Назад | Перейти на главную страницу

Как зарезервировать статический IP-адрес на маршрутизаторе Mikrotik для устройства, подключенного к порту Ethernet фиксированного маршрутизатора

Я изо всех сил пытаюсь выяснить, как я могу заставить любое клиентское устройство DHCP, подключенное к порту ETH10 на маршрутизаторе Mikrotik, получить фиксированный IP-адрес.

Обратите внимание, что MAC-адрес устройства неизвестен, и я не буду резервировать статический IP-адрес, привязанный к MAC-адресу подключенного устройства на стороне маршрутизатора, кроме того, подключенные устройства настроены как DHCP-клиент и не могут предложить статический IP-адрес. .

Чтобы прояснить подробности ниже, вы можете найти дополнительные объяснения, которые я создал [на маршрутизаторе Mikrotik] bridge1 с диапазоном IP-адресов 192.168.20.0/24, назначенным для портов Eth1, Eth2, Eth3 и всех подключенных устройств к портам маршрутизатора Eth1, Eth2 , Eth3 получает динамичный IP-адрес от DCHP-сервера маршрутизатора с пулом 192.168.20.100-19.168.20.110, кроме того, подключенные устройства ETh1, Eth2, Eth3 должны иметь доступ к Интернету, и их адреса всегда должны динамически получать от DHCP-сервера маршрутизатора.

Проблема заключается в следующем: я хотел бы зарезервировать порт Eth10 на mikrotik, чтобы предлагать только и только и всегда статический IP-адрес 192.168.20.115 любому устройству IoT, чей интерфейс Ethernet подключен к ETH10 маршрутизатора, все Ethernet-порт устройства IoT настроены как DHCP-клиент, и его невозможно изменить.

Маршрутизатор Mikrotik вообще не должен назначать статический IP-адрес устройству IoT на основе зарезервированного MAC-адреса подключенного интерфейса Ethernet устройства IoT, поскольку многие из этих устройств IoT будут подключены, а затем отсоединены позже, и это невозможно зарезервировать / сохранить эти MAC-адреса на маршрутизаторе.

Кроме того, по соображениям безопасности любое устройство IoT должно быть доступно с любого устройства, подключенного к ETH1-ETH3, и наоборот, но устройство IoT не должно вообще получать доступ к Интернету, в то время как устройства ETH1-ETH3 могут получать доступ к Интернету и поговорить / связаться друг с другом.

Я создал DHCP-сервер в Mikrotik и поделился Интернетом с устройствами ETH1-ETH3, но мне не удалось создать / назначить статический IP-адрес подключенному устройству ETH10 и заблокировать для него Интернет. Все мои поисковые запросы предлагают назначение статических IP-адресов на основе MAC-адресов, которые мне не нужны.

Приветствуются любые руководства / настройки о том, как добиться назначения статического IP-адреса без MAC-адреса и блокировки Интернета на конкретном IP-адресе в подсети, которая работает на Mikrotik.

Настройте отдельный DHCP-сервер на eth10, который динамически передает этот единственный адрес с коротким сроком аренды и без настроек DNS.

/ip address add address=192.168.20.114/31 interface=eth10
/ip pool add name="iot-static" ranges=192.168.20.115
/ip dhcp-server add name="iot-dchp" interface=eth10 lease-time=1m address-pool=iot-static add-arp=yes authoritative=yes use-radius=no
/ip dhcp-server network add address=192.168.20.114/31 gateway=192.168.20.114 netmask=31 dns-none=yes

Чтобы заблокировать любой трафик от устройств IoT, но разрешить ответы, настройте правило фильтра брандмауэра, которое блокирует новые подключения от устройства IoT:

/ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited connection-state=new src-address=192.168.20.115 in-interface=eth10 log=no

Если вы хотите заблокировать только интернет-трафик, используйте другое правило фильтрации:

/ip firewall filter add chain forward action=reject reject-with=icmp-admin-prohibited src-address=192.168.20.115 out-interface=eth-internet log=no