[jone31]

обычно подключаем клиентов по PPPoE и вопрос IP-spoof и ARP-spoof отпадет сам собой.

 

Есть новый клиент, который просит предоставить ему пул IP без туннелирования. Как костыль поставить у клиента микротик с PPPoE тунелем к нам, который будет отдавать в порт клиента уже IPoE.

 

Но хотелось бы клиенту дать доступ к общему влану с клиентами, но встал вопрос как защититься от того что клиент может поставить IP отличный от того что ему выделены?

На доступе к клиенту стоит Mikrotik CRS125, на брасе Mikrotik CCR1009.

 

как лучше сделать?

[nkusnetsov]

33 минуты назад, jone31 сказал:

обычно подключаем клиентов по PPPoE и вопрос IP-spoof и ARP-spoof отпадет сам собой.

 

Есть новый клиент, который просит предоставить ему пул IP без туннелирования. Как костыль поставить у клиента микротик с PPPoE тунелем к нам, который будет отдавать в порт клиента уже IPoE.

 

Но хотелось бы клиенту дать доступ к общему влану с клиентами, но встал вопрос как защититься от того что клиент может поставить IP отличный от того что ему выделены?

На доступе к клиенту стоит Mikrotik CRS125, на брасе Mikrotik CCR1009.

 

как лучше сделать?

Вариантов два:
1) на интерфейсе к которому подключен клиент включить режим arp reply-only и прописать связки MAC-IP вручную.
2) на интерфейсе к которому подключен клиент включить режим arp reply-only, создать DHCP-сервер. В DHCP-сервере прописать режим static-only, поставить галку "add arp for leases" и создать в списке вручную лизы MAC+IP

Вообще, если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть.

Edited September 27, 2017 by nkusnetsov

[jone31]

нет с привязкой к маку это все понятно. А без привязки?

[nkusnetsov]

jone31 если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть.

[jone31]

1 минуту назад, nkusnetsov сказал:

jone31 если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть.

нормально это как?

у нас поднят OSPF на бордере и брасе.

сейчас клиент может поставить любой наш IP и он будет работать, вопрос - как от этого защитится.

[nkusnetsov]

Клиента в отдельный L2 сегмент. Сегментировать надо сеть, а не разводить огромный L2 на весь город.
Порт CRS125 выкидываем из бриджа/свитч-группы. Навешиваем на него IP-адрес, который будет являться "default gateway" для клиента. У себя прописываем маршрут в выделенную клиенту подсеть через CRS125.

Edited September 27, 2017 by nkusnetsov

[jone31]

он сегментирована vlan на кампусы, все vlan сходятся на брасе где темринируются pppoe.

для клиента отдельный vlan до браса, но брас знает обо всех наших IP, поэтому если прозрачно пустить клиента он смоет использовать любой IP.

[disappointed]

Чёт не соображу, если отдельный влан до этого абонента, и в него заруотили выданную сетку адресов,

с какого он будет работать-то, если поставит левый адрес. Он же обратные пакеты на него не получит.

Или речь именно про исходящие пакетики с подставленного ip?

[jone31]

да, обратные не придут. А вот исходящие могут навредить?

[Saab95]

Уже давно пора забыть про вланы.

 

Если надо абоненту выделить несколько IP так, что бы он руками другие не вбивал, то просто вешаете на порт адреса поштучно, вида IP = 10.0.0.1 а в network указываете адрес абонента, например 10.0.0.100, абонент указывает шлюз 10.0.0.1 и маску сети любую, лишь бы в нее попадал выданный ему адрес. Никакие другие адреса работать на этом порту не будут.