jone31 Опубликовано 27 сентября, 2017 · Жалоба обычно подключаем клиентов по PPPoE и вопрос IP-spoof и ARP-spoof отпадет сам собой. Есть новый клиент, который просит предоставить ему пул IP без туннелирования. Как костыль поставить у клиента микротик с PPPoE тунелем к нам, который будет отдавать в порт клиента уже IPoE. Но хотелось бы клиенту дать доступ к общему влану с клиентами, но встал вопрос как защититься от того что клиент может поставить IP отличный от того что ему выделены? На доступе к клиенту стоит Mikrotik CRS125, на брасе Mikrotik CCR1009. как лучше сделать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 27 сентября, 2017 (изменено) · Жалоба 33 минуты назад, jone31 сказал: обычно подключаем клиентов по PPPoE и вопрос IP-spoof и ARP-spoof отпадет сам собой. Есть новый клиент, который просит предоставить ему пул IP без туннелирования. Как костыль поставить у клиента микротик с PPPoE тунелем к нам, который будет отдавать в порт клиента уже IPoE. Но хотелось бы клиенту дать доступ к общему влану с клиентами, но встал вопрос как защититься от того что клиент может поставить IP отличный от того что ему выделены? На доступе к клиенту стоит Mikrotik CRS125, на брасе Mikrotik CCR1009. как лучше сделать? Вариантов два: 1) на интерфейсе к которому подключен клиент включить режим arp reply-only и прописать связки MAC-IP вручную. 2) на интерфейсе к которому подключен клиент включить режим arp reply-only, создать DHCP-сервер. В DHCP-сервере прописать режим static-only, поставить галку "add arp for leases" и создать в списке вручную лизы MAC+IP Вообще, если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть. Изменено 27 сентября, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jone31 Опубликовано 27 сентября, 2017 · Жалоба нет с привязкой к маку это все понятно. А без привязки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 27 сентября, 2017 · Жалоба jone31 если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jone31 Опубликовано 27 сентября, 2017 · Жалоба 1 минуту назад, nkusnetsov сказал: jone31 если отдаете пул (подсеть), например /27, и маршрутизация у вас настроена нормально, то клиент только в пределах этой подсети сможет адреса использовать за портом. При подстановке клиентом других IP-адресов связности не должно быть. нормально это как? у нас поднят OSPF на бордере и брасе. сейчас клиент может поставить любой наш IP и он будет работать, вопрос - как от этого защитится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 27 сентября, 2017 (изменено) · Жалоба Клиента в отдельный L2 сегмент. Сегментировать надо сеть, а не разводить огромный L2 на весь город. Порт CRS125 выкидываем из бриджа/свитч-группы. Навешиваем на него IP-адрес, который будет являться "default gateway" для клиента. У себя прописываем маршрут в выделенную клиенту подсеть через CRS125. Изменено 27 сентября, 2017 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jone31 Опубликовано 27 сентября, 2017 · Жалоба он сегментирована vlan на кампусы, все vlan сходятся на брасе где темринируются pppoe. для клиента отдельный vlan до браса, но брас знает обо всех наших IP, поэтому если прозрачно пустить клиента он смоет использовать любой IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 27 сентября, 2017 · Жалоба Чёт не соображу, если отдельный влан до этого абонента, и в него заруотили выданную сетку адресов, с какого он будет работать-то, если поставит левый адрес. Он же обратные пакеты на него не получит. Или речь именно про исходящие пакетики с подставленного ip? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jone31 Опубликовано 28 сентября, 2017 · Жалоба да, обратные не придут. А вот исходящие могут навредить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 октября, 2017 · Жалоба Уже давно пора забыть про вланы. Если надо абоненту выделить несколько IP так, что бы он руками другие не вбивал, то просто вешаете на порт адреса поштучно, вида IP = 10.0.0.1 а в network указываете адрес абонента, например 10.0.0.100, абонент указывает шлюз 10.0.0.1 и маску сети любую, лишь бы в нее попадал выданный ему адрес. Никакие другие адреса работать на этом порту не будут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...