Amarração MAC x IP, meia bomba!

Pessoal, tenho um rb 750, ele tem as interfaces:

pppoe client (do modem adsl/bridge)
wireless
lan 1, 2... 5.
bridge (da lan 2 à)

Eu fiz a tabela arp estatica so com os ips que podem navegar e coloquei a interface bridge pra reply-only.

Dessa forma, apenas os IPs da tabela arp navegam, se eu botar qualquer outro ele nao navega e nao faz nada.

O problema é que os ips registrados navegam mesmo que se nao for com o mac que eu cadastrei, esse que é meu problema o mac nao bate mas o mikrotik deixa ele navegar mesmo assim, ele só bloqueia se o ip nao ta no arp, mas se ta no arp e o mac nao coincide navega de boa!

O que fiz de errado?

Citação:

---

Postado originalmente por LKS45

O que fiz de errado?

---

Fiz a simulação aqui, e deu certo. Redefini (reset) a configuração de uma RB750G, aplicando a seguinte configuração:

Código :

---

/system identity set name=rb-exemplo-para-lks45
/interface bridge add name=bridge-lan
/interface bridge port add bridge=bridge-lan interface=ether1
/interface bridge port add bridge=bridge-lan interface=ether2
/interface bridge port add bridge=bridge-lan interface=ether3
/ip address add address=172.16.0.1/24 interface=bridge-lan
/ip arp add address=172.16.0.2 mac-address=000011000012 interface=bridge-lan
/ip arp add address=172.16.0.3 mac-address=000011000013 interface=bridge-lan
/ip arp add address=172.16.0.4 mac-address=000011000014 interface=bridge-lan
/interface bridge set [find where name="bridge-lan"] arp=reply-only

---

Resultado: Funcionou.

Perguntas: Seu RouterOS está na versão 5.14? Seu firmware está na versão 2.38? Se sim para as duas perguntas, publica aí as suas configurações, usando o seguinte comando:

Código :

---

/export compact hide-sensitive

---

Também envie sua tabela ARP, usando o comando abaixo:

Código :

---

 /ip arp print without-paging

---

Saudações,

Trober

Já publico o arquivo, preciso dar reboot e hj com esse feriado preciso esperar o povo dormir se não vai tocar meu telefone.

Continuo com o problema, mesmo upgradeado fw e sistema.

Código :

---

# jan/02/1970 00:11:34 by RouterOS 5.14
# software id = X744-E25F
#
/interface bridge
add admin-mac=00:0C:42:F9:89:FF arp=reply-only auto-mac=no l2mtu=1598 name=\
    Local protocol-mode=rstp
/interface wireless
set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no \
    ht-rxchains=0,1 ht-txchains=0,1 l2mtu=2290 mode=ap-bridge name=Wireless \
    rate-selection=legacy ssid=iwww.com.br wireless-protocol=any
/interface ethernet
set 0 name="Lan 1"
set 1 name="Lan 2"
set 2 master-port="Lan 2" name="Lan 3"
set 3 master-port="Lan 2" name="Lan 4"
set 4 master-port="Lan 2" name="Lan 5"
/interface pppoe-client
add add-default-route=yes disabled=no interface="Lan 1" name=Internet \
    password=(...) use-peer-dns=yes [EMAIL="user=(...)@oi"]user=(...)@oi[/EMAIL]
/interface wireless security-profiles
set [ find default=yes ] eap-methods=passthrough group-ciphers="" mode=\
    static-keys-optional supplicant-identity=MikroTik unicast-ciphers=""
/ip pool
add name=default-dhcp ranges=10.0.0.100-10.0.0.200
/queue simple
add max-limit=200k/4M name=RodrigoP target-addresses=10.0.0.17/32
add max-limit=200k/2M name=RodrigoP-PS3 target-addresses=10.0.0.18/32
(...)
/interface bridge port
add bridge=Local interface=Wireless
add bridge=Local interface="Lan 2"
/ip address
add address=10.0.0.1/8 interface=Local
/ip arp
add address=10.0.0.45 comment=LucasB interface=Local mac-address=\
    50:E5:49:55:C6:BC
(...)
add address=10.0.0.99 comment=Livre/Testes interface=Local
/ip dhcp-server config
set store-leases-disk=never
/ip dns
set allow-remote-requests=yes max-udp-packet-size=512 servers=\
    201.10.1.3,201.10.120.2
/ip dns static
add address=10.0.0.1 name=router
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=\
    "Lan 1"
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" \
    out-interface=Internet to-addresses=0.0.0.0
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
/ip upnp
set enabled=yes
/queue interface
set "Lan 1" queue=ethernet-default
set "Lan 2" queue=ethernet-default
set "Lan 3" queue=ethernet-default
set "Lan 4" queue=ethernet-default
set "Lan 5" queue=ethernet-default
/system identity
set name=routeador
/system routerboard settings
set cpu-frequency=250MHz
/tool mac-server
add disabled=no interface=Wireless
add disabled=no interface="Lan 2"
add disabled=no interface="Lan 3"
add disabled=no interface="Lan 4"
add disabled=no interface="Lan 5"
add disabled=no interface=Local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=Wireless
add interface="Lan 2"
add interface="Lan 3"
add interface="Lan 4"
add interface="Lan 5"
add interface=Local

---

e o outro:

Código :

---

Flags: X - disabled, I - invalid, H - DHCP, D - dynamic 
 #   ADDRESS         MAC-ADDRESS       INTERFACE                                                                                                                                                                                                            
 0   ;;; LucasB
     10.0.0.45       50:E5:49:55:C6:BC Local                                                                                                                                                                                                                
(...)                                                                                                                                                                                                          
24   ;;; Livre/Testes
     10.0.0.99       00:00:00:00:00:00 Local

---

Acredito que era para estar funcionando normal, porém, como não está, tente colocar arp-reply only em todas as interfaces que estão na bridge também.

Citação:

---

Postado originalmente por LKS45

Continuo com o problema, mesmo upgradeado fw e sistema.

---

Cara, seu código veio com pedaços importantes faltando, não sendo fiel à saída dos comandos que solicitei.

De qualquer forma, refiz aqui, com base no pouco que veio, e detectei o seu problema. Você tem uma bridge chamada Local, que lá estão suas ethernet e interface wireless. Acontece que o gateway de seus clientes não é sua routerboard, segundo o pedaço de código que me passou.

Corrija isso, fazendo com que a routerboard seja seu gateway de seus clientes. Ao que parece, pelo pouco que veio de código, o modem é gateway dos clientes, e não sua routerboard. Ou então "amarre" os ip+mac no seu gateway.

Faça as correções e avisa aí :)

Saudações,

Trober
-
-
-
-
-

também não entendi direito sua configuração,pois esta faltando regras ( ip router ) e outras não necessárias (bridge)

os passo são simples 1 ip address ip do seu clientes ou seu gatway e ip do link --2 ip router--3 ip Firewall nat mascara rede,as ,5 ether 1 é link e as demais não são bridge e sim saída,, Reply-Only somente nas saída

Aproveitando o embalo e caindo de paraquedas rsss.

Estou justamente configurando a minha RB450G e estou tentando fazer isso, amarre de ip x mac, só que coloquei como gateway o meu router. Devo colocar como gateway de rede a RB?

Se sim, onde mais tenho que alterar para fazer o Nat com a RB sendo o servidor DHCP?

Grato pela atenção.

Velhinho

Citação:

---

Postado originalmente por trober

Cara, seu código veio com pedaços importantes faltando, não sendo fiel à saída dos comandos que solicitei.

De qualquer forma, refiz aqui, com base no pouco que veio, e detectei o seu problema. Você tem uma bridge chamada Local, que lá estão suas ethernet e interface wireless. Acontece que o gateway de seus clientes não é sua routerboard, segundo o pedaço de código que me passou.

Corrija isso, fazendo com que a routerboard seja seu gateway de seus clientes. Ao que parece, pelo pouco que veio de código, o modem é gateway dos clientes, e não sua routerboard. Ou então "amarre" os ip+mac no seu gateway.

Faça as correções e avisa aí :)

Saudações,

Trober
-
-
-
-
-

---

Não pode, o modem esta em bridge é o RB que disca, entao obvio que ele é o gatway.

Eu so tirei a senha do PPPOE e a lista de mac e controle de banda eu deixei só, tem varios, mas nao acho que precisaria ter todos já que sao iguais.

Foi so isso que eu fiz!

ps: a interface local é a bridge que veio preconfigurado de fabrica que é uma bridge da lan 2 à 5.

Tem um comando que tira isso, ai você pode configurar individualmente todas as portas a seu gosto. Eu deixei a minha porta 1 como WAN e a 2 "independente" para o Switch, e pelo que vi para fazer cache full, deixarei o servidor conectado a 3, a 4 vou deixar para o servidor de backup e a 5 para manutenção (se eu quiser entrar na RB vou ter essa porta livre).

Mas eu nao quero mudar isso, gosto assim em bridge. E nao sei se é isso que gera o problema.

Acho que descobri o problema da kombi:

A porta que meu pc ta ligado é a 2 que tem uma configuracao de master admin coisa assim, eu testei os pcs ligados nas portas 3 4 e 5 que vai pra switch e lá nao tem erro, restringe os ip certinho.

Só fiquei com uma duvida: eu queria deixar um ou 2 ips pra assistencia técnica aonde vem alguns computadores e nao queria que tivesse que cadastrar o mac de cada computador que vem aqui. Ai, criei um arp com mac 0000000000 mas nao deu certo, ele nao fico navegavel.

Alguem sabe como deixar um ip livre, pra qualquer mac poder usar?

So me falta isso, obrigado pelas dicas.

vc tera de criar dhcp e direcionar na porta que sera usada para serviço onde não tera segurança de ipo e mac

So assim? Gostaria de deixar a rede sem dhcp nenhum.