрузить роутер. Напоминание об этом появится в нижней части окна.
Установка роли сервера DHCP в Windows Server 2012 R2
Перед тем как устанавливать роль DHCP сервера, необходимо выполнить предварительную подготовку, например, составить план добавления областей (подсеть, диапазон), какие ip исключить из раздачи, какие параметры необходимо раздавать, это для ускорения процесса установки и настройки, также необходимо задать статический ip адрес того сервера, на котором Вы собираетесь устанавливать роль сервера DHCP. Теперь переходим к практике.
Шаг 1
Открываем «Диспетчер серверов» в принципе он открывается при старте системы, но в случае если он закрыт, или Вы настроили сервер таким образом, чтобы диспетчер серверов при входе в систему не запускался, то нажимаем Пуск->Диспетчер серверов
Нажимаем «Добавить роль сервера», можно непосредственно через быстрый запуск, а можно через меню «Управление»
Далее нас встретит так сказать страница приветствия, мы жмем «Далее»
Далее уже по умолчанию выбран необходимый пункт, т.е. «Установка ролей или компонентов», жмем «Далее»
Шаг 5
Затем необходимо выбрать на какой сервер иди виртуальный жесткий диск, мы будем устанавливать DHCP сервер, в моем случае локально, т.е. этот же самый сервер, также хочу заметить, что ip адрес у моего тестового сервера 10.10.0.5 соответственно для примера я буду создавать область в этой же подсети, жмем «Далее»
Шаг 6
Далее необходимо выбрать какую роль мы собираемся устанавливать, мы соответственно выбираем DHCP сервер
После нажатия, откроется окно, в котором нам сразу предложат выбрать для установки средства администрирования DHCP сервера, мы соглашаемся, иначе, далее нам все равно придется это выбирать, если конечно мы хотим администрировать DHCP с этого компьютера, жмем «Добавить компоненты»
И снова жмем «Далее»
Шаг 7
Здесь нам предложат выбрать необходимые компоненты, если на прошлом шаге Вы выбрали «Добавить компоненты» то необходимые компоненты уже будут выбраны, если поискать в этих компонентах то мы это увидим, жмем «Далее»
Шаг 8
Здесь нас как раз предупреждают о том, что необходимо составить план настройки DHCP и задать хотя бы один статический адрес на данном компьютере, жмем «Далее»
Шаг 9
Затем мы должны будем подтвердить установку, и в случае необходимости поставить галочку «Автоматический перезапуск конечного сервера», но в данном случае это делать не обязательно, поэтому жмем «Установить»
И начнется установка, и продлится она буквально пару минут
Шаг 10
Установка завершена, и нам предложат выполнить предварительную настройку, она нужна, для того чтобы создать соответствующие группы для делегирования полномочий управления DHCP сервером, жмем «Завершение настройки DHCP»
Далее нажимаем «Фиксировать», уточню, что у меня это тестовый сервер и домен не развернут, поэтому после, у меня в локальных группах появятся соответствующие группы.
Затем нам сообщают, что группы созданы, и то, что необходимо перезапустить службы DHCP, жмем «Закрыть»
Функционал
Чем же может облегчить работу? Как он действует и почему стоит его подключить?
- Он объединяет все желаемые компьютеры в локальную сеть;
- Он помогает наладить простое, быстрое и эффективное взаимодействие между ними;
- Формируется единая локальная сеть, использующая одно подключения для выхода в интернет;
- В рамках локальной сети можно быстро обмениваться данными и файлами;
- Возможно настроить удаленное управление и использование одного компьютера с другого;
- Можно подключить все ПК к одному принтеру для удаленного вывода на печать (при этом принтер, например, может быть подключен к одному из компьютеров).
Большое преимущество такой сети в том, что ее достаточно легко организовать, особенно по сравнению с сервером.
Для создания ее вам потребуется только ADSL-модем или роутер, но обязательно с функцией маршрутизации.
Совет! Систему можно создать, включив DHCP на адаптерах всех ПК будущей сети и соответствующую функцию на модеме или роутере (который теперь станет сервером).
Подготовка роутера
Прежде чем начать процессы подключения и настройки проверьте, все ли необходимые функции активированы. Для этого проделайте следующее:
1. Откройте панель управления роутером через онлайн-интерфейс;
2. Зайдите в панель управления, используя логин и пароль;
3. Перейдите в Настройки;
4. Найдите там пункт Автоматическое назначение IP-адресов;
5. Нужно, чтобы этот пункт был активирован, если это не так, то активируйте его (поставьте маркер или галочку в чекбокс, передвиньте ползунок и т. д.);
6. Сохраните внесенные изменения;
7. Перезагрузите компьютер и роутер.
После этого снова включите все устройства – компьютеры сети и модем.
В некоторых случаях необходимые настройки могут быть недоступны или заблокированы, и тогда настройку можно провести только сбросив настройки устройства к заводским.
Для этого найдите на задней панели роутера или на его дне отверстие с надписью Reset над ним.
Именно в нем находится маленькая кнопка возврата к заводским настройкам – зажмите ее чем либо острым, например, зубочисткой, на несколько секунд.
Для повторного входа в панель управления вам потребуется ввести логин и пароль администратора. Теперь все функции будут разблокированы, и нужно будет провести настройку, описанную выше.
Хост-машина под управлением Linux
Dhcp-сервер Linux полезен для сети, если пользователь не хочет сложностей назначения статических IP-адресов. Если есть домашний маршрутизатор, например, D-Link или любой беспроводной модем. Такие устройства будут иметь DHCP-сервер, встроенный для выдачи внутренних IP-адресов. Тем не менее, они редко подходят для деловых целей по множеству причин.
Одной из главных является проблема, в связи с тем, что ими обычно не предоставляются достаточно параметров конфигурации, чтобы заставить сервер работать с пользовательской инфраструктурой, имеющей нескольких десятков хостов. Выделенный сервер, работающий на хост-компьютере Linux, может быть хорошей альтернативой, бесплатной и простой в настройке.
Установка Linux DHCP:
- RHEL / CentOS: yum install dhcp -y.
- Ubuntu раньше 12.04 или Debian старше Wheezy (7.0): sudo apt-get install dhcp3-server.
- Ubuntu 12.04 и более поздние версии или Debian Wheezy, а затем: sudo apt-get install isc-dhcp-server. Чтобы запустить сервер и настроить его на автозапуск при загрузке.
- Выбрать команду на основе установленной версии DHCP.
Настройка dhcp сервера ISC-DHCP:
- Запуск службы isc-dhcp-server chkconfig isc-dhcp-server on dhcp3.
- Запуск службы dhcp3-server chkconfig dhcp3-server on DHCPD (CentOS / RHEL).
- Запуск службы dhcpd chkconfig dhcpd.
Настройка сервера DHCP на роутере Zyxel Keenetic Giga
Фирма Zyxel сегодня выпускают устройства, которые радуют глаз. Эти бренды сегодня популярны прежде всего благодаря функционалу который они предоставляют. Можно организовать несколько сетей на одном устройстве, подключить не одного провайдера а несколько и делать много других недостуных для предыдущих поколений устройств полезных вещей. Не менее хороша фирма Microtic, сделал один раз настройки и забыл о проблемах.
Настройка сервера на маршрутизаторе самостоятельно не представляет ничего сложного. В случае выделенного вам провайдером Интернет IP- адреса нужно настроить подключение к Интернету:
Указываем данные от провайдера, не забываем про DNS, в качестве DNS 3 можно прописать гугловский DNS 8.8.8.8 Не помешает. Затем нужно создать сеть, или вернее сказать один из ее сегментов. В пункте «Мои сети и Wi-Fi» создаем новый сегмент:
В настройках включаем DHCP сервер. В качестве IP указываем адрес роутера, который для рабочих станций будет шлюзом:
IP роутера указан в качестве примера. Вы можете в качестве IP выбирать нестандартные диапазоны для повышения безопасности. Диапазоны определяют количество подсетей и предельное количество рабочих станций в ней. Начальный адрес пула будет адресом «первого» компьютера. Размер пула — это количество компьютеров, которые у вас будут в сети. Время аренды- продолжительность выдачи адреса в секундах.
Основная причина проблемы и способы её исправить
Самая частая причина ошибки «DHCP не включен на сетевом адаптере» — изменение параметров сетевого подключения (самостоятельное или какой-либо программой), отключающее DHCP, как об этом и сообщает утилита устранения неполадок. Под DHCP здесь понимается опция автоматического получения IP-адреса вашим сетевым адаптером. Второй по распространенности вариант — указание неверного для вашей сети статического IP-адреса (иногда он может стать неверным после того, как вы изменили параметры LAN на роутере). Чтобы включить DHCP снова, или поменять параметры IP-адреса вы можете:
- В диагностике неполадок нажать «Попробуйте выполнить восстановление от имени администратора». А в следующем окне с заголовком «Автоматически обновлять параметры сети» — нажать «Внести это исправление».
- Если всё прошло успешно, в результате вы должны получить сообщение о том, что проблема «DHCP не включен на сетевом адаптере» для адаптера Ethernet или Беспроводная сеть была исправлена.
- Если предыдущее не помогло, нажмите клавиши Win+R (Win — клавиша с эмблемой Windows) на клавиатуре, введите ncpa.cpl и нажмите Enter.
- В открывшемся списке сетей нажмите правой кнопкой мыши по той сети, которая сообщает о проблеме и выберите пункт меню «Свойства».
- В списке компонентов подключения выберите IP версии 4 и нажмите «Свойства».
- Убедитесь, что в общих свойствах установлено «Получить IP-адрес автоматически и «Получить адрес DNS-сервера автоматически». Если это не так, установите соответствующие параметры и примените настройки.
- Если параметры уже заданы на автоматическое получение параметров, попробуйте, наоборот, вручную ввести IP-адрес: в качестве адреса используйте адрес вашего роутера с отличающимся последним числом (адрес роутера обычно указан на нем самом на наклейке сзади/внизу). Например, адрес роутера — 192.168.1.1, в качестве IP указываем что-то наподобие 192.168.1.33 (не следует указывать 2-ку и т.п., они могут быть заняты), маска подсети будет подставлена автоматически, в «Основной шлюз» указываем просто адрес роутера. Для DNS можно указать 8.8.8.8 и 8.8.4.4 соответственно. Примените настройки. Если вы не знаете адрес роутера, то почти всегда это 192.168.1.1 или 192.168.0.1, можно просто поочередно попробовать оба варианта.
Обычно, что-то из указанного позволяет решить проблему, но не всегда. Если в вашем случае работоспособность сети так и не была восстановлена, попробуйте следующие варианты:
- Если у вас прямое кабельное подключение от провайдера и роутер не используется, и вы проверили, что кабель подключен надежно, проблема может быть со стороны самого Интернет-провайдера (в этом случае она обычно исправляется в короткие сроки с его стороны).
- Перезагрузите роутер, если он используется для подключения (выключите его из розетки, подождите несколько секунд, снова включите и подождите, когда загрузится).
- Выполните сброс сетевых настроек Windows 10.
- Попробуйте отключить протокол IP версии 6 в компонентах подключения — снять галочку в окне, которое вы видели на шаге 5 и применить настройки.
- Если вы перед появлением проблемы меняли настройки роутера, возможно, стоит сбросить их и выполнить настройку заново.
- Если у вас установлен сторонний антивирус, попробуйте отключить функции сетевой защиты в нем или полностью отключить антивирус.
- Загляните в диспетчер устройств (правый клик по кнопке пуск — диспетчер устройств) и откройте раздел «Сетевые адаптеры». Откройте свойства Wi-Fi адаптера (если ошибка возникает на сетевом адаптере «Беспроводная сеть») или Ethernet-адаптера. Проверьте, активна ли кнопка «Откатить» на вкладке «Драйвер». Если да — используйте её.
- Проверьте, есть ли точки восстановления на дату, предшествовавшую появлению проблемы. Если да, используйте их. См. Точки восстановления Windows 10.
Видео инструкция
- https://help-wifi.com/reshenie-problem-i-oshibok/dhcp-ne-vklyuchen-na-setevom-adaptere-besprovodnaya-set-ethernet-podklyuchenie-po-lokalnoj-seti/
- https://ru.joecomp.com/disable-or-enable-dhcp-for-ethernet-or-wi-fi-in-windows-10-8-7
- https://remontka.pro/dhcp-not-enabled-network-adapter/
Проверяем настройки IP и DNS беспроводного Wi-Fi и Ethernet адаптера
Если у вас Windows 7, то более подробно об этом написано в статье: как прописать IP-адрес в Windows 7? Задаем настройки TCP/IP вручную. А здесь мы рассмотрим на примере Windows 10.
Нажмите правой кнопкой мыши на значок подключения к интернету, выберите “Центр управления сетями…”, и “Изменение параметров адаптера”.
Дальше нажимаем правой кнопкой мыши на тот адаптер, через который мы подключаемся к интернету (и появляется ошибка), и выбираем “Свойства”. Для примера, я открыл свойства адаптера “Беспроводная сеть” (подключение по Wi-Fi).
В следующем окне выделяем пункт “IP версии 4 (TCP/IPv4)”, и нажимаем на кнопку “Свойства”. Откроется еще одно окно с настройками IP и DNS для этого адаптера.
Если у вас там стоит автоматическое получение адресов, то можно попробовать прописать адреса вручную. И сразу задать DNS-адреса от Google. Выглядит это примерно вот так:
Сейчас немного поясню. Статические DNS-адреса (8.8.8.8 / 8.8.4.4) можно попробовать прописать в любом случае, в независимости от того, как у вас подключен интернет.
Статические IP прописываем только в том случае, когда у нас подключение через маршрутизатор (а не напрямую от провайдера, только если провайдер не выдает статические адреса).
- Основной шлюз – это IP адрес роутера. Смотрим его на самом роутере, на наклейке. Это скорее всего 192.168.1.1, или 192.168.0.1.
- Маска посети будет выставлена автоматически после того, как вы укажите IP-адрес.
- А IP-адрес, это тот же адрес роутера, только с измененной последней цифрой. Я, например, изменил цифру с 1 на 30.
После этого нажимаем Ok, и перезагружаем компьютер. Если это не поможет решить проблему и избавится от ошибки, то лучше установите обратно автоматическое получение адресов, или пропишите только статические DNS.
Антивирус Avast – причина ошибки с отсутствием допустимых параметров настройки IP
Установил Avast со всеми компонентами на свой компьютер, но никаких проблем не заметил. Интернет работает. И это понятно, так как ошибка появляется скорее всего при определенных обстоятельствах. В которых не обходится без Аваста.
Прежде чем удалять антивирус, попробуйте сделать сброс. В настройках перейдите в раздел “Устранение неисправностей” и на вкладке “Восстановить стандартные значения” нажмите на кнопку “Сбросить”. Подтвердите, нажав “Да”.
Перезагрузите компьютер.
И так, если у вас эта ошибка и установлен Avast, то пробуйте его удалить.
Но без антивируса как-то не очень хорошо. Даже если интернет заработает.
Поэтому, попробуйте скачать Avast заново с официального сайта и установить его повторно. Только в процессе установки отключите все лишние компоненты. По сути, они никому не нужны, только систему грузят. И не исключено, что из-за одно из этих компонентов перестает работать интернет.
Правда, так же не исключено, что проблема из-за компонента “Веб-экран”.
Еще один вариант. Проверяем, нет ли компонентов от антивируса Avast в свойствах подключения (Беспроводная сеть, или Ethernet). В какой-то статье я об этом уже писал.
Открываем свойства подключения, через которое наш компьютер подключен к интернету и смотрим, нет ли в списке компонентов в названии которых есть слово “Avast”.
Если есть – убираем возле него галочку.
Проверяйте, возможно это ваш случай.
Удаляем сетевой адаптер и переустанавливаем драйвер
Если ничего не помогает, то можно еще поэкспериментировать с драйвером беспроводного адаптера, или сетевой карты. В зависимости от того, через какое подключение у вас появляется ошибка с отсутствием допустимых параметров настройки IP.
Зайдите в диспетчер устройств, на вкладку “Сетевые адаптеры”. Нажмите правой кнопкой на адаптер, через который не работает интернет и выберите “Удалить”.
После этого перезагрузите компьютер. Адаптер снова будет обнаружен и установлен в системе.
Так же, можно попробовать скачать с сайта производителя драйвер вашего беспроводного (Wi-Fi), или проводного (Ethernet) адаптера, и запустить его установку.
По установке драйвера Wi-Fi адаптера я писал здесь. Так же, есть отдельная статья по установке драйвера сетевой карты.
Еще несколько советов
- Отключите антивирус, и встроенный в Windows брандмауэр.
- Как я уже писал в начале статьи, постарайтесь вспомнить, что вы меняли или устанавливали перед тем, как интернет перестал работать и появилась эта ошибка. Может система устанавливала обновления. Подумайте, какие программы установленные на вашем компьютере могут влиять на работу сетевых адаптеров.
- Попробуйте отключить лишние программы из автозагрузки.
- Проверьте, не установлена ли на вашем компьютере программа Bonjour. Если установлена, то удалите ее.
454
Сергей
Решение проблем и ошибок
ARP Таблицы
ARP протокол служит для определения MAC-адреса по заранее известному IP-адресу.
Работает ARP в следующих режимах:
- Enabled – работает в обычном режиме. Режим по умолчанию;
- Disabled – не работает;
- Proxy-arp – ответ на ARP-запросы от всех подключенных сетей. Когда мы подключаемся из другой сети (client-to-site, например, по L2TP соединению), установив данный режим работы, у нас получится определить MAC адрес другой сети;
- Local-proxy-ARP – на все запросы в ответе указывает MAC-адрес маршрутизатора вместо указания реального MAC-адреса нужного хоста. В этом режиме трафик обязательно будет обрабатываться маршрутизатором;
- Reply-only – только ответы на ARP-запросы. ARP-таблица должна быть заполнена статически. Маршрутизатор будет выполнять только ответы на ARP-запросы.
Режим Reply-only увеличивает безопасность сети, за счет того, что хосты не смогут выйти в интернет с IP-адресом, отличным от указанного в ARP-таблице;
Как настроить ARP записи в Mikrotik
По умолчанию ARP таблица заполняется динамически. Эти данные мы можем увидеть открыв:
IP => ARP.
А также можем статически привязать IP-адрес MAC нажав на нужную строку и выбрав пункт Make Static:
Таким образом, мы добавили ARP-запись.
Ручное добавление ARP записи Mikrotik
Если необходимо добавить ARP-запись вручную, то сделать это можно следующим образом:
IP => ARP => “+”.
В открывшемся окне зададим значения IP и MAC, указав интерфейс:
Добавляем ARP запись через DHCP на Mikrotik
Чтобы ARP-записи добавлялись при помощи DHCP, выполним следующую настройку:
- IP => DHCP Server;
- На вкладке DHCP, двойным нажатием левой кнопкой мыши, откроем свойства.
На странице General отметим галочкой пункт Add ARP For Leases:
Теперь DHCP-сервер на маршрутизаторе Mikrotik будет добавлять ARP-записи в таблицу. Это может быть полезно для небольшой сети. Давайте рассмотрим на примере, как можно повысить безопасность сети, используя данную функцию.
DHCP + ARP в Mikrotik. Повышаем безопасность локальной сети
В данном “кейсе” мы модифицируем конфигурацию DHCP сервера, показанную в данной статье, таким образом, что IP-адреса будут выдаваться из существующих записей, добавляя ARP запись. И переведем ARP протокол для внутренней сети в режим Reply-only, чтобы маршрутизатор Mikrotik выполнял только ответы на ARP-запросы.
Для начала назначим статический IP для хоста в сети:
IP => DHCP Server => Leases.
Нажатием правой кнопкой мыши по устройству, выбираем пункт Make Static:
Далее переходим на вкладку DHCP и двойным нажатием открываем свойства.
На странице General меняем настройки:
- Address Pool: static-only, чтобы сетевые адреса назначались из существующих записей;
- Установить галочку Add ARP For Leases, при этом DHCP будет заполнять ARP таблицу.
Следующим шагом настроим режим reply-only для ARP, на интерфейсе Bridge:
- Interface => bridge1;
- На вкладке General установим свойство ARP в режим reply-only:
На этом настройка закончена. Теперь наш DHCP-Сервер выдает сетевые настройки только тем устройствам, MAC адрес которых присутствует в таблице. При этом заполняет ARP таблицу, запрещая хостам которых нет в таблице доступ в интернет.
Полезно будет ознакомиться со статьями:
- Настройка DNS Server на Mikrotik
- Как восстановить прошивку MikroTik с помощью Netinstall
- Сброс настроек MikroTik hAP ac2
- Как сохранить, перенести и восстановить настройки MikroTik
Надеюсь, данная статья была вам полезна. Если возникли вопросы пишите в комментарии.
Общее понятие стандарта
DHCP — это стандарт используется, чтобы хост-системы в сети TCP/IP настраивались автоматически для сети при загрузке с применением механизма клиент/сервер. Они хранят и управляют информацией для клиентов и предоставляют эту информацию по их запросу, которая включает в себя IP-адрес и доступные сетевые услуги. Dhcp-сервер произошел из более раннего протокола BOOTP, который применялся для загрузки по сети TCP/IP , используя тот же формат для сообщений с клиентом, включая дополнительную информацию про данные конфигурации клиентской сети.
Первичным преимуществом DHCP является его способность управлять назначениями IP-адресов посредством лизинга, что позволяет восстанавливать IP-адреса, когда они не применяются и переназначать их другим клиентам. Это позволяет сайту использовать меньший пул IP-адресов, чем если бы всем клиентам был назначен постоянный адрес. Применяемая модель — клиент-сервер, когда сервер выступает в роли хоста, а устройство, подключенное к сети, является клиентом.
Авторизация dhcp-сервера начинает действовать, когда устройство, подключающееся к домашней или бизнес-сети, делает запрос на IP-адрес, который сервер назначает ему из доступных в настоящее время адресов, тем самым позволяя клиентскому устройству осуществлять связь в сети.
Сервер DHCP (dhcp-server / dhcpd) на Linux
Думаю функции сервера, из вышеописанного, вполне ясны — выдавать клиентам (хостам) параметры сетевого подключения. Для работы сервера необходимо установить пакет dhcp-server (в более старых версиях — dhcpd, иногда пакет имеет имя dhcp3-server). После установки, в системе появиться привидение демон — dhcpd. Данный демон должен быть разрешен для запуска на (команда в RedHat — /sbin/chkconfig dhcpd on, в Debian — /usr/sbin/update-rc.d dhcpd defaults). Так же, необходимо, чтобы один из интерфейсов был настроен на статический адрес из той подсети, которую будет раздавать клиентам, иначе демон не будет работать корректно. После установки демон попытается запуститься, но у него ничего не получиться, потому что конфиг неверен.
Далее приведу пример типичного конфига для DHCP-server’a:
dhcp-server:~# cat /etc/dhcp3/dhcpd.conf default-lease-time 600; max-lease-time 7200; option subnet-mask 255.255.255.0; option broadcast-address 192.168.1.255; option routers 192.168.1.254; option domain-name-servers 192.168.1.1, 192.168.1.2; option domain-name "mydomain.org"; subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.10 192.168.1.100; range 192.168.1.150 192.168.1.200; } host hostname { hardware ethernet 08:00:00:00:00:23; fixed-address 192.168.1.222; }
По данному конфигу клиентам распределяются IP-адреса из диапазона 192.168.1.10-192.168.1.100 и 192.168.1.150-192.168.1.200. Если клиент не запрашивает временных рамок, сервер выдает адрес на 600 секунд (default-lease-time 600). В противном случае, максимально возможное время будет установлено в 7200 секунд (max-lease-time 7200). Сервер будет также «советовать» клиенту использовать 255.255.255.0 в качестве маски подсети (option subnet-mask 255.255.255.0), 192.168.1.255 для широкого вещания (broadcast) (option broadcast-address 192.168.1.255), 192.168.1.254 в качестве маршрутизатора/шлюза и 192.168.1.1 и 192.168.1.2 для DNS-сервера (option routers 192.168.1.254 и option domain-name-servers 192.168.1.1, 192.168.1.1 соответственно ). О чем нам как бы говорит клиент, получивший адрес:
host@host-VirtualBox1:~$ ifconfig eth0 Link encap:Ethernet HWaddr 08:00:27:fc:b4:ce inet addr:192.168.1.11 Bcast:192.168.1.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fefc:b4ce/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:2939 errors:0 dropped:0 overruns:0 frame:0 TX packets:57 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:945634 (945.6 KB) TX bytes:10373 (10.3 KB)
Так же, в конфиге есть такой параметр как host hostname, который говорит, что хост с именем hostname у которого сетевая карта имеет MAC 08:00:00:00:00:23 должен иметь постоянный адрес 192.168.1.222 (в Windows данная настройка называется резервирование). Поля options для данного раздела конфигурации так же приемлемы.
Кроме того, возможно «вкладывать» параметр host в параметр subnet для формирования более понятного конфигурационного файла:
dhcp-server:~# cat /etc/dhcp3/dhcpd.conf ..... subnet 192.168.1.0 netmask 255.255.255.0 { range 192.168.1.10 192.168.1.100; range 192.168.1.150 192.168.1.200; host hostname { hardware ethernet 08:00:00:00:00:23; fixed-address 192.168.1.222; } }