Badyavka Posted January 23, 2021 Posted January 23, 2021 Добрый день. Подскажите как бороться с такой проблемой. У абонента стоит роутер zyxel keenetic 4g ii с авторизацией PPPoE и каким-то образом после авторизации действие dhcp этого роутера распространяется через wan обратно в сеть провайдера и абоненты, подключенные к одному коммутатору доступа, что и проблемный роутер получают ip адреса этого роутера и получают доступ в сеть интернет. Уже несколько раз такое замечали, как это вылечить? Вставить ник Quote
dr Tr0jan Posted January 23, 2021 Posted January 23, 2021 Фильтровать DHCP на коммутаторе доступа. Вставить ник Quote
pppoetest Posted January 23, 2021 Posted January 23, 2021 udp src port 67 drop на порту абона или вообще port isolation Вставить ник Quote
Ivan_83 Posted January 23, 2021 Posted January 23, 2021 Или ACL руками рисовать, чтобы вычленить udp и port 67. Вставить ник Quote
straus Posted January 23, 2021 Posted January 23, 2021 10 часов назад, Badyavka сказал: Добрый день. Подскажите как бороться с такой проблемой. У абонента стоит роутер zyxel keenetic 4g ii с авторизацией PPPoE и каким-то образом после авторизации действие dhcp этого роутера распространяется через wan обратно в сеть провайдера и абоненты, подключенные к одному коммутатору доступа, что и проблемный роутер получают ip адреса этого роутера и получают доступ в сеть интернет. Уже несколько раз такое замечали, как это вылечить? Я подозреваю, что сеть построена на неуправляемых свитчах - забыть про них. Как минимум, сделать изоляцию абонентских портов (в древних свитчах это делалось впайкой запрограммированной микросхемы EPROM, в которой были прописаны Port-Based VLANs). А лучше использовать управляемые. Или я ошибаюсь, и свитчи таки полноценные? Тогда просто настроить их. Например сделать те же Port-Based VLANs по количеству абонентских портов, и накидать в каждый VLAN только абонента и Uplink Port. Тогда каждый абон будет видеть только Uplink. Вставить ник Quote
Ivan_83 Posted January 24, 2021 Posted January 24, 2021 18 часов назад, straus сказал: Как минимум, сделать изоляцию абонентских портов (в древних свитчах это делалось впайкой запрограммированной микросхемы EPROM, в которой были прописаны Port-Based VLANs). На DES-1008 это делалось впайкой/удалением резистора, тут статья когда то даже была, там просто изоляция портов была. Я себе даже один переделал, сделал там переключатель :) Вставить ник Quote
Badyavka Posted January 24, 2021 Author Posted January 24, 2021 (edited) Коммутаторы доступа dlink управляемые, попробуем что-то на них сделать. А на бс ubnt, к примеру, Lite AP 5AC тоже можно сделать фильтрацию dhcp когда абоненты подключены антеннами? Если да, то подскажите каким образом? Edited January 24, 2021 by Badyavka Вставить ник Quote
dr Tr0jan Posted January 24, 2021 Posted January 24, 2021 @Badyavka, точно также - фильтровать DHCP. Вставить ник Quote
pingz Posted January 28, 2021 Posted January 28, 2021 @Badyavka create access_profile profile_id 1 profile_name dchp ethernet vlan 0xFFF ethernet_type config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny Схема с Lite AP 5AC похожа нужно на порт бс повешать фильтр и включить на бс изоляцию. Вставить ник Quote
YuryD Posted January 28, 2021 Posted January 28, 2021 На других Ubnt есть на веб-морде firewall, там тоже можно фильтрануть, там Iptables. Иногда работает :) если угадать с интерфейсами... Фильтровать конечно надо непосредственно на клиенте, а не на БС. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.