Как определить, какой у меня dhcp-сервер?
У меня есть грустная сеть, оставленная некоторыми неосторожными администраторами – я нахожусь в процессе выяснения, какие именно службы запущены и где, не исключая вероятность того, что некоторые службы запускаются из двух мест одновременно, что вызывает массу удовольствия.
Существует два сервера Windows Server 2003, один сервер Windows Server 2008 с Exchange 2022 на нем и SonicWall TZ210 между локальной сетью и глобальной сетью. Компьютеры, подключенные через DHCP, показывают IP-адрес шлюза, который соответствует устройству SonicWall, однако для него не включен DHCP.
Где и как я могу узнать , что это работает DHCP , чтобы я мог управлять ею? Я также обеспокоен внутренними службами DNS и доменов Windows, поскольку в сети, по-видимому, содержится запутанная информация, которая конфликтует сама с собой.
Находим чужие dhcp-серверы в сети. – weblampa
Маршрутизаторы Mikrotik позволяют вычислить чужой, «левый», сторонний DHCP-сервер который находится в вашей сети и тем самым мешает вашим устройствам получать правильные IP-адреса. Такая ситуация может возникнуть, когда клиент, например, подсоединил свой домашний роутер не через WAN порт, а через LAN-порты, а ваша сеть не ориентированна на изоляцию клиента (VLANs, EoIP/VPLS Tunnels, Horizon Bridging/Private VLAN Edge (PVE)). Для этого в RouterOS существует настройка /ip dhcp-server alert:
Добавляем правило, с отсылкой на выполнения скрипта script1:
interface — интерфейс, на котором искать не легитимные DHCP-сервера;
valid-server — список МАС-адресов ваших легитимных DHCP-серверов;
alert-timeout — таймаут обнаружения чужих DHCP-серверов. Если параметр не заполнить (сделать не активным) — скрипт выполнится один раз при обнаружении. Это важный параметр, заполнять его нужно исходя из DHCP Lease Time вашей сети. Если у вас Lease Time стоит 12 часов, то alert-timeout можно сделать 1−2 часа. Вероятность того, что чужой сервер раздаст между этими периодами адреса минимальна. Если Lease Time то и alert-timeout нужно уменьшить. Но, если вы будете при обнаружении «левого» DHCP отправлять e-mail, то сильно уменьшенное время в alert-timeout приведет к спаму на ваше «мыло» до того момента, пока «левый» сервер не пропадет.
unknown-server — список МАС-адресов обнаруженных неизвестных серверов DHCP. Сервер будет удален из этого списка после тайм-аута.
on-alert — сценарий для запуска, если неизвестный сервер DHCP обнаружен;
reset-alert — не выведен в интерфейс WinBox, доступен с командной строки. Команда /ip dhcp alert reset-alert очищает список всех найденных «левых» DHCP-серверов.
Если DHCP Alerts не может получить dhcp-пакет, он действует как dhcp-клиент и посылает пакеты DHCP Discover раз в минуту. В
on-alert
можно добавлять как сам скрипт, так и ссылку на него в виде названия скрипта в /system script.
Но наша задача при появлении «левого» DHCP-сервера отсылать уведомление на e-mail. Что-бы на «мыло» приходило не только оповещение, но и IP, интерфейс на котором найден и MAC-адрес чужого DHCP-сервера. Для этого скрипт нужно писать напрямую в окне
on-alert
, так как там мы будем использовать спец-переменные. Проблема в том, что оператором
get
данные с DHCP Alerts получить нельзя (проблема микротиковцам известна). Итак, напишем скрипт в
on-alert
:
В пункте Unknown Server видно MAC-адрес «левого» сервера. Alert Timeout стоит тестовые 10 секунд, обычно это значение у меня 1 час. Интерфейс может быть как реальный, так и бридж. Значение Valid Servers заполняем нашими легитимными DHCP-серверами, так как у меня он только один (мое текущее устройство), то заполняем MAC с нашего интерфейса.
Upd
рабочий скрипт:
—————————————–
/tool e-mail send from=”mail@gmail.com” server=smtp.gmail.com to=mail@mail.ru subject=(«DHCP Alert: Discovered unknown dhcp-server, RouterBoard identity: „.[/system identity get name]) body=”MikroTik have been detected unknown dhcp-server: nnIP: $address nInterface: $interface nMAC: $”mac-address“»;
/log info «e-mail send unknown dhcp-server»
