обычно подключаем клиентов по PPPoE и вопрос IP-spoof и ARP-spoof отпадет сам собой.

 

Есть новый клиент, который просит предоставить ему пул IP без туннелирования. Как костыль поставить у клиента микротик с PPPoE тунелем к нам, который будет отдавать в порт клиента уже IPoE.

 

Но хотелось бы клиенту дать доступ к общему влану с клиентами, но встал вопрос как защититься от того что клиент может поставить IP отличный от того что ему выделены?

На доступе к клиенту стоит Mikrotik CRS125, на брасе Mikrotik CCR1009.

 

как лучше сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
33 минуты назад, jone31 сказал:

обычно подключаем клиентов по PPPoE и вопрос IP-spoof и ARP-spoof отпадет сам собой.

 

Есть новый клиент, который просит предоставить ему пул IP без туннелирования. Как костыль поставить у клиента микротик с PPPoE тунелем к нам, который будет отдавать в порт клиента уже IPoE.

 

Но хотелось бы клиенту дать доступ к общему влану с клиентами, но встал вопрос как защититься от того что клиент может поставить IP отличный от того что ему выделены?

На доступе к клиенту стоит Mikrotik CRS125, на брасе Mikrotik CCR1009.

 

как лучше сделать?

Вариантов два:
1) на интерфейсе к которому подключен клиент включить режим arp reply-only и прописать связки MAC-IP вручную.
2) на интерфейсе к которому подключен клиент включить режим arp reply-only, создать DHCP-сервер. В DHCP-сервере прописать режим static-only, поставить галку "add arp for leases" и создать в списке вручную лизы MAC+IP

Вообще, если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

нет с привязкой к маку это все понятно. А без привязки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

jone31 если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
1 минуту назад, nkusnetsov сказал:

jone31 если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть.

нормально это как?

у нас поднят OSPF на бордере и брасе.

сейчас клиент может поставить любой наш IP и он будет работать, вопрос - как от этого защитится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Клиента в отдельный L2 сегмент. Сегментировать надо сеть, а не разводить огромный L2 на весь город.
Порт CRS125 выкидываем из бриджа/свитч-группы. Навешиваем на него IP-адрес, который будет являться "default gateway" для клиента. У себя прописываем маршрут в выделенную клиенту подсеть через CRS125.

Изменено пользователем nkusnetsov

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

он сегментирована vlan на кампусы, все vlan сходятся на брасе где темринируются pppoe.

для клиента отдельный vlan до браса, но брас знает обо всех наших IP, поэтому если прозрачно пустить клиента он смоет использовать любой IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Чёт не соображу, если отдельный влан до этого абонента, и в него заруотили выданную сетку адресов,

с какого он будет работать-то, если поставит левый адрес. Он же обратные пакеты на него не получит.

Или речь именно про исходящие пакетики с подставленного ip?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да, обратные не придут. А вот исходящие могут навредить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Уже давно пора забыть про вланы.

 

Если надо абоненту выделить несколько IP так, что бы он руками другие не вбивал, то просто вешаете на порт адреса поштучно, вида IP = 10.0.0.1 а в network указываете адрес абонента, например 10.0.0.100, абонент указывает шлюз 10.0.0.1 и маску сети любую, лишь бы в нее попадал выданный ему адрес. Никакие другие адреса работать на этом порту не будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти