Перейти к содержимому
Калькуляторы

Авторизация PPTP + покупка "анлима" в складчину

У меня в сети появились юзеры, которые покупают анлим в складчину и пользуются "один днём, другой ночью"...

У кого похожие проблемы?

Есть идеи, как бороться?

Авторизация - PPTP, внутренние адреса по DHCP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В неуправляемой сети - никак.

Т.е. ВООБЩЕ, даже в теории - никак. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Даже в "управляемой" сети - тоже никак.

Терпеть....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну почему же? Думается, людям будет лениво постоянно перед использованием ставить себе один и тот же (собственника логина) ИП и МАК. Хотя даже если не лениво - хоть разок, но кто-нибудь из них ошибется. :-) А дальше - дело техники. arpwatch + запись в лог ИП с которого человек выходит в VPN. Работает нормально. Уже вылавливал...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Skylord, это как ты предлагаешь авторизацию проводить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

802.1x разве не поможет в данном случае ?

 

Если пользователи поделились друг с другом логинами и паролями?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В неуправляемой сети - никак.

Т.е. ВООБЩЕ, даже в теории - никак. :-)

 

А в управляемой сети можно при регистрации пользователя на безлимитный тарифный план привязывать его, скажем, 802.1x логин к конкретному порту свича (например, выделением под него индивидуального 802.1q тэга). И далее не разрешать аутентификацию по этому логину ни с какого другого порта сети.

 

Верно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мх, а разве в запросе на авторизацию не указывается ид порта, на котором сидит клиент ?

 

For use with IIEEE Std 802.1X-2001, the NAS-Port will contain the port number of the Bridge, if this is

available. Although an IEEE 802.11 Access Point does not have physical ports, it does assign a unique

association ID to every mobile station upon a successful association exchange.

то бишь по стандарту свитч должен отправить на радиус-сервер номер порта. что же происходит в действительности...ну это уже надо спрашивать у китайцев, которые эти свитчи ваяют :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Объясните, если везде стоят управляемые коммутаторы, на кой черт 802.1x?

И туннели всякие?

Это что бы глюков было побольше, терминировать посложнее, а скорость поменьше?

Воровство отрубаем на уровне порт-секьюрити. Группы доступа шинкуем виланами. Скорость (если надо) шейпим...

Зачем 802.1x? Зачем DHCP? Зачем PPTP?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag, ну нету управляемых коммутаторов - нету и всё тут, возможности поставить - нет.

Похоже - только проверять по MAC'у. Буду думать как делать это автоматически.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Даже в "управляемой" сети - тоже никак.

Терпеть....

 

В управляемой сети можно привязаться к "порту", т.е. кабелю на юзера.

И это правильно - нет даже паролей, которые можно воровать. Только физически подключаться к проводу. ;-) Что, понятное дело, много сложнее.

 

Сколько раз говорил и писал - туннели НАВЯЗЫВАЮТСЯ старым подходом к провайдингу. Да, они удобны в начале. Да, традиционны. Да, их использует Стрим. ;-)

Но для Езернета надо использовать технологии из мира Езернет. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag, ну нету управляемых коммутаторов - нету и всё тут, возможности поставить - нет.

Похоже - только проверять по MAC'у. Буду думать как делать это автоматически.

 

МАС меняется примерно за 20 секунд. ;-)

Если юзеры способны передать друг другу пароль - они и МАС способны посмотреть. ;-)

Так что - терпеть. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag,

[q]Сколько раз говорил и писал - туннели НАВЯЗЫВАЮТСЯ старым подходом к провайдингу. Да, они удобны в начале. Да, традиционны. Да, их использует Стрим. ;-)

Но для Езернета надо использовать технологии из мира Езернет. ;-) [/q]

Гм. ИМХО, достаточно надуманная точка зрения... :-) В "мире езернет" все изначально вообще более чем небезопасно, так что поиск "костылей" различного вида, включая пресловутые туннели, это, скорее, мера не кем-то и как-то навязанная, а очень даже вынужденная. :-)

Туннели изначально централизованны - не надо ничего придумывать, чтобы удобно рулить десятками свичей. Всякие порт-секурити, виланы и прочее сильно стесняют юзера. Особенно - продвинутого. Вот мне (как клиенту конкретной сети) удобно, что в моем сегменте ничто ни к чему не привязано, незасекюрено и незавиланено: я много компов таскаю домой и если надо инета, то просто их подключаю - они получают по dhcp адрес (какой-нибудь из конца сегмента), я делаю там vpn и работаю по своему основному логину сколько влезет. И мне не требуется звонить к провайдеру, объяснять, что я собираю очередной комп (уже третий на неделе), мне надо вылезти в инет за заплатками для винды и поэтому, плиз, пробейте мне еще один МАК на порт свича....

Я не утверждаю, что управляемое оборудование не нужно совсем! Упаси Боже! очень даже полезно! Но инет по туннелям - это более гибко и, повторюсь, предоставляет юзеру больше свободы. По твоим, Наг, рекомендациям, которые ты постоянно пропагандируешь, получается, что юзеру надо выделить фиксированную "соску" для Интернета с забитыми намертво параметрами, а шаг влево и вправо карается также, как и прыжок на месте. ;-) Да, для большой сети это удобно - меньше возни с нарушителями и "слежки" за абонентами. Но однозначно ли такой "разрешительный" подход оптимален? Таки, думается, нет. Он приятен для провайдера, а не для пользователя. Для пользователя же наиболее "повернутый лицом" - это как раз подход "административный" (ну или как его покрасивше назвать?), когда провайдер не "душит все в зародыше", а просто отслеживает действия пользователей (благо оборудования и софта хватает) и "карает" только в случае нарушений. Причем, при должной квалификации админов все в итоге работает не хуже, чем при "разрешительной" системе, а юзеру приятнее. Чего и хотелось. :-)

 

ps: Гм. Однако, офф-топик получился... :-) В общем, сорри. Просто хотел высказать свое ламерское ИМХО. Ногами сильно не бить. :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag,

Гм. ИМХО, достаточно надуманная точка зрения... :-) В "мире езернет" все изначально вообще более чем небезопасно, так что поиск "костылей" различного вида, включая пресловутые туннели, это, скорее, мера не кем-то и как-то навязанная, а очень даже вынужденная. :-)

 

Эти костыли давно найдены - для корпоративных сетей, а потом и для МАНов всяких. Работают, и вполне надежно.

 

Всякие порт-секурити, виланы и прочее сильно стесняют юзера. Особенно - продвинутого. Вот мне (как клиенту конкретной сети) удобно, что в моем сегменте ничто ни к чему не привязано, незасекюрено и незавиланено:

 

Строго говоря, 95% пользователей не продвинутые. Для них портсекьюрити не напряжно а наоборот - удобно. Включил комп - все работает. Ни настроек, ни паролей... Тем более, портсекьюрити можно использовать для ведения логов, а не блокировки. Тогда и продвинутые будут довольны, и своровать что-то сложно.

А вот виланы вообще НИКОГО не стесняют. Они как раз придуманы для этого. ;-) Хочется быть продвинутым и нестесненным - баксов за 5 провайдер сделает отдельный, персональный вилан. Хоть черта лысого подключай.

В общем, это чисто организационный вопрос. :-)

 

Но инет по туннелям - это более гибко и, повторюсь, предоставляет юзеру больше свободы.

 

А зачем эту свободу юзеру давать? ;-)

Провайдеру это надо? Провайдеру надо за свободу денег побольше попросить с юзера. ;-)

 

юзеру надо выделить фиксированную "соску" для Интернета с забитыми намертво параметрами, а шаг влево и вправо карается также, как и прыжок на месте. ;-) Да, для большой сети это удобно - меньше возни с нарушителями и "слежки" за абонентами. Но однозначно ли такой "разрешительный" подход оптимален? Таки, думается, нет. Он приятен для провайдера, а не для пользователя.

 

Точно. ;-)

А несколько %% тех, кому нужна свобода - можно подарить конкурентам. Бизнес, уверен, от этого только выиграет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag

Ну хорошо, с тобой все ясно. :-) Видно, не стал я еще закоренелым провайдером, чтобы за свободу отдельные деньги просить... ;-) Однако же, скромные наблюдения пока показывают, что сия свобода является вполне себе неплохим конкурентным преимуществом... В том плане, что туда, где свободы больше уходят не единицы процентов. :-)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag, хочу еще одну точку зрения добавить. Сам по себе tcp-ip в большой сети очень уязвим. Кто-то прописал у себя чужой адрес. Кто-то расшарил что-то на внешнем интерфейсе, после чего у него начал работать левый dhcp. У кого-то переклинило винду и она по RDP начала главным роутером прикидываться. Я тебе примеров кучу накидаю. Так что сейчас что-то делать в крупной сети на уровне L3 себе дороже. У нас L3 исключительно для общения клиентов. Кроме того каждый дом в отдельном vlan. Что-то накорячили, ну фиг с вами, значит в Кваку уже никак... Мы потом разберемся и накажем кого попало, но это потом... Потому, что интернет работает!!! Он работает по PPPoE на L2... Раньше использовали PPTP, пока не было нормальных серверов PPPoE под FreeBSD. Теперь только PPPoE. Стоит два сервера и как только один потенциально отвалится, то все будут подключаться к другому... Патченный PPP позволяет через Radius проверять MAC, а все MAC собираются в единую базу со свитчей по SNMP, так что не забалуешь! Проблема пресечения покупки анлима в складчину технически не решаема!!! Даже если привязать все к порту, ввести тотальную фильтрацию прокситрафика и т.п. все равно это не поможет. Потому, что можно растянуть кабели по подъезду и подключить всех, как одного клиента... Тут проблема концептуальная! Весь анлим идет со времени продажи каналов и канальной коммутации. Фактически клиенту продается канал, а что он там передает уже дело десятое. Т.е. это означает, что необходимо рассматривать именно эту услугу как основную и соответственно на этом строить бизнесплан. То, что этот путь тупиковый показали все домашние сети, по сравнению с классиками бизнеса. IP тоже в свое время выиграл за счет пакетной коммутации перед канальной и продавать надо не каналы, а пакеты. Вот пакеты и есть тот самый трафик! Сейчас крупные игроки за счет массовой рекламы пытаются переломить понимание потребителя под себя. Это из серии - "Только Орбит имеет качество Орбит!". Весь мир идет к детальному подсчету всех потребляемых ресурсов. Воду считают, электричество считают, каждый чих считают... Так почему в связи все должно идти в обратную сторону. Не надо уподобляться домохозяйкам и соглашаться, что только порошок в розовой коробке самый лучший. Если посмотреть на тех, кто предлагает анлим, то вырисовывается интересная картина. В основном это те, кто не может дать потребителю каналы более 256К. Т.е. теоретически конечно могут, но на практике не получается. Возьмите КомкорТВ со своими DOCSYS или МТУ с ADSL. С Комкор все просто - там единая шина и больше никак... У МТУ дать стабильную скорость больше 2М получается только на 10-20% клиентов. А вот 160К работает практически везде. При этом дальше уже формула - работает или вообще не работает. Мы пошли простым путем и в некоторой степени уникальным - мы не запрещаем проксировать трафик Стрим. Клиенты платят нам абонентку и на все 100 напрягают их каналы...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

AlexPan,

Весь мир идет к детальному подсчету всех потребляемых ресурсов. Воду считают, электричество считают, каждый чих считают... Так почему в связи все должно идти в обратную сторону.  

Золотые слова!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag, хочу еще одну точку зрения добавить. Сам по себе tcp-ip в большой сети очень уязвим. Кто-то прописал у себя чужой адрес. Кто-то расшарил что-то на внешнем интерфейсе, после чего у него начал работать левый dhcp. У кого-то переклинило винду и она по RDP начала главным роутером прикидываться. Я тебе примеров кучу накидаю.  

 

Можно накидать так же кучу примеров проблем с РРРоЕ. ;-)

А все страшилки с обычным езернетом легко лечатся в управляемой сети. Дежурный админ (а он веть должен быть все равно, правильно?) просто глушит порт с проблемным клиентом на коммутаторе. Удаленно, быстро, и в общем без проблем. Над диагностикой конечно придется поработать - вбить в инструкцию алгоритм решения стандартных ситуаций - но не больше.

И еще - большой сети - то нет. ;-) Есть небольшие сети в виланах, т.е. виртуальные. Что, в сетке масштаба дома админ не сможет найти "проблемного" клиента? Да даже самый страшный неопределяемый глюк ловится за 15 минут перебором портов. ;-)

 

Вот когда РРР начинает быть необходимым - так только когда пользовательский порт неуправляем. Как сейчас в 90% сетей. ;-)

 

Проблема пресечения покупки анлима в складчину технически не решаема!!! Даже если привязать все к порту, ввести тотальную фильтрацию прокситрафика и т.п. все равно это не поможет. Потому, что можно растянуть кабели по подъезду и подключить всех, как одного клиента...  

 

Тем не менее, растяжка кабелей - это задача уже другого порядка - заметно более сложного.

И, надо сказать, что и для "не анлимов" это проблема - ведь вы берете абонплату... Несколько соседей - и у вас нет 30-40 баксов. ;-) А если еще туда проксируется стрим... Так и сотню потеряли. И это без анлимов.

 

Весь мир идет к детальному подсчету всех потребляемых ресурсов. Воду считают, электричество считают, каждый чих считают... Так почему в связи все должно идти в обратную сторону.

 

Да уж год пишу - "ввел анлим - помог Стриму". ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to Nag

 

Можно накидать так же кучу примеров проблем с РРРоЕ. ;-)

 

Давай!

 

Что-бы проблемного клиента отключить, надо его еще найти... Все то время пока его ищут, а это может быть довольно продолжительно, IP в ауте... Кстати найти не самое сложное, самое сложное понять что уже пора начинать искать и что именно искать...

 

В анлиме есть одна засада... Он выгоден для провайдера, когда средний пользователь его использует не на 100%. Но для клиента он выгоден, когда он его использует на 100%. Происходит конфликт интересов. В нашем случае клиент получает для себя возможность получить максимальную выгоду, а убытки несем не мы, а Стрим... А за то, что-бы получить максимальную выгоду клиент доплачивает нам. Получается все концептуально выверено... :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

AlexPan,

http://www.yandex.ru/yandsearch?text=%EF%F...-adsl&stype=www

:-)

 

А базовые проблемы PPPoE - необходимость немаршрутизируемого езернета по всей сети (или сложный форвардинг), большие затраты на терминацию, сложность подсчета внутреннего трафика (он-то в радиус не попадает), ограничение скорости, и т.п.

Это в принципе все решаемо, но...

Есть базовый принцип - чем проще, тем надежнее. Туннель более сложен чем IP. :-)

 

Вот объясни, какая проблема найти проблемного клиента, если все порты управляемые, а трафик его в любом случае проходит через центральный рутер (исключая трафик внутри дома-коммутатора)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to Nag

 

По ссылке ничего подобающего не нашел... А проблемы Стрима не в PPPoE, а в генетике... :))

 

Когда все с IP в порядке, то найти не сложно. Вот когда не в порядке, то сложно. Не весь трафик идет через точку, где можно сниффер включить. Кроме того такой сбой трудно диагностировать автоматически, так как слишком много вариантов что может отказать... С ethernet все намного проще... А чем плох немаршрутизиремый ethernet? Результат намного надежнее применения PC-роутеров... В чем заключаются затраты на терминацию я вообще не понял... Стоимость сервера доступа или увеличение трафика при инкапсуляции?

 

Есть базовый принцип - чем проще, тем надежнее. Туннель более сложен чем IP. :-)

 

Точно! Так вот ethernet проще ip и надежнее!!! Для PPPoE настроки на компе клиента вообще не нужны, все настраивается с сервера при установлении соединения. У клиента тупая программа, которую надо только запустить. Мы специально каждому клиенту CD выдаем...

 

Если еще раскопать формат CD, который в WinXP позволяет настраивать подключение к провайдеру... Может кто знает!?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to Nag,

 

сложность подсчета внутреннего трафика (он-то в радиус не попадает), ограничение скорости

 

В последних версиях патча для ppp позволяется через радиус делать эккаунтинг, в том числе по типам трафика, с выделением локального. Ограничение по скорости тоже есть и устанавливается через радиус!

 

Там нет другого и очень жаль.... Там нет возможности перезапроса авторизации, что-бы убить соединение после окончания денег, но надеюсь скоро сделают... Хотя есть возможность становить лимит трафика, после превышения которого соединение разрывается...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag, не все так просто.

Я например считаю что pppoe поверх управляемой сети - это хорошо.

Клиенту отдельно инет, отдельно местная сеть.

 

А немаршрутизируемо - так vlan рулит :)

А общий трафик - на порту :) считать. и вычитать оттуда интернет :)

 

Терминация - 1-2 у.е. на клиента. Скорость - до 4Мбит/сек тянет :)

Что еще?

По мне так локалка отдельно, инет отдельно, юрлица совсем отдельно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Объясните, если везде стоят управляемые коммутаторы, на кой черт 802.1x?

 

Для простоты разворачивания схемы "купил в киоске карту -- получил доступ в Сеть". Или вообще "есть какая-то карта -- хочу в сеть".

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.