Jump to content
Калькуляторы

zyxel keenetic раздает интернет через wan

Добрый день. Подскажите как бороться с такой проблемой. У абонента стоит роутер zyxel keenetic 4g ii с авторизацией PPPoE и каким-то образом после авторизации действие dhcp этого роутера распространяется через wan обратно в сеть провайдера и абоненты, подключенные к одному коммутатору доступа, что и проблемный роутер получают ip адреса этого роутера и получают доступ в сеть интернет. Уже несколько раз такое замечали, как это вылечить?

Share this post


Link to post
Share on other sites

Фильтровать DHCP на коммутаторе доступа.

Share this post


Link to post
Share on other sites

udp src port 67 drop на порту абона или вообще port isolation

Share this post


Link to post
Share on other sites

Или ACL руками рисовать, чтобы вычленить udp и port 67.

Share this post


Link to post
Share on other sites
10 часов назад, Badyavka сказал:

Добрый день. Подскажите как бороться с такой проблемой. У абонента стоит роутер zyxel keenetic 4g ii с авторизацией PPPoE и каким-то образом после авторизации действие dhcp этого роутера распространяется через wan обратно в сеть провайдера и абоненты, подключенные к одному коммутатору доступа, что и проблемный роутер получают ip адреса этого роутера и получают доступ в сеть интернет. Уже несколько раз такое замечали, как это вылечить?

Я подозреваю, что сеть построена на неуправляемых свитчах - забыть про них. Как минимум, сделать изоляцию абонентских портов (в древних свитчах это делалось впайкой запрограммированной микросхемы EPROM, в которой были прописаны Port-Based VLANs). А лучше использовать управляемые.

Или я ошибаюсь, и свитчи таки полноценные? Тогда просто настроить их. Например сделать те же Port-Based VLANs по количеству абонентских портов, и накидать в каждый VLAN только абонента и Uplink Port. Тогда каждый абон будет видеть только Uplink.
 

Share this post


Link to post
Share on other sites
18 часов назад, straus сказал:

Как минимум, сделать изоляцию абонентских портов (в древних свитчах это делалось впайкой запрограммированной микросхемы EPROM, в которой были прописаны Port-Based VLANs).

На DES-1008 это делалось впайкой/удалением резистора, тут статья когда то даже была, там просто изоляция портов была.

Я себе даже один переделал, сделал там переключатель :)

Share this post


Link to post
Share on other sites

Коммутаторы доступа dlink управляемые, попробуем что-то на них сделать. А на бс ubnt, к примеру, Lite AP 5AC тоже можно сделать фильтрацию dhcp когда абоненты подключены антеннами? Если да, то подскажите каким образом?

Edited by Badyavka

Share this post


Link to post
Share on other sites

@Badyavka, точно также - фильтровать DHCP.

Share this post


Link to post
Share on other sites

@Badyavka 

create access_profile profile_id 1 profile_name dchp ethernet vlan 0xFFF ethernet_type
config access_profile profile_id 1 add access_id 1 ethernet vlan PPPOE40 ethernet_type 0x8863 port 1-10 permit 
config access_profile profile_id 1 add access_id 2 ethernet vlan PPPOE40 ethernet_type 0x8864 port 1-10 permit 
config access_profile profile_id 1 add access_id 3 ethernet vlan PPPOE40 port 1-10 deny

 

Схема с Lite AP 5AC похожа нужно на порт бс повешать фильтр и включить на бс изоляцию. 

Share this post


Link to post
Share on other sites

 На других Ubnt есть на веб-морде firewall, там тоже можно фильтрануть, там Iptables. Иногда работает :) если угадать с интерфейсами... Фильтровать конечно надо непосредственно на клиенте, а не на БС.

Share this post


Link to post
Share on other sites

Влан на пользователя

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now