[motorhunter]

Есть сеть примерно на 2500 абонентов. Оборудование на домах в большинстве случаем неуправляемое. Но каждый дом (в крайнем случае - 2) подключен к порту квартального L3-коммутатора. Абонентам раздаются IP-адреса по DHCP, все в одном VLANе, адреса раздаются одинаково всем, базы МАКов нет. Доступ в интернет получают по VPN (PPTP). При этом в сети есть и локальные ресурсы (торрент, DC++, FTP и т.п.), доступ к которым осуществляется в обход VPN. Когда заканчиваются деньги на счете у абонента, Радиус выдает отказ в авторизации и, соответственно, VPN не поднимается, инета нет. А локальные ресурсы продолжают быть доступны. Задача - сделать так, чтобы при отрицательном балансе абонент не мог бы пользоваться и локальными ресурсами. Пока есть 2 идеи, как это сделать:

 

1. Собрать все МАК-адреса, прописать их в DHCP и выдавать IP по ним. Соответственно МАКи должников убирать из конфига DHCP и рестартовать его.

Недостаток - огромный конфиг DHCP, необходимость его постоянно править и передергивать сервер. К тому же абоненту никто не мешает прописать адрес вручную и продолжать пользоваться локалкой, если ему не выдался по DHCP.

 

2. У квартальных коммутаторов (Zyxel-4124) есть функция MAC Port Authentication, при получении нового МАКа он отправляет запрос на Радиус с этим МАКом и, в зависимости от ответа, разрешает прохождение пакетов с ним или нет. Тут тоже придется собирать МАКи у абонентов, да еще неизвестно, насколько отлажена эта функция (Port MAC Authentication).

 

Как лучше? Может быть, есть еще какие-то способы, как это реализовать, прошу поделиться...

Изменено 9 сентября, 2010 пользователем motorhunter

[marikoda]

Базу MAC можно собрать через dhсp.leases или arpwatch, совместив данные с логами vpn сервера.

Также неплохо бы сделать vlan на дом.

Изменено 9 сентября, 2010 пользователем marikoda

[yakuzzza]

Управляемый порт на абонента. Все остальное допускает возможность в сговоре или с подменой IP-MAC продолжение пользования сетью как транспортом. Это обсуждалось здесь 100500 раз.

Что мешает абоненту поставить статику. Что мешает абоненту поставить мак соседа и его машину задосить-выключить-итд.

Единственный вариант в вашем случае серьезный трек маков на управляемых портах и административное давление на абонентов + физическое отключение от сети. DHCP поддельных еще нет? Широковещательных штормов еще нет? Жалоб на нестабильную работу еще нет? Начните с сегментации сети. Хотя здесь можно с нуля все строить и вообще с заменой коммутаторов доступа на управляемые переходить на IPoE.

 

Поднимайте старые темы форума. Итог - первое предложение в моем посте.

[martin74]

на первых порах можно прикрутить ip-sentinel

[yakuzzza]

Это частный случай отслеживания IP-MAC и не более. Я думал у нас академический спор ;)

[marikoda]

Управляемый порт на абонента. Все остальное допускает возможность в сговоре или с подменой IP-MAC продолжение пользования сетью как транспортом. Это обсуждалось здесь 100500 раз.

Что мешает абоненту поставить статику. Что мешает абоненту поставить мак соседа и его машину задосить-выключить-итд.

Единственный вариант в вашем случае серьезный трек маков на управляемых портах и административное давление на абонентов + физическое отключение от сети. DHCP поддельных еще нет? Широковещательных штормов еще нет? Жалоб на нестабильную работу еще нет? Начните с сегментации сети. Хотя здесь можно с нуля все строить и вообще с заменой коммутаторов доступа на управляемые переходить на IPoE.

 

Поднимайте старые темы форума. Итог - первое предложение в моем посте.

При такой конфигурации сети перейти сразу на "порт-абонент" довольно дорого.

Промежуточный вариант - влан на дом вполне жизнеспособен, но желательно еще отслеживать MAC.

При этом ничего не мешает не спеша переходить на "порт на абонента".

[Ilya Evseev]

Взять dhcp.leases, выделить те строки, у кого баланс положительный,

и запихнуть в список разрешений в файрволл на локальном сервере.

 

Связки MAC-IP на DHCP-сервере лучше сделать статическими.

От подмен не спасёт, но работу с нормальными клиентами слегка упорядочит.

[Saab95]

Надо поднять PPPoE сервер и делать авторизацию на нем.

IP адреса не выдавать вовсе.

Даже если человек пропишет у себя вручную адрес дальше своей локалки из 255 компьютеров не попадет, а вы в свою очередь закроете доступ напрямую между пользователями на L3.

Со временем все нормализуеться, т.к. основная масса не будет вникать в сложности вбивания адресов и будет трафик бегать через центр. У нас такое как раз и было, хватило полгода на переход всех пользователей на PPPoE. Сейчас новые подключения делаем только в отдельный порт L2 с разрешением только одного мака, а старые дома так и работают на неуправляемом.

[yakuzzza]

Надо поднять PPPoE сервер и делать авторизацию на нем.

IP адреса не выдавать вовсе.

Даже если человек пропишет у себя вручную адрес дальше своей локалки из 255 компьютеров не попадет, а вы в свою очередь закроете доступ напрямую между пользователями на L3.

Со временем все нормализуеться, т.к. основная масса не будет вникать в сложности вбивания адресов и будет трафик бегать через центр. У нас такое как раз и было, хватило полгода на переход всех пользователей на PPPoE. Сейчас новые подключения делаем только в отдельный порт L2 с разрешением только одного мака, а старые дома так и работают на неуправляемом.

Классика жанра. Поднимаю PPPoE в своем сегменте, ловлю лохов (это если не отслеживать левые PPPoE). Продолжаю. Включаюсь в сеть, вижу ПК Васи. Вася - лох. Натравливаю на него эксплойты, мочу его system32, тушу его машину, меняю ему мак впридачу, ставлю IP-MAC Васи. Продолжаю. Задолбало платить за Интернет. С Петей договариваюсь и за пиво ставлю ему прокси/впн-сервер. Поключаюсь к нему. Всем удобно и хорошо. Вопрос был не в PPPoE, а в ограничении доступа в локалку.

 

Закрываем тему. Управляемый порт на абонента решает проблему. Остальное - самообман.

 

[Alexandr Ovcharenko]

Мда, господа... скудновато у вас с фантазией.

Вот вам нормально работающая схема.

Линки с домов агрегируются куда? Правильно - на агрегатор. Так вот на этом агрегаторе должны быть IP-ACL. Делаем три профиля ацл - первый разрешает source-IP на конкретных портах, второй разрешает всем доступ к личному кабинету/сайту провайдера, третий - запрещает все. Далее правим биллинг, чтобы он запихивал в нужный агрегатор в первый профиль ацл для конкретной связки IP-порт. Соответственно, кому нет такой ацл - доступ возможен только в личный кабинет и в пределах своего дома (тупого свича на доме).

Для этой схемы надо прописать в билинге:

1. Порт и свич, который агрегирует абонента в ядро.

2. МАС абонента.

3. Статические абонентские IP (раздавать которые можно все также через дхцп вытягиванием из биллинга через радиус по МАС-у).

Кроме того, если к этой схеме еще и привентить ip-sentinel (or ipguard on FreeBSD), то это убъет все потуги умников напрочь.

Недостаток схемы - привязка к МАС абонента. Можно уйти и от этого, но только путем отказа от дхцп и раздачи всем статических ИП.

[yakuzzza]

Абоненты включены в неуправляемые коммутаторы. Там ничего нельзя сделать - только косвенно задетектить.

Про недостаток: какая разница по DHCP или статикой IP получен (абонент должен все настройки получать автоматом)... IP-MAC действует на управляемом порту. Более того, если много клиентов неуправляемых коммутаторов упретесь еще и в ограничение статик маков на порту.

 

Третий раз говорю - только управляемый порт на абонента обеспечивает спокойный сон. Или остальные просто от нечего делать ставят управляемое оборудование на доступ и строят схемы влан пер юзер итд?

 

Не хотите слушать - стройте как думаете и знаете. Мне до 130 лет дожить надо.

[sergeyfromkomi]

Не хотите слушать - стройте как думаете и знаете. Мне до 130 лет дожить надо.

Почему до 130-и? мы чего то не знаем...???

[yakuzzza]

Не хотите слушать - стройте как думаете и знаете. Мне до 130 лет дожить надо.

Почему до 130-и? мы чего то не знаем...???

Анекдот рассказать про старца и журналиста?

[Andrei]

Анекдот рассказать про старца

Сидит мальчик на одном конце скамейки, а на другом пенсионер. Мальчик ест без конца одну конфету за другой. Пенсионер:

- Мальчик, не ешь так много конфет, это вредно.

- А вот мой дедушка дожил до ста лет.

- Это потому, что он не ел столько сладкого.

- Нет, это потому, что он никогда не лез не в свое дело!

[yakuzzza]

Анекдот рассказать про старца

Сидит мальчик на одном конце скамейки, а на другом пенсионер. Мальчик ест без конца одну конфету за другой. Пенсионер:

- Мальчик, не ешь так много конфет, это вредно.

- А вот мой дедушка дожил до ста лет.

- Это потому, что он не ел столько сладкого.

- Нет, это потому, что он никогда не лез не в свое дело!

Хороший анекдот. Но я другой имел ввиду.

 

Забитая деревня. Корреспондент находит самого старого жителя планеты. Идет процесс интервью:

-Скажите, сколько вам лет?

-Много! Сразу и не вспомнить.

-Ну у вас есть секрет?

-Конечно, я никогда в жизни ни с кем не спорил.

-А сколько вам лет?

-130.

-Но ведь этого не может быть?!!!

-Да, этого не может быть.