iraklizh Posted February 28, 2019 · Report post Доброго дня, поделитесь пожалуста знаниями по борьбе с чужими dhcp серверами. Проблемма возникла когда один из клиентов подключил в сеть роутер неправильно. На микротике индикация подключения чужого dhcp сервера есть, сделал правило чтоб данный мак блокировался, на своем интерфецсе который раздает ip, прописал еше другие адреса т.е интерфейс lan ip=172.16.0.1 (=dhcp server) + еше прописал адреса типа 192.168.0.1/192.168.1.1 и т.д, но все равно не всегда спасает. Некоторые свичи имеют защиту от dhcp spoofing-а а некоторые нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted February 28, 2019 · Report post dhcp snooping Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted February 28, 2019 · Report post На нормальном оборудовании это называется DHCP Snooping, к которому прилагается (в зависимости от вендора) trust, screening, ip-mac-port-binding. На микротиках с этим ничего на L2 сделать не получится, терпите. Либо максимально сегментируйте сети, а то что не получается сегментировать, туннелируйте в PPPoE. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted February 28, 2019 · Report post 4 minutes ago, iraklizh said: Некоторые свичи имеют защиту от dhcp spoofing-а а некоторые нет. Меняйте свитчи. Отстрел левых dhcp делается на access-уровне. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 28, 2019 · Report post Но даже на том оборудовании где такого нету, можно через ACL запретить все DCHP ответы , исходящие с абонентских портов. Только что, zdutpdzi сказал: Меняйте свитчи. Отстрел левых dhcp делается на access-уровне. есть вполне рабочая в нищие времена технология, по исчерпанию пула левого DHCP. стоит в центре демон в 50 строк на перле, выжирает весь пулл и переодически просит ещё :-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zdutpdzi Posted February 28, 2019 · Report post Ну костыли конечно никто не отменял. Но лучше сразу делать сеть хорошо,чтобы потом не разгребать авгиевые конюшни. ))) 3 minutes ago, LostSoul said: Но даже на том оборудовании где такого нету, можно через ACL запретить все DCHP ответы , исходящие с абонентских портов. Где-то видел древнюю статью для длинка,вроде там не dhcp,а левые pppoe-сервера в вилане выпиливались acl'ом или что-то похожее,могу запамятовать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 28, 2019 · Report post 10 минут назад, zdutpdzi сказал: Где-то видел древнюю статью для длинка,вроде там не dhcp,а левые pppoe-сервера в вилане выпиливались acl'ом или что-то похожее,могу запамятовать. не знаю как с DLink , а на любимых Saab95 микротиках с этим приходится бороться именно так. Хоть он тут и топит за L3 на абонента, я лично не понимаю как выдавать ip unnumbered на всякие роутеры, которые этого не умеют. Поэтому делаю нормальные L2 с фильтрацией на порту абонента лишнего. Ну у меня микротиков в роли acсess всего несколько штук. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
iraklizh Posted February 28, 2019 · Report post Спасибо! будем тихо-тихо менять абонентское оборудование! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted February 28, 2019 · Report post В моей схеме с L3, не важно какое оборудование у абонента, ему выдается подсеть /24, но использовать в ней он может только свой IP. Адрес можно прописать вручную, а можно получить по DHCP. Поэтому если сеть не управляемая - делать PPPoE, если коммутаторы умеют вланы - сделать влан на порт и на каждый влан свой IP. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 28, 2019 · Report post 34 минуты назад, Saab95 сказал: В моей схеме с L3, не важно какое оборудование у абонента, ему выдается подсеть /24, и как он тогда видит соседей по этой сети /24 ? через 254 proxyarp записей что ли? 34 минуты назад, Saab95 сказал: Поэтому если сеть не управляемая - делать PPPoE, если коммутаторы умеют вланы - сделать влан на порт и на каждый влан свой IP. людей, постоянно пытающихся увеличить энтропию , проводя излишние инкапсуляции одного в другое нужно от отрасли связи держать подальше кмк Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted February 28, 2019 · Report post 7 часов назад, LostSoul сказал: и как он тогда видит соседей по этой сети /24 ? Насколько я понимаю, далеко не всех это волнует Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 28, 2019 · Report post на нормальном дизайне сети (vlan-per-user или хотя бы vlan-per-switch+port isolation) этой проблемы не существует, т.к. абоны не могут гадить друг другу на L2 dhcp-snooping это уродливый костыль, старайтесь не когда применять эту дрянь Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted February 28, 2019 · Report post 16 минут назад, s.lobanov сказал: на нормальном дизайне сети (vlan-per-user А как у вас при таком дизайне дело обстоит с адресами, /32 или больше? как траф бегает между абонентами? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 28, 2019 · Report post 32 минуты назад, s.lobanov сказал: на нормальном дизайне сети (vlan-per-user или хотя бы vlan-per-switch+port isolation) этой проблемы не существует, т.к. абоны не могут гадить друг другу на L2 dhcp-snooping это уродливый костыль, старайтесь не когда применять эту дрянь vlan-per-user это уродливый костыль, для не умеющих думать на 1 шаг вперед "дизайнеров сети, купивших на доступ всякое говножелезо без L3 фильтрации на порту абонента. Прокидывать в ядро 100 тысяч вланов, лишь потому что вы не осиливаете настроить на порту фильтрацию мака абонента, всякий броадкаст мусор, коректно выставить раззрешенные группы igmp и количество подписок? Тот, кто такого не может - просто рукожоп. Это примерно похоже на утверждение что картошку лучше возить на ржавых жигулях или на деэ матизе ( микротик ) , а все эти ваши газели и баргузины - дрянь Абсолютно разные уровни эволюции. Первое - попытки хоть как то криво применить морально устаревшее офисное и ДЦ сетевое оборудование на абонентскую сеть оператора ( с ущербным выстраданным костылем типа vlan-per-user ) , и специализированное разработанное для сетей доступа профессиональное решение Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 28, 2019 · Report post 18 минут назад, maxkst сказал: А как у вас при таком дизайне дело обстоит с адресами, /32 или больше? как траф бегает между абонентами? с точки зрения абонента - если IPoE, то не /32, если pppoe, то там понятия маски нет с точки зрения абонента Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 28, 2019 · Report post 18 минут назад, maxkst сказал: А как у вас при таком дизайне дело обстоит с адресами, /32 или больше? как траф бегает между абонентами? к сожалению не смог понять как сделать ссылку на результаты поиска. В общем у них тут 1774 темы про попоболь с ip unnumbered . Вбейте последнее слово в поиск и посмотрите. На что только не пойдут люди, чтоб не сделать по нормальному Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted February 28, 2019 · Report post 2 минуты назад, LostSoul сказал: про попоболь с ip unnumbered у вас траф между абонентами в пределах одного свича режется, или безлимитный? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 28, 2019 · Report post @LostSoul к сожаленью, dhcp-snooping это не L3-фильтрация. это как минимум L4-фильтрация, а по факту L7 и у всех вендоров делается на CPU (что приводит к эпическим фейлам при всяческом dhcp-флуде). Любой отвод трафика на CPU свитча (кроме первых пакетов для mac-learning'а и igmp-snooping'а) это ошибка дизайна Но это ещё полбеды. При внедрении dhcp-snooping'а - это делается для IPv4, а потом выясняется что для ipv6 не хватает подобных костылей и надо закупать другие свитчи vlan-per-user просто решает все проблемы относительно L2-взаимодействия абонетов (левые dhcp-сервера, ipv6 ra и т.д.) 7 минут назад, LostSoul сказал: к сожалению не смог понять как сделать ссылку на результаты поиска. В общем у них тут 1774 темы про попоболь с ip unnumbered . Вбейте последнее слово в поиск и посмотрите. На что только не пойдут люди, чтоб не сделать по нормальному ip unnumbered на l3-свитчах это ещё более уродливый костыль. правильное решение это терминирование vlan-per-user на bras'ах (для нищебродов есть и софт-версии брасов - тот же accel-pppd и что-то ещё было) 3 минуты назад, maxkst сказал: у вас траф между абонентами в пределах одного свича режется, или безлимитный? через точку терминирования, в пределах свитча трафик в ISP гонять не нужно, тупо всё через bras Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted February 28, 2019 · Report post 1 минуту назад, s.lobanov сказал: Любой отвод трафика на CPU свитча (кроме первых пакетов для mac-learning'а и igmp-snooping'а) это ошибка дизайна с этим согласен, чем больше идет на CPU, тем проеще завалить свич. У нас есть крутые zyxel на доступе, которые сдыхают от arp ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 28, 2019 · Report post 15 минут назад, LostSoul сказал: специализированное разработанное для сетей доступа профессиональное решение dhcp-snooping придуман для сетей предприятий, где ради терминирования vlan-per-user ставить bras слишком дорого на сетях предприятий все эти снупинги ещё более-менее живут. в сетях ISP это бесконечный траблшутинг софта свитчей (т.к. всё говно работает на CPU, а не в ASIC-е) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted February 28, 2019 · Report post 5 минут назад, s.lobanov сказал: через точку терминирования, в пределах свитча трафик в ISP гонять не нужно, тупо всё через bras В вашем случае тут все понятно, это был вопрос Заблудшей Душе ))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 28, 2019 · Report post 2 минуты назад, maxkst сказал: с этим согласен, чем больше идет на CPU, тем проеще завалить свич. У нас есть крутые zyxel на доступе, которые сдыхают от arp ))) Ну если аналоги CoPP'а ещё делают, но вот когда появляется очередной клиент, который шлёт dhcp-discover'ы как-нибудь не по rfc или по rfc, но неожиданным для свитча образом, то начинается веселуха, особенно когда свитч уже EoL/EoS Только что, maxkst сказал: В вашем случае тут все понятно, это был вопрос Заблудшей Душе ))) даже на мой взгляд, это не важно. ну т.е. если у вас абоны в одном vlan, изоляции нет, но есть dhcp-снупинги, nd-снупинги и прочая лабудень для защиты от dhcp-серверов, ra-шек, статики и т.д., то ограничивать трафик между абонами особо и не надо, ну смогут два соседа сделать локалку на 100/1000 мбит/с, ну и что дальше? для isp это не важно (по крайней мере для b2c isp) 22 минуты назад, LostSoul сказал: Прокидывать в ядро 100 тысяч вланов, а в чём собственно проблема-то? если вы оборудование вручную настраиваете, то конечно тяжело, а если генератором по шаблону, то проблем нет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted February 28, 2019 (edited) · Report post @s.lobanov Если я правильно вас понял, то оптимальное решение - vlan-per-user , но без IP unnumbered. Так? Edited February 28, 2019 by maxkst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted February 28, 2019 · Report post 27 минут назад, maxkst сказал: у вас траф между абонентами в пределах одного свича режется, или безлимитный? в дизайне c IP MAC Binding обычно трафик между внутренними абонентами безлимитный. Если стоит задача закрывать неплательщикам локалку то это решается несколькими путями. ( оставлять только страницу оплаты ) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted February 28, 2019 · Report post @maxkst да. Без ip unnumbered на l3 ситчах. Терминация ipoe vlan-per-user на брасах идеалогически похожа на ip unnumbered, но за счёт сущности 'сессия' и процессов вокруг неё, решает те самые тысячи проблем ip unnumbered на свитчах С pppoe вообще всё просто, там брасу всё равно per-user у вас vlan или per-район как у пионеров. Для pppoe реже делают vlan-per-user, т.к. там vlan-per-switch + port isolation решает почти все l2 проблемы, присущие сетям-l2-помойкам (кроме макспуфа браса, но это решают hw mac acl) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...