Jump to content
Калькуляторы

PPPoE клиенты видят друг друга Так должно быть?

Всем привет, поиск юзал, но так и не понял ничего :) Есть NAS Микротик, к нему коннектятся абоненты по PPPoE, биллинг по радиусу назначает им серые IP 10.10.11.1-10.10.20.254, и вот все абоненты друг друга и видят и пингуют. Не могу понять что не так :( Посоветуйте, куда смотреть, пожалуйста.

Share this post


Link to post
Share on other sites

Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop.

 

Если у вас есть какой-то внутренний сервер, так же из этой подсети, то сперва добавьте разрешающее правило на него. Но лучше его из 10.10 вывести, тогда и лишнее правило не потребуется.

Share this post


Link to post
Share on other sites

Ок, сейчас буду пробовать. Спасибо. Правила сильно процессор загрузят?

Share this post


Link to post
Share on other sites

Ок, сейчас буду пробовать. Спасибо. Правила сильно процессор загрузят?

 

Нет не сильно.

Share this post


Link to post
Share on other sites

Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop.

Неправильный совет.

От снифферов, спуфинга, ложных PPPoE и DHCP серверов это не защитит.

Нужно выключать arp-proxy на шлюзе и включать изоляцию портов на доступе.

Share this post


Link to post
Share on other sites

Изоляцию портов включить не получится - доступ gpon, pppoe на onu поднимается

Edited by Aomi

Share this post


Link to post
Share on other sites

А какая выгода использовать PPPoE в xPON?

Да еще с учетом того, что PPPoE-соединение устанавливает ONU, а не абонент.

Кроме того, мне кажется что изоляция портов есть на любом xPON, во всяком случае у Eltex и SNR такое есть.

Share this post


Link to post
Share on other sites

А как на Элтексе включить? PPPoE удобно резервировать

 

Еще есть доступ по радио, ubnt и mikrotik , там тоже на клиентском поднимается pppoe. По радио везде есть изоляция клиентов, базы в режиме бриджа. Думаю что друг друга они видят через NAS.

Edited by Aomi

Share this post


Link to post
Share on other sites

А как на Элтексе включить? PPPoE удобно резервировать

 

Еще есть доступ по радио, ubnt и mikrotik , там тоже на клиентском поднимается pppoe. По радио везде есть изоляция клиентов, базы в режиме бриджа. Думаю что друг друга они видят через NAS.

 

Они по другому и не могут видеть.

 

Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop.

Неправильный совет.

От снифферов, спуфинга, ложных PPPoE и DHCP серверов это не защитит.

Нужно выключать arp-proxy на шлюзе и включать изоляцию портов на доступе.

 

Это заблокирует доступ абонентов к друг другу через туннели. Обычно на L2 уровне просто блокируют все кроме pppoe трафика.

Share this post


Link to post
Share on other sites

Спасибо. Создал правило, все работает-запрещает :) А вот как разрешить шлюз который 10.10.10.1 - непонял. Создал правило, где action=access, src.address=10.10.0.0/16, dst.address=10.10.10.1, поставил его перед запрещающим, но не пашет :(

Share this post


Link to post
Share on other sites

Добавьте в правила запрета dst.list=!allow в него поместите те адреса, на которые должен быть доступ, только и всего=)

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this