motorhunter Опубликовано 9 сентября, 2010 (изменено) · Жалоба Есть сеть примерно на 2500 абонентов. Оборудование на домах в большинстве случаем неуправляемое. Но каждый дом (в крайнем случае - 2) подключен к порту квартального L3-коммутатора. Абонентам раздаются IP-адреса по DHCP, все в одном VLANе, адреса раздаются одинаково всем, базы МАКов нет. Доступ в интернет получают по VPN (PPTP). При этом в сети есть и локальные ресурсы (торрент, DC++, FTP и т.п.), доступ к которым осуществляется в обход VPN. Когда заканчиваются деньги на счете у абонента, Радиус выдает отказ в авторизации и, соответственно, VPN не поднимается, инета нет. А локальные ресурсы продолжают быть доступны. Задача - сделать так, чтобы при отрицательном балансе абонент не мог бы пользоваться и локальными ресурсами. Пока есть 2 идеи, как это сделать: 1. Собрать все МАК-адреса, прописать их в DHCP и выдавать IP по ним. Соответственно МАКи должников убирать из конфига DHCP и рестартовать его. Недостаток - огромный конфиг DHCP, необходимость его постоянно править и передергивать сервер. К тому же абоненту никто не мешает прописать адрес вручную и продолжать пользоваться локалкой, если ему не выдался по DHCP. 2. У квартальных коммутаторов (Zyxel-4124) есть функция MAC Port Authentication, при получении нового МАКа он отправляет запрос на Радиус с этим МАКом и, в зависимости от ответа, разрешает прохождение пакетов с ним или нет. Тут тоже придется собирать МАКи у абонентов, да еще неизвестно, насколько отлажена эта функция (Port MAC Authentication). Как лучше? Может быть, есть еще какие-то способы, как это реализовать, прошу поделиться... Изменено 9 сентября, 2010 пользователем motorhunter Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 9 сентября, 2010 (изменено) · Жалоба Базу MAC можно собрать через dhсp.leases или arpwatch, совместив данные с логами vpn сервера. Также неплохо бы сделать vlan на дом. Изменено 9 сентября, 2010 пользователем marikoda Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 9 сентября, 2010 · Жалоба Управляемый порт на абонента. Все остальное допускает возможность в сговоре или с подменой IP-MAC продолжение пользования сетью как транспортом. Это обсуждалось здесь 100500 раз. Что мешает абоненту поставить статику. Что мешает абоненту поставить мак соседа и его машину задосить-выключить-итд. Единственный вариант в вашем случае серьезный трек маков на управляемых портах и административное давление на абонентов + физическое отключение от сети. DHCP поддельных еще нет? Широковещательных штормов еще нет? Жалоб на нестабильную работу еще нет? Начните с сегментации сети. Хотя здесь можно с нуля все строить и вообще с заменой коммутаторов доступа на управляемые переходить на IPoE. Поднимайте старые темы форума. Итог - первое предложение в моем посте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 9 сентября, 2010 · Жалоба на первых порах можно прикрутить ip-sentinel Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 9 сентября, 2010 · Жалоба Это частный случай отслеживания IP-MAC и не более. Я думал у нас академический спор ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
marikoda Опубликовано 9 сентября, 2010 · Жалоба Управляемый порт на абонента. Все остальное допускает возможность в сговоре или с подменой IP-MAC продолжение пользования сетью как транспортом. Это обсуждалось здесь 100500 раз. Что мешает абоненту поставить статику. Что мешает абоненту поставить мак соседа и его машину задосить-выключить-итд. Единственный вариант в вашем случае серьезный трек маков на управляемых портах и административное давление на абонентов + физическое отключение от сети. DHCP поддельных еще нет? Широковещательных штормов еще нет? Жалоб на нестабильную работу еще нет? Начните с сегментации сети. Хотя здесь можно с нуля все строить и вообще с заменой коммутаторов доступа на управляемые переходить на IPoE. Поднимайте старые темы форума. Итог - первое предложение в моем посте. При такой конфигурации сети перейти сразу на "порт-абонент" довольно дорого. Промежуточный вариант - влан на дом вполне жизнеспособен, но желательно еще отслеживать MAC. При этом ничего не мешает не спеша переходить на "порт на абонента". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 9 сентября, 2010 · Жалоба Взять dhcp.leases, выделить те строки, у кого баланс положительный, и запихнуть в список разрешений в файрволл на локальном сервере. Связки MAC-IP на DHCP-сервере лучше сделать статическими. От подмен не спасёт, но работу с нормальными клиентами слегка упорядочит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 сентября, 2010 · Жалоба Надо поднять PPPoE сервер и делать авторизацию на нем. IP адреса не выдавать вовсе. Даже если человек пропишет у себя вручную адрес дальше своей локалки из 255 компьютеров не попадет, а вы в свою очередь закроете доступ напрямую между пользователями на L3. Со временем все нормализуеться, т.к. основная масса не будет вникать в сложности вбивания адресов и будет трафик бегать через центр. У нас такое как раз и было, хватило полгода на переход всех пользователей на PPPoE. Сейчас новые подключения делаем только в отдельный порт L2 с разрешением только одного мака, а старые дома так и работают на неуправляемом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 9 сентября, 2010 · Жалоба Надо поднять PPPoE сервер и делать авторизацию на нем.IP адреса не выдавать вовсе. Даже если человек пропишет у себя вручную адрес дальше своей локалки из 255 компьютеров не попадет, а вы в свою очередь закроете доступ напрямую между пользователями на L3. Со временем все нормализуеться, т.к. основная масса не будет вникать в сложности вбивания адресов и будет трафик бегать через центр. У нас такое как раз и было, хватило полгода на переход всех пользователей на PPPoE. Сейчас новые подключения делаем только в отдельный порт L2 с разрешением только одного мака, а старые дома так и работают на неуправляемом. Классика жанра. Поднимаю PPPoE в своем сегменте, ловлю лохов (это если не отслеживать левые PPPoE). Продолжаю. Включаюсь в сеть, вижу ПК Васи. Вася - лох. Натравливаю на него эксплойты, мочу его system32, тушу его машину, меняю ему мак впридачу, ставлю IP-MAC Васи. Продолжаю. Задолбало платить за Интернет. С Петей договариваюсь и за пиво ставлю ему прокси/впн-сервер. Поключаюсь к нему. Всем удобно и хорошо. Вопрос был не в PPPoE, а в ограничении доступа в локалку. Закрываем тему. Управляемый порт на абонента решает проблему. Остальное - самообман. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 9 сентября, 2010 · Жалоба Мда, господа... скудновато у вас с фантазией. Вот вам нормально работающая схема. Линки с домов агрегируются куда? Правильно - на агрегатор. Так вот на этом агрегаторе должны быть IP-ACL. Делаем три профиля ацл - первый разрешает source-IP на конкретных портах, второй разрешает всем доступ к личному кабинету/сайту провайдера, третий - запрещает все. Далее правим биллинг, чтобы он запихивал в нужный агрегатор в первый профиль ацл для конкретной связки IP-порт. Соответственно, кому нет такой ацл - доступ возможен только в личный кабинет и в пределах своего дома (тупого свича на доме). Для этой схемы надо прописать в билинге: 1. Порт и свич, который агрегирует абонента в ядро. 2. МАС абонента. 3. Статические абонентские IP (раздавать которые можно все также через дхцп вытягиванием из биллинга через радиус по МАС-у). Кроме того, если к этой схеме еще и привентить ip-sentinel (or ipguard on FreeBSD), то это убъет все потуги умников напрочь. Недостаток схемы - привязка к МАС абонента. Можно уйти и от этого, но только путем отказа от дхцп и раздачи всем статических ИП. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 9 сентября, 2010 · Жалоба Абоненты включены в неуправляемые коммутаторы. Там ничего нельзя сделать - только косвенно задетектить. Про недостаток: какая разница по DHCP или статикой IP получен (абонент должен все настройки получать автоматом)... IP-MAC действует на управляемом порту. Более того, если много клиентов неуправляемых коммутаторов упретесь еще и в ограничение статик маков на порту. Третий раз говорю - только управляемый порт на абонента обеспечивает спокойный сон. Или остальные просто от нечего делать ставят управляемое оборудование на доступ и строят схемы влан пер юзер итд? Не хотите слушать - стройте как думаете и знаете. Мне до 130 лет дожить надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyfromkomi Опубликовано 10 сентября, 2010 · Жалоба Не хотите слушать - стройте как думаете и знаете. Мне до 130 лет дожить надо. Почему до 130-и? мы чего то не знаем...??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 10 сентября, 2010 · Жалоба Не хотите слушать - стройте как думаете и знаете. Мне до 130 лет дожить надо.Почему до 130-и? мы чего то не знаем...??? Анекдот рассказать про старца и журналиста? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 10 сентября, 2010 · Жалоба Анекдот рассказать про старцаСидит мальчик на одном конце скамейки, а на другом пенсионер. Мальчик ест без конца одну конфету за другой. Пенсионер:- Мальчик, не ешь так много конфет, это вредно. - А вот мой дедушка дожил до ста лет. - Это потому, что он не ел столько сладкого. - Нет, это потому, что он никогда не лез не в свое дело! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 10 сентября, 2010 · Жалоба Анекдот рассказать про старцаСидит мальчик на одном конце скамейки, а на другом пенсионер. Мальчик ест без конца одну конфету за другой. Пенсионер:- Мальчик, не ешь так много конфет, это вредно. - А вот мой дедушка дожил до ста лет. - Это потому, что он не ел столько сладкого. - Нет, это потому, что он никогда не лез не в свое дело! Хороший анекдот. Но я другой имел ввиду. Забитая деревня. Корреспондент находит самого старого жителя планеты. Идет процесс интервью: -Скажите, сколько вам лет? -Много! Сразу и не вспомнить. -Ну у вас есть секрет? -Конечно, я никогда в жизни ни с кем не спорил. -А сколько вам лет? -130. -Но ведь этого не может быть?!!! -Да, этого не может быть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...