Synology RT6600ax i możliwości SRM 1.3

[tylut]

Dzień dobry
Mam zamiar zakupić router Synology RT6600ax do firmy i prosiłbym jeśli to możliwe o poradę:
1. Czy oprogramowanie SRM 1.3 zainstalowane na tym routerze ma możliwość przypisać 150 adresów statycznych urządzeń aby zawsze dostawały ten sam adres IP i zablokowanie dhcp dla innych komputerów, które nie zostały przypisane do rezerwacji statycznej? tak aby jakiś użytkownik nie podłączył się do sieci swoim prywatnym laptopem nie przypisanym do dhcp static, po prostu nie otrzyma adresu IP i nie będzie mógł korzystać z sieci i internetu.
2. Czy można zapisywać automatycznie codzienne logi z routera np. na USB lub na jakiś komp w sieci?

[bebek]

1. Czy oprogramowanie SRM 1.3 zainstalowane na tym routerze ma możliwość przypisać 150 adresów statycznych urządzeń aby zawsze dostawały ten sam adres IP i zablokowanie dhcp dla innych komputerów, które nie zostały przypisane do rezerwacji statycznej? tak aby jakiś użytkownik nie podłączył się do sieci swoim prywatnym laptopem nie przypisanym do dhcp static, po prostu nie otrzyma adresu IP i nie będzie mógł korzystać z sieci i internetu.

Nie wiem jak to jest w SRM bo nie używam ale tak normalnie działający DHCP z pewnością ma możliwość rezerwacji IP dla urządzenia tylko w połączeniu z adresem MAC. Tym samym zawsze będzie dostawał ten sam adres.
Jeśli obcy sprzęt podłączony do sieci ma być bez IP z DHCP to najprościej utworzyć pulę adresów w DHCP tylko dla tych urządzeń, które mają z tej puli korzystać.

2. Czy można zapisywać automatycznie codzienne logi z routera np. na USB lub na jakiś komp w sieci?

Ja korzystam z syslog'a w DSM. W swoim routerze mam ustawione wysyłanie logów do syslog'a w DSM Synology (Centrum logów). Jednym słowem pomyśl o syslog'u bo SRM ma możliwość wysyłania różnych informacji własnie do sysloga.

[tylut]

Dziękuję za odzew.
Z tymi przypisanymi adresami DHCP to wiem, że każdy router ma taką możliwość skojarzyć mac adres z adresem IP i dodania go jako statycznego. Jeśli jednak stworzę pulę adresów DHCP Static np. 192.168.0.2-192.168.0.100 i przypiszę wszystkie urządzenia jako statyczne po adresie mac to gdy przykładowo drukarka sieciowa będzie miała adres 192.168.0.99 a któryś z kompów wypadnie z tej puli np. z IP 192.168.0.5 (utylizacja, awaria itp.) to będę musiał zachować jego mac adres przypisany do adresu IP tylko po to żeby nie było w puli wolnego adresu do pobrania np. po podłączeniu do sieci nieproszonego kompa gościa:). Gdy zmniejszę pulę adresów z 192.168.0.2 - 192.168.0.99 i przepiszę drukarkę sieciową na adres 192.168.0.5 po tym odłączonym kompie to muszę zmieniać adres sieciowy tej drukarki na komputerach, które na niej drukowały aby nadal mogły z niej korzystać. W Tomato jest to rozwiązane w ten sposób, że w adresacji STATIC DHCP można zaznaczyć "Ignoruj żądania DHCP od nieznanych/nieprzypisanych urządzeń" w ten sposób mogę mieć adresację DHCP 192.168.0.2-192.168.0.100 i np. urządzenia zacząć przypisywać od 192.168.0.10-192.168.0.100 to i tak jak ktoś nieuprawniony podłączy się po kablu do routera lub jakiegoś gniazda w budynku RJ45 nie uzyska adresu z puli 192.168.0.2-192.168.10 i nie będzie miał ani internetu ani dostępu do sieci. (bardzo pomocna funkcja)
Ale się rozpisałem:), mam nadzieję, że z tych moich wypocin coś można wywnioskować
Czy w SRM 1.3 jest możliwość ustawić w LAN podobnie jak w Wi-Fi Connect aby mogły korzystać z sieci tylko komputery przypisane po mac adresie obojętnie jaki dostaną z DHCP adres IP. - Czy można utworzyć jakąś listę dostępową firewall czy coś takiego?

[pdz]

Napisz może co to za budynek , dom czy jakieś biuro albo blok jak dostępne są gniazdka sieciowe , wifi , co chcesz osiągnąc , bo czytam i nie bardzo rozumiem w czym rzecz.
W WiFi masz to prosto rozwiązane , tworzysz sieć główną , sieć gości i masz podział , tak mam w domu , laptop korzysta z sieci głównej a telefony i tablety , które mają mieć tylko internet z sieci gości.
Po kablu to inna sprawa , możesz sobie robić skojarzenia mac<>ip ale (tego nie sprawdzałem) jak podepniesz kabel i na sztywno wpiszesz adres ip, maskę, bramę to jesteś w sieci, chyba, że gniazdka chronione wepniesz pod port przyporządkowany do sieci głównej a te dostępne dla wszystkihc od sieci gości i masz jakiś podział a gdyby to nie wystarczyło to trzeba wdrożyć jakiś zaawansowany switch czy port security.
Jak pisałem bez opisu co masz o co chcesz osiągnąc ciężko będzie doradzić. Jak napisałem jakieś brednie (krótko mam router Synology) to mnuie poprawcie

[tylut]

Sieć- biuro - bez WiFi, bez sieci Gość, tylko LAN - chcę aby osoba nieuprawniona po podłączeniu się do gniazda sieciowego np. swojego prywatnego laptopa nie uzyskała dostępu do sieci i internetu mimo włączonego DHCP.
Korzystam teraz z alternatywnego oprogramowania Tomato na router Asusa i jest tam taka opcja "Ignoruj żądania DHCP od nieznanych/nieprzypisanych urządzeń" i ta opcja jest super przydatna:)
czy coś takiego można uzyskać w SRM 1.3?

[stanley99]

O ile dobrze zrozumiałem problem. Pobawiłem się chwilę, troszkę potestowałem i takie coś wymyśliłem. Załóżmy chodzi o sieć o zakresie 192.168.0.2-192.168.0.254. Dla uproszczenia będę się posługiwał ostatnią liczbą, czyli mamy zakres od 2 do 254.
1. Zakres adresów przydzielanych automatycznie przez DHCP zawężamy do JEDNEGO. Sieć lokalna->Ogólne>Serwer DHCP wpisujemy taki sam Początkowy/Końcowy adres IP). Niech to będzie ostatni z naszej puli czyli 254. Zatem po podłączeniu komputera “obcego” o “nieznanym” jakimś-tam MAC zawsze zostanie mu przydzielony tylko tenże IP.
2. Teraz główny myk. Wygląda na to, że działa. W zakładce “Rezerwacja IP” też wpisujemy IP 192.168.0.254. A adres MAC… jakiś z czapy, którego nie posiada chyba żadna "realna" karta sieciowa. Do testów wpisałem 00:00:00:00:00:00 - łyknęło
Co się wówczas dzieje? Po podłączeniu “nieznanego” kompa DHCP (zapewne) próbuje przydzielić mu adres z końcówką 254, ale się nie zgadza MAC, bo jest inny niż 12 zer. Ostatecznie IP nie zostaje przydzielony - i o to chodziło
3. Dla pozostałych “autoryzowanych” w naszej sieci kompów/urządzeń wpisujemy ich MACe oraz przydzielamy im odpowiednie IP w zakładce “Rezerwacja IP”. Mamy w sumie do dyspozycji 252 adresy (od 2 do 253). Aczkolwiek ile SRM faktycznie pozwala rezerwować tego nie wiem.

Oczywiście nie jest to zabezpieczenie idealne (o ile w ogóle można nazwać zabezpieczeniem…). W miarę kumaty użytkownik uzyska dostęp do sieci, jeżeli na karcie sieciowej swojego kompa wpisze statyczny IP należący do naszej podsieci, oraz przy tym szczęśliwie nie wpadnie w konflikt z IP innego urządzenia. Ale chyba może postąpić z tym samym efektem w układzie z Asusem i Tomato.

Testy robiłem na RT2600ac z SRM 1.2 (do przejścia na 1.3 jakoś wciąż nie mogę się zebrać) oraz przez wifi. Myślę jednak, że w tym przypadku nie ma to znaczenia, tzn. kabel / wifi.
Pozdrawiam i nie gwarantuję sukcesu

[tylut]

Dziękuję bardzo za pomoc- wiem, że tak można , jednak na przestrzeni lat kilka komputerów wypadnie z tej grupy przydzielonych adresów i wtedy albo muszę zostawić ich stare przydzielone adresy mac mimo, że już ich nie ma aby zapełnić miejsce przydzielonych IP lub zastąpić je podobnie jak napisałeś 00:00:00:00:00:00. I wtedy powstaje taki problem, że mając sieć 192.168.0.2 -192.168.0.254 to mając w sieci 150 komputerów i tak muszę resztę uzupełnić jakimiś fikcyjnymi adresami mac . Zmniejszając pulę adresów np. 192.168.0.2-192.168.150 to przypisane drukarki sieciowe zmieniają adres IP i trzeba instalować je od nowa dla użytkowników. Mam 6 budynków oddalonych od siebie 5-6 km połączonych światłowodem i w jednej lokalizacji router, którym zarządzam całą siecią. Dlatego nie wiem kto co próbuje podłączyć w innym budynku do sieci i taka blokada jak już pisałem, której używam w Tomato blokuje dostęp nieuprawnionym osobom/komputerom.
Może jest jakaś stronka gdzie można zgłaszać swoje propozycje do oprogramowania SRM 1.3 do Synology?

[stanley99]

<...> jednak na przestrzeni lat kilka komputerów wypadnie z tej grupy przydzielonych adresów i wtedy albo muszę zostawić ich stare przydzielone adresy mac mimo, że już ich nie ma aby zapełnić miejsce przydzielonych IP lub zastąpić je podobnie jak napisałeś 00:00:00:00:00:00. I wtedy powstaje taki problem, że mając sieć 192.168.0.2 -192.168.0.254 to mając w sieci 150 komputerów i tak muszę resztę uzupełnić jakimiś fikcyjnymi adresami mac . Zmniejszając pulę adresów np. 192.168.0.2-192.168.150 to przypisane drukarki sieciowe zmieniają adres IP i trzeba instalować je od nowa dla użytkowników.

Witam

Prawdę rzekłszy nie bardzo rozumiem tego fragmentu. Przecież drukarkom też można zarezerwować IP na podstawie ich adresów MAC. Nawet gdy jakiś komp "wypadnie" z sieci, zostanie usunięty z listy rezerwacji, IP pozostałych urządzeń z listy nie zmienią się. Można też pewnym urządzeniom, że tak napiszę stałym w sieci (w sensie rzadko wymienianym, newralgicznym), np. właśnie drukarkom, serwerom NAS, skanerom, itp. przypisać statyczne IP na ich kartach sieciowych. Wówczas mamy pewność, że te adresy się nie zmienią, nawet gdy przestanie działać DHCP Trzeba jednak zadbać, aby te adresy nie pokrywały się z zarezerwowanymi bądź przydzielanymi przez DHCP automatycznie (aczkolwiek mój "pomysł" polega na automatycznym przydzielaniu tylko 1 IP oraz w pewnym sensie zablokowaniu go, czyli "dopuszczone" pozostają tylko rezerwacje lub IP całkowicie statyczne). Można również przyjąć jakieś własne wewnętrzne zasady przydzielania/rezerwowania adresów, np. od 2-149 komputery robocze, od 150-159 drukarki i tak dalej. Taki system stosuję w mojej domowej sieci, np. NAS ma u mnie ten sam statyczny adres od 10 lat Podobnie np. drukarka czy smart-telewizor, dekoder sat. Lecz pozostałe urządzenia, głownie mobilne (fony, laptopy, itp.) pobierają sobie adresy z DHCP automatycznie.

Jakkolwiek wspomniana wyżej praktyczna rezygnacja z automatycznego przydzielania adresów powoduje zdaniem moim rezygnację z tego co jest największym dobrodziejstwem i istotą DHCP, czyli... automatycznego przydzielania adresów. Przecież w DHCP własnie o to chodzi, żeby administrator nie musiał się martwić nadawaniem adresów, rezerwowaniem, wklepywaniem, itd.
Dlatego w Twojej sieci, z taką ilością urządzeń/użytkowników może warto pomysleć o innym, bardziej zaawansowanym mechanizmie dopuszczania do działania / autoryzacji ? Nie wiem, może jakiś specjalny do tego celu serwer, logowanie przez wewnętrzną stronę, itp.? Tutaj w wyborze rozwiązania nie pomogę, bo jestem w sumie tyko domowym użytkownikiem-amatorem. Jednak na pewno są tu forumowicze wysoko szkoleni w tych sprawach, może coś podpowiedzą

Pozdrawiam
PS.

Może jest jakaś stronka gdzie można zgłaszać swoje propozycje do oprogramowania SRM 1.3 do Synology?

Jest na tym forum dział:
viewforum.php?f=42
Można też zapewne zgłaszać bezpośrednio do supportu Synology, aczkolwiek osobiście nigdy tego nie ćwiczyłem.