Add arp for leases mikrotik что это

Add arp for leases mikrotik что это

Fri Aug 08, 2014 1:57 am

I somehow cannot find any information about this «add ARP for leases» feature.
Can anyone please give me a link to some information.

Member Candidate
Posts: 141 Joined: Mon May 02, 2011 10:47 am Location: New Zealand

Re: Add ARP for leases, what does it do?

Wed Aug 13, 2014 3:44 am

Are you asking what arp is? You’ll want an understanding of what an arp table is
Topic Author
Posts: 38 Joined: Thu Jun 14, 2007 3:23 am

Re: Add ARP for leases, what does it do?

Thu Aug 14, 2014 12:17 pm

No, what does it mean to add it to leases

MikroTik Support

Posts: 26039 Joined: Fri May 28, 2004 11:04 am Location: Riga, Latvia

Re: Add ARP for leases, what does it do?

Thu Aug 14, 2014 12:23 pm

If you enabled this option, and set the interface ARP setting to «reply-only», it will mean that only DHCP clients will be able to access your network, statically configured IP addresses will not be allowed, except if the admin adds their MAC address to the ARP menu

Member Candidate
Posts: 149 Joined: Tue Jan 22, 2008 9:30 pm

Re: Add ARP for leases, what does it do?

Thu Aug 14, 2014 3:12 pm

When you configure the system as Normis explains, the router will no longer populate the ARP table from ARP packets it receives on that interface. The only way that an entry will (automatically) end up in the routers ARP table will be as a result of the DHCP assignment. It adds some security to the network as the router will only ever send IP traffic to the MAC address that was used in the DHCP request. If no DHCP request (and lease issued), no ARP entry.

Setting the interface arp to reply-only will ensure that the router will reply to ARP requests, but it will not populate the ARP table from ARP replies.

@Normis, can we add a feature to turn on this feature when the router is acting as a DHCP relay? I believe currently it only works if the router is the DHCP server and is not a DHCP relay.

Posts: 35 Joined: Sat Aug 06, 2011 7:44 pm Location: Gdansk, Poland Contact:

Re: Add ARP for leases, what does it do?

Fri Feb 12, 2016 3:29 pm

If you enabled this option, and set the interface ARP setting to «reply-only», it will mean that only DHCP clients will be able to access your network, statically configured IP addresses will not be allowed, except if the admin adds their MAC address to the ARP menu

if set how you write, should /ip/settings/arp-timeout be equal to ip/dhcp-server/leases/lease-time or is dhcp-server setting proper arp timeout into router?

Forum Guru
Posts: 4047 Joined: Wed May 11, 2011 6:08 pm

Re: Add ARP for leases, what does it do?

Fri Feb 12, 2016 3:52 pm

if set how you write, should /ip/settings/arp-timeout be equal to ip/dhcp-server/leases/lease-time or is dhcp-server setting proper arp timeout into router?

ARP timeout is the same as the lease expiration timeout in this case.
Posts: 35 Joined: Sat Aug 06, 2011 7:44 pm Location: Gdansk, Poland Contact:

Re: Add ARP for leases, what does it do?

Mon Feb 15, 2016 1:28 pm

if set how you write, should /ip/settings/arp-timeout be equal to ip/dhcp-server/leases/lease-time or is dhcp-server setting proper arp timeout into router?

ARP timeout is the same as the lease expiration timeout in this case.

Thank you for clarifying this.

One last question, maybe you know this too, if I remove some lease from DHCP is router removing also ARP learned from this DHCP entry?

Forum Guru
Posts: 4047 Joined: Wed May 11, 2011 6:08 pm

Re: Add ARP for leases, what does it do?

Mon Feb 15, 2016 3:59 pm

One last question, maybe you know this too, if I remove some lease from DHCP is router removing also ARP learned from this DHCP entry?

I dodn’t know, but it should be trivial for you to try it and see.
just joined
Posts: 1 Joined: Wed Feb 22, 2023 12:16 pm

Re: Add ARP for leases, what does it do?

Sat Nov 25, 2023 11:09 am

If you enabled this option, and set the interface ARP setting to «reply-only», it will mean that only DHCP clients will be able to access your network, statically configured IP addresses will not be allowed, except if the admin adds their MAC address to the ARP menu

Add arp for leases mikrotik что это

Обнаружена блокировка рекламы: Наш сайт существует благодаря показу онлайн-рекламы нашим посетителям. Пожалуйста, подумайте о поддержке нас, отключив блокировщик рекламы на нашем веб-сайте.

Работа с ARP.

Раздел для тех, кто начинает знакомиться с MikroTik

Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку «Действия до настройки роутера».
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.

9 сообщений • Страница 1 из 1
Anzorrr Сообщения: 19 Зарегистрирован: 16 ноя 2020, 12:34

Добрый день! Честно, очень много перегуглил и перечитал статей, но не могу понять как все-таки работает ARP. В настройке DHCP указано «Add ARP for leases», на интерфейсе «reply-only». Я так понимаю, с такой конфигурацией микротик блокирует статичные записи, и вроде бы все. Так вот, с такими настройками в логах часто появляется конфликт мак-адресов. Убираю галку с Add ARP for lease в DHCP, в интерфейсе отключаю ARP ( или перевожу просто в enabled), трафик перестает ходить. Подскажите правильную настройку всего этого, если адреса должны раздаваться DHCP, блокировка статичной записи ip НЕ нужна.

Anzorrr Сообщения: 19 Зарегистрирован: 16 ноя 2020, 12:34

На одном форуме пишут, что один из вариантов постоянным конфликтов MAC — устройство при подключении вместо продления старого адреса берет в аренду новый, в итоге в ARP таблице появляется две записи с одним MAC-адресом. Может ситуация такая. Как с ней бороться ?

Mikrotik DHCP server?

Здравствуйте, вот настраиваю маленькую сеть используя Mikrotik, настроил DHCP сервер, все нормально работает, с помощью make static кнопки резервирую IP адреса в DHCP leases, но Ворос токой вот юсер получивший свой резервировоный IP адрес, может прописать на компе в ручную любой другой IP который не резервировался админом. Как отклюить доступ локальной и глобальной сети если кто то вводит другого IP вручную?

• Вопрос задан более трёх лет назад
• 2455 просмотров

1 комментарий

Средний 1 комментарий

Решения вопроса 1
Ovsiannikov @Ovsiannikov

1. в настройках dhcp-server включить «add arp for leases»
2. в настройках интерфейса к которому подключены юсеры настроить arp — «reply-only»
как результат — работать смогут либо пользователи получившие адрес по дхцп, либо для которых прописана статическая АРП запись.

Ответ написан более трёх лет назад
Комментировать
Нравится 6 Комментировать
Ответы на вопрос 3

web-программист

Жестко привязвать IP к mac адресу и через ACL это все разруливать (если это касается wifi) пример
Если по проводу — Как сделать свой DHCP-сервер единственным? тема не 1в1, но суть должны уловить

Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать

Для правильного вопроса надо знать половину ответа

Слегка вас огорчу. Если у пользователя есть права сменить IP-адрес на компьютере, то с тем же успехом он может сменить и MAC-адрес.

Ответ написан более трёх лет назад

Осталось узнать на накой MAC менять.

Sanes, Это вообще не проблема. Пара команд и адрес в кармане.

ping | arp |

Остаётся дождаться, пока соседский компьютер будет выключен и поменять свой MAC.

Помню раньше пользовался частной сетью, спокойно менял MAC адрес и мне перелетал ip привязанный к нему (бывают нюансы, когда 2 компа включены происходит конфликт ip адресов и у кого то не работает сеть). Маки через сканер находил, потом прикрыли эту фичу, сканер не работал (никакой, даже включенные компы не находил по заданному диапазону ip адресов ), наверное можно как то закрыть порты. ну или ещё лучше настроить как то свитчи, если захочет поменять ip, то ему надо будет залезть в начале в него.

Готовые решения — не подаю, но.

В энтерпрайзе IEEE 802.1X позволяет решить все проблемы. Дома\soho — не уверен что будет посильным по технико-финансовым соображениям.

Тем более что стоит начинать с малого — организационных мер. Например, как уже отметили, с реализации организационной части в плане «не может юзер/клиент шалить с проводами и настройками оборудования».

Ну и еще можно поиграться с каждый порт — отдельный vlan или столь любимому раньше (да и сейчас) провайдерами PPTP (выкатив серый пул 10.0.0.0/8) -)

Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

• Mikrotik
• +1 ещё

При загрузке торрент процессор сильно нагружается, как это решать?

• 2 подписчика
• вчера
• 199 просмотров

Записки IT специалиста

Используем режим ARP reply-only для повышения безопасности сети на оборудовании Mikrotik

• Автор: Уваров А.С.
• 19.11.2021

Безопасность небольших сетей — больная тема для большинства администраторов, особенно если это сети небольших филиалов, торговых точек и т.д. и т.п. Обычно ситуация усугубляется ограниченными бюджетами на оборудование и отсутствием самого понятия информационной безопасности у пользователей таких сетей. Вполне распространённой практикой является свободный доступ к сетевому оборудованию и гуляющий по рукам пароль Wi-Fi. Что можно сделать в такой ситуации? Довольно многое, если у вас на руках оборудование Mikrotik, а как — расскажем в данной статье.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Прежде всего сформулируем задачу. Основную проблему небольших сетей можно выразить одной фразой — «проходной двор». Сетевое оборудование часто располагается, где придется и физический доступ к нему никем не контролируется, также плохо все и с политиками безопасности, очень часто сотрудники просто не понимают, что плохого в том, если они «поделятся» Wi-Fi с соседями по офисному центру.

Поэтому у многих администраторов есть запрос на то, чтобы нормально функционировать в пределах сети могли только доверенные устройства, а остальные, даже физически подключившись к ней, были бы крайне ограничены в сетевых возможностях. Аналогичная потребность есть и в учебных заведениях, но там несколько иная подоплека, заключающаяся в защите детей от информации, причиняющей вред их здоровью и развитию. Если перевести это с официального на русский, то ни при каких обстоятельствах устройство, подключенное в сеть учебного заведения не должно получить выход в интернет без многочисленной фильтрации запрашиваемого контента.

В общем задача понятна — построить сеть, в которой смогут работать только те устройства, которые будут явно одобрены администратором. Теперь посмотрим, какими средствами мы можем ее решить. Для этого снова вспомним как работают сети. Когда мы говорим о небольшой локальной сети, то подразумеваем IP-сеть поверх Ethernet. Вот об Ethernet сейчас и поговорим.

Протокол IP, являясь протоколом сетевого уровня (L3), решает вопросы доставки пакетов между сетями, внутри же сети взаимодействие между узлами происходит на канальном уровне — L2. Для того, чтобы отправить кадр, а сети Ethernet оперируют именно кадрами, необходимо знать физический адрес (MAC) узла назначения. Но заголовки IP-пакета содержат только IP-адреса, как быть? Использовать протокол ARP, позволяющий получить MAC-адрес зная IP-адрес узла.

Протокол достаточно прост, узел, который хочет узнать MAC-адрес другого узла отправляет широковещательный запрос «у кого адрес 192.168.0.х ответьте 192.168.0.y«, этот запрос получают все узлы, но отвечает только обладатель адреса «я 192.168.0.х, мой адрес 00:11:22:33:44:55«.

Получив ответ на ARP-запрос узел помещает его в специальную таблицу, чтобы повторно не запрашивать при каждом обращении и формирует Ethernet-кадр для указанного MAC-адреса.

Как это может нам помочь? У Mikrotik есть несколько режимов работы с протоколом ARP, один из них — reply-only — подразумевает что устройство не делает ARP-запросов, а отвечает только тем узлам, данные о которых занесены в ARP-таблицу вручную. Проще говоря, с данной настройкой роутер будет взаимодействовать только с теми устройствами, которые явно укажет администратор.

Кроме того, DHCP-сервер Mikrotik имеет режим, в котором адреса будут выдаваться только тем узлам, для которых включено резервирование, т.е. прописано явное соответствие между MAC-адресом и выдаваемым IP. Сочетание этих двух возможностей позволяет значительно повысить безопасность небольших сетей, не теряя при этом удобства администрирования.

Но начнем мы с того, что просто настроим сеть обычным образом. Теперь, если заглянуть в IP — DHCP Server — Leases — то мы увидим выданные узлам сети IP-адреса, а в IP — ARP можем увидеть ARP-таблицу.

Обратите внимание, что содержимое ARP-таблицы отличается от списка выданных адресов, к примеру в ней присутствует адрес 192.168.111.2 — это устройство со статически настроенным адресом, но так как оно взаимодействовало с роутером записи о нем попали в ARP-таблицу.

Итак, сеть настроена, подключенные устройства отображаются в указанных выше таблицах. Это хорошо. Для чего мы так поступили? Чтобы не заполнять руками данные для привязки устройств к DHCP-серверу и таблице ARP. Начнем с DHCP, выбираем нужный нам узел и в меню правой кнопки мыши нажимаем Make Static.

Выполнив данное действие для всех известных узлов переведем DHCP-сервер в режим статического пула, т.е. выдачи адресов только указанным узлам. Для этого перейдем в IP — DHCP Server — DHCP и откроем настройки экземпляра сервера, в нем изменим настройку Address Pool на static-only.

Половина дела сделана, теперь идем в IP — ARP и выполняем аналогичную операцию для записей известных узлов, точно также делаем для них Make Static, при этом не забываем про записи узлов со статическими адресами.

Выполнив эти действия, перейдем в свойства интерфейса, смотрящего в локальную сеть, скорее всего это будет сетевой мост (bridge), и изменим опцию ARP на reply-only.

Обратите внимание, как изменилась после этого ARP-таблица, из нее пропали все динамические записи для данного интерфейса.

Как на это отреагирует сеть? Для тех устройств, которые мы прописали, не изменится ничего, а вот все остальные теперь просто не смогут получить IP-адрес, но это полбеды, а если кто-то введет его вручную? Да пусть вводит, так как запись об этом узле отсутствует в ARP-таблице, то роутер не будет ему отвечать, даже пропинговать его не удастся.

Как видим, достаточно простые настройки позволили нам существенно поднять безопасность сети, но как быть, если появится новый узел? Вам придется вручную добавить записи для него на DHCP-сервер и в ARP-таблицу.

Либо можно включить опцию Add ARP For Leases в настройках DHCP-сервера и тогда ARP-таблица будет заполняться автоматически для выданных адресов.

Как видим — это несложно, но требует постоянной ручной работы, поэтому данный метод подходит только для небольших сетей. В тоже время он показывает всю гибкость RouterOS, которая позволяет решать достаточно сложные сетевые задачи даже на самом недорогом оборудовании.

Научиться настраивать MikroTik с нуля или систематизировать уже имеющиеся знания можно на углубленном курсе по администрированию MikroTik. Автор курса, сертифицированный тренер MikroTik Дмитрий Скоромнов, лично проверяет лабораторные работы и контролирует прогресс каждого своего студента. В три раза больше информации, чем в вендорской программе MTCNA, более 20 часов практики и доступ навсегда.

Дополнительные материалы:

Mikrotik

1. Оборудование MikroTik класса SOHO. Общий обзор и сравнение возможностей
2. Производительность младших моделей Mikrotik hEX и hAP. Экспресс-тестирование
3. Базовая настройка роутера MikroTik
4. Расширенная настройка DNS и DHCP в роутерах Mikrotik
5. Автоматическое резервное копирование настроек Mikrotik на FTP
6. Проброс портов и Hairpin NAT в роутерах Mikrotik
7. Настройка IPTV в роутерах Mikrotik на примере Ростелеком
8. Настройка VPN-подключения в роутерах Mikrotik
9. Настройка черного и белого списков в роутерах Mikrotik
10. Настройка выборочного доступа к сайтам через VPN на роутерах Mikrotik
11. Настройка OpenVPN-сервера на роутерах Mikrotik
12. Безопасный режим в Mikrotik или как всегда оставаться на связи
13. Настройка Proxy ARP для VPN-подключений на роутерах Mikrotik
14. Настраиваем Port Knocking в Mikrotik
15. Резервирование каналов в Mikrotik при помощи рекурсивной маршрутизации
16. Настраиваем родительский контроль на роутерах Mikrotik
17. Настраиваем IKEv2 VPN-сервер на роутерах Mikrotik с аутентификацией по сертификатам
18. Расширенная настройка Wi-Fi на роутерах Mikrotik. Режим точки доступа
19. Mikrotik CHR — виртуальный облачный роутер
20. Настройка контроллера CAPsMAN (бесшовный Wi-Fi роуминг) на Mikrotik
21. Настройка VPN-подключения на роутерах Mikrotik если подсети клиента и офиса совпадают
22. Настраиваем использование DNS over HTTPS (DoH) на роутерах Mikrotik
23. Настройка PPTP или L2TP VPN-сервера на роутерах Mikrotik
24. Установка Mikrotik CHR на виртуальную машину Proxmox
25. Защита RDP от перебора паролей при помощи оборудования Mikrotik
26. Настройка SSTP VPN-сервера на роутерах Mikrotik
27. Настройка выборочного доступа к сайтам через VPN с автоматическим получением маршрутов по BGP на роутерах Mikrotik
28. Особенности эксплуатации CA на роутерах Mikrotik: резервное копирование, экспорт и импорт сертификатов
29. Настройка туннелей GRE и IPIP на роутерах Mikrotik
30. Правильное использование Fast Path и FastTrack в Mikrotik
31. DHCP Snooping — настройка защиты от неавторизованных DHCP-серверов на оборудовании Mikrotik
32. Работа оборудования Mikrotik в режиме беспроводной станции (клиента)
33. Используем режим ARP reply-only для повышения безопасности сети на оборудовании Mikrotik

The Dude

1. The Dude. Установка и быстрое начало работы
2. Централизованное управление обновлением RouterOS при помощи The Dude
3. Централизованный сбор логов Mikrotik на сервер The Dude

Помогла статья? Поддержи автора и новые статьи будут выходить чаще:

Или подпишись на наш Телеграм-канал: