Badyavka Опубликовано 23 января, 2021 · Жалоба Добрый день. Подскажите как бороться с такой проблемой. У абонента стоит роутер zyxel keenetic 4g ii с авторизацией PPPoE и каким-то образом после авторизации действие dhcp этого роутера распространяется через wan обратно в сеть провайдера и абоненты, подключенные к одному коммутатору доступа, что и проблемный роутер получают ip адреса этого роутера и получают доступ в сеть интернет. Уже несколько раз такое замечали, как это вылечить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 23 января, 2021 · Жалоба Фильтровать DHCP на коммутаторе доступа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 23 января, 2021 · Жалоба udp src port 67 drop на порту абона или вообще port isolation Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 января, 2021 · Жалоба Или ACL руками рисовать, чтобы вычленить udp и port 67. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
straus Опубликовано 23 января, 2021 · Жалоба 10 часов назад, Badyavka сказал: Добрый день. Подскажите как бороться с такой проблемой. У абонента стоит роутер zyxel keenetic 4g ii с авторизацией PPPoE и каким-то образом после авторизации действие dhcp этого роутера распространяется через wan обратно в сеть провайдера и абоненты, подключенные к одному коммутатору доступа, что и проблемный роутер получают ip адреса этого роутера и получают доступ в сеть интернет. Уже несколько раз такое замечали, как это вылечить? Я подозреваю, что сеть построена на неуправляемых свитчах - забыть про них. Как минимум, сделать изоляцию абонентских портов (в древних свитчах это делалось впайкой запрограммированной микросхемы EPROM, в которой были прописаны Port-Based VLANs). А лучше использовать управляемые. Или я ошибаюсь, и свитчи таки полноценные? Тогда просто настроить их. Например сделать те же Port-Based VLANs по количеству абонентских портов, и накидать в каждый VLAN только абонента и Uplink Port. Тогда каждый абон будет видеть только Uplink. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 24 января, 2021 · Жалоба 18 часов назад, straus сказал: Как минимум, сделать изоляцию абонентских портов (в древних свитчах это делалось впайкой запрограммированной микросхемы EPROM, в которой были прописаны Port-Based VLANs). На DES-1008 это делалось впайкой/удалением резистора, тут статья когда то даже была, там просто изоляция портов была. Я себе даже один переделал, сделал там переключатель :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Badyavka Опубликовано 24 января, 2021 (изменено) · Жалоба Коммутаторы доступа dlink управляемые, попробуем что-то на них сделать. А на бс ubnt, к примеру, Lite AP 5AC тоже можно сделать фильтрацию dhcp когда абоненты подключены антеннами? Если да, то подскажите каким образом? Изменено 24 января, 2021 пользователем Badyavka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dr Tr0jan Опубликовано 24 января, 2021 · Жалоба @Badyavka, точно также - фильтровать DHCP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 28 января, 2021 · Жалоба @Badyavka create access_profile profile_id 1 profile_name dchp ethernet vlan 0xFFF ethernet_type config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny Схема с Lite AP 5AC похожа нужно на порт бс повешать фильтр и включить на бс изоляцию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
YuryD Опубликовано 28 января, 2021 · Жалоба На других Ubnt есть на веб-морде firewall, там тоже можно фильтрануть, там Iptables. Иногда работает :) если угадать с интерфейсами... Фильтровать конечно надо непосредственно на клиенте, а не на БС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
semop Опубликовано 29 января, 2021 · Жалоба Влан на пользователя Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...