IVB Опубликовано 24 июня, 2020 · Жалоба Здравствуйте. Настраиваю "выносной" сервер доступа на Микротике. В user manager прописаны МАС-адреса из локальной сети, которые могут получать IP по DHCP. Там же прописаны ограничения скорости. Устройства с прописанными МАС-адресами получают IP по DHCP и доступ за пределы сети. Если МАС отсутствует - адрес не выдаётся, доступа нет. Но если вручную на устройстве из локальной сети прописать IP из пула, из которого выдаются адреса - устройство получает доступ за пределы локалки вне зависимости от его МАС адреса. Как эту лазейку правильно заблокировать? Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 24 июня, 2020 · Жалоба Отключить автоматический ARP, добавлять через лизы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 24 июня, 2020 · Жалоба на интерфейсе в сторону клиента arp - reply only в dhcp server галка - add ARP for Lease и счастливо .... прописать адрес ручками и да привязывать мак к ip не стоит, отлично это работает на vlan for clients Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
IVB Опубликовано 24 июня, 2020 · Жалоба большое спасибо за помощь! всё очень просто - когда знаешь, как :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 24 июня, 2020 · Жалоба 1 час назад, Constantin сказал: на интерфейсе в сторону клиента arp - reply only в dhcp server галка - add ARP for Lease а если у меня dhcp не на этом микротике, а на этом только релай? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 24 июня, 2020 · Жалоба 2 минуты назад, LostSoul сказал: а если у меня dhcp не на этом микротике, а на этом только релай? рисовать нуна )) в уме виртализировать уже сложновато ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 24 июня, 2020 · Жалоба 51 минуту назад, Constantin сказал: рисовать нуна )) в уме виртализировать уже сложновато ))) да простейшая там картина маслом. висит у меня где-то в частном секторе MikroTik CRS106-1C-5S , настроен в режиме свитча ( так как в режиме роутера без правил он больше 200-400мбит не прокачивает ) включен dhcp relay , чтоб 82 опцию в пакеты добавлять. хочу теперь, чтоб абонент на порту мог использовать только тот IP , который к нему по 82 опции прилетел, а не какой ему вздумается. И хочу чтоб исходящий трафик с некорректных IP тоже резался, а не чтоб он по udp спуфил какой хочет src Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 24 июня, 2020 · Жалоба после микрота еще есть железо? ибо не понимаю для чего 4 клиентам 400+ мбит ))) если после него управляемые свичи то влан на клиента и гнать все в ядро, это самая простая и не пробиваемая схема, с релеем пока не представляю как полноценно оградить себя от умников Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 24 июня, 2020 · Жалоба 6 минут назад, Constantin сказал: после микрота еще есть железо? ибо не понимаю для чего 4 клиентам 400+ мбит ))) что там непонятного то. в москве рынок диктует тарифы по 500-1000 мбит уже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 24 июня, 2020 · Жалоба 1 минуту назад, LostSoul сказал: в москве рынок диктует тарифы по 500-1000 мбит уже да пусть диктует но 99% времени там будет 10 мбит по порту....ладно это лирика хотите тупое л2, делайте влан на порт и гоните эти 4 влана к своим днср серверам. и нагрузки минимум и настроек минимум. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 24 июня, 2020 · Жалоба Только что, Constantin сказал: хотите тупое л2, делайте влан на порт и гоните эти 4 влана к своим днср серверам. так может ну его тогда нахрен этот микротик на доступе? :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 24 июня, 2020 · Жалоба а что есть проще, дешевле альтернатива???? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 24 июня, 2020 · Жалоба 3 часа назад, LostSoul сказал: да простейшая там картина маслом. висит у меня где-то в частном секторе MikroTik CRS106-1C-5S , настроен в режиме свитча ( так как в режиме роутера без правил он больше 200-400мбит не прокачивает ) включен dhcp relay , чтоб 82 опцию в пакеты добавлять. хочу теперь, чтоб абонент на порту мог использовать только тот IP , который к нему по 82 опции прилетел, а не какой ему вздумается. И хочу чтоб исходящий трафик с некорректных IP тоже резался, а не чтоб он по udp спуфил какой хочет src Плохое решение выбор такого оборудования, ему не место у оператора. Ищите с поддержкой ip source guard и ip arp spoofing Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 25 июня, 2020 · Жалоба 7 часов назад, SyJet сказал: Плохое решение выбор такого оборудования, ему не место у оператора. глупое утверждение.... отличная железка для своего места.....альтернативы просто нет, по форм фактору, по надежности, и по возможностям и по цене. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 25 июня, 2020 · Жалоба 12 часов назад, SyJet сказал: Ищите с поддержкой ip source guard и ip arp spoofing Если бы сейчас строил сеть с нуля, забил бы на все эти софтовые фичи, тупые свитчи в которых есть только вланы, vpc, qnq, это кмк на данный момент лучшая схема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 июня, 2020 · Жалоба Да. Подход "тупой доступ, умное ядро" себя хорошо показывает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 25 июня, 2020 · Жалоба 13 часов назад, SyJet сказал: Плохое решение выбор такого оборудования, ему не место у оператора. Ищите с поддержкой ip source guard и ip arp spoofing поможете найти? такое, чтоб в пластиковый бокс для GPON на столбе помещалось и работало там без вентиляторов и охлаждения от акб напряжением 12V 56 минут назад, pppoetest сказал: тупые свитчи в которых есть только вланы, vpc ну ничего себе тупые свитчи с vpc :-) смысл "софтовых фич" , что абонент прицепив к провайдеру новое неизвестное устройство проводит его идентификацию через веб-логин. А так же в закрытии возможности спуфинга прямо на порту доступа. Для реализации такого функционала без "интеллекта" на доступе, вам придется тащить vlan per user до агрегации или ядра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 июня, 2020 · Жалоба 21 минуту назад, LostSoul сказал: ну ничего себе тупые свитчи с vpc vpc это vlan per client|customer (или vpu — vlan per user). Можно реализовать почти на чем угодно при большом желании. Если сеть устроена так, что на доступе работает провижнгинг или автонастройка с прописыванием VLAN, то это самая гибкая и универсальная схема из всех возможных. (L3-доступ я не учитываю, делать его нормально и за соответствующие деньги не на чем, микротики по схеме Saab95 с кучей костылей/подпорок под "нормально" я не учитываю) 22 минуты назад, LostSoul сказал: Для реализации такого функционала без "интеллекта" на доступе, вам придется тащить vlan per user до агрегации или ядра. Ну да. В этом и смысл, чтобы l2-connected дотащить до нормального узла с нормальными возможностями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 25 июня, 2020 · Жалоба 8 минут назад, alibek сказал: микротики по схеме Saab95 с кучей костылей/подпорок под "нормально" я не учитываю) никаких костылей, много ручной работы, но можно и скрипт запилить 1 создать влан 2 создать адрес на влан 3 создать машрут 4 создать пул 5 создать днср сервер в принципе и все, я делаю ручками, приток клиентов позволяет, скрипт писать просто лень. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 25 июня, 2020 · Жалоба 5 пункт означает создание DHCP-сервера на каждого клиента? Я никак не могу считать нормальным создание нескольких тысяч DHCP-серверов на шлюзе доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 25 июня, 2020 · Жалоба Только что, alibek сказал: 5 пункт означает создание DHCP-сервера на каждого клиента? Я никак не могу считать нормальным создание нескольких тысяч DHCP-серверов на шлюзе доступа. да не , ну с этим как раз можно жить. просто переформатируйте у себя в голове как "создание dhcp профиля на коммутаторе доступа для каждого клиента" по аналогии с созданием "ip mac binding" привязки. но там все равно целая огромная куча вопросов. типа как ловить события что пользователь попытался воткнуть что-то новое или вообще не на своем порту оказался как направлять не прошедшего под ACL в dhcp-сервере пользователя на некий веб-портал идентификации итп Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 25 июня, 2020 · Жалоба 1 час назад, LostSoul сказал: поможете найти? такое, чтоб в пластиковый бокс для GPON на столбе помещалось и работало там без вентиляторов и охлаждения от акб напряжением 12V Да, еще проще - кабель использовать с большим количеством волокон. Не считаете ваш вариант изначально ущербным «бай дизайн»? А то, ведь можно и еще упростить - тупарики повесить (они по 100р за кг). 6 часов назад, Constantin сказал: глупое утверждение.... отличная железка для своего места.....альтернативы просто нет, по форм фактору, по надежности, и по возможностям и по цене. Кому-то и рак рыба. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Constantin Опубликовано 25 июня, 2020 · Жалоба дэл Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 25 июня, 2020 · Жалоба 1 минуту назад, SyJet сказал: Мы обычно делитель ставим :-) узлы модернизируем и тд это надо покупать OLT и ONU , выше требования к сварке итп Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 25 июня, 2020 · Жалоба 19 часов назад, LostSoul сказал: хочу теперь, чтоб абонент на порту мог использовать только тот IP , который к нему по 82 опции прилетел, а не какой ему вздумается. В режиме коммутатора так нельзя. По сути можно создать DHCP сервер на этом устройстве и по радиусу связать с центром, микротик выдаст ему нужный IP и все, с ним его трафик должна пропускать вся сеть. 15 часов назад, SyJet сказал: Плохое решение выбор такого оборудования, ему не место у оператора. Ищите с поддержкой ip source guard и ip arp spoofing Ага эти софтовые фичи ни у какого другого производителя не зависают, не создают нагрузку на CPU и всячески не выносят мозг? По сути это все для ленивых - зачем делать вланы или QinQ, можно сделать влан на коммутатор и туда навешать всяких плюшек, а случись что весь коммутатор и потухнет разом. 2 часа назад, LostSoul сказал: смысл "софтовых фич" , что абонент прицепив к провайдеру новое неизвестное устройство проводит его идентификацию через веб-логин. Если выдавать IP через радиус, можно посмотреть в базе авторизован ли клиент, если нет - или выдать ему другой серый IP, или на свой привязанный через правило сделать перенаправление на веб авторизацию. 2 часа назад, alibek сказал: Если сеть устроена так, что на доступе работает провижнгинг или автонастройка с прописыванием VLAN, то это самая гибкая и универсальная схема из всех возможных. Так я выше написал. Через радиус раздавать адреса, если мак клиента не известен (или порт, откуда пришел запрос), то выдать или некий серый адрес, или постоянный для этого порта, но с перенаправлением в центре. Соответственно центр всех этих товарищей отправит на веб авторизацию, по результатам которой им уже будет выдаваться постоянный адрес по окончании времени аренды временного. Все это работает и на микротике, если пачкой на все порты загнать вланы, IP адреса и DHCP сервера. 1 час назад, alibek сказал: 5 пункт означает создание DHCP-сервера на каждого клиента? Я никак не могу считать нормальным создание нескольких тысяч DHCP-серверов на шлюзе доступа. Это просто вид реализации. Что там циска разве не создает кучу DHCP серверов? Да она просто их в конфиге не показывает. А микротик показывает и никаких проблем в этом нет. 1 час назад, LostSoul сказал: типа как ловить события что пользователь попытался воткнуть что-то новое или вообще не на своем порту оказался как направлять не прошедшего под ACL в dhcp-сервере пользователя на некий веб-портал идентификации Просто тут без привязок по маку не обойтись. В центре хранить привязку порт + мак. Если этот мак пришел с другого порта, или с этого порта другой мак - перекидывать на веб авторизацию. Только так целесообразно делать лишь в многоэтажках, и то, когда абонентов тысяч 50 и всем сотрудникам пофиг на проблемы клиента. Т.к. многие абоненты вообще ни номера договора не знают, ни названия провайдера, ни логина и пароля от ЛК. Очень часто такие ситуации, что договор заключает один человек, а пользуются другие, например со смартфонов и т.п., и когда кончаются деньги, или меняется роутер, начинаются проблемы что надо куда-то звонить, узнавать свое подключение по адресу и номеру дома + квартиры, короче это все сложно. Проще следить за этим другими методами. 1 час назад, SyJet сказал: Да, еще проще - кабель использовать с большим количеством волокон. Не считаете ваш вариант изначально ущербным «бай дизайн»? Просто очень многие тянут не верный дизайн сети с момента строительства. Самое распространенное это шина - звезда из центра, когда в начале 2000 протянули по паре волокон через весь город, а теперь нет возможностей заменить или протянуть новые, вот и вешаются гирляндами коммутаторы, прописываются тысячи вланов и через STP типа резервирование. А если откинуть старье, поставить в такие места мини узлы, которые все заворачивают в IP транспорт - сразу все проблемы и уйдут. Не будет в центре брасов и прочего барахла, который терминирует десятки тысяч абонентов, слушает весь мусор с них. Но куда тут такое - циски дорого а микротики это не серьезно=) Вот потихоньку и разваливаются такие операторы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...