Aomi Опубликовано 13 декабря, 2013 · Жалоба Всем привет, поиск юзал, но так и не понял ничего :) Есть NAS Микротик, к нему коннектятся абоненты по PPPoE, биллинг по радиусу назначает им серые IP 10.10.11.1-10.10.20.254, и вот все абоненты друг друга и видят и пингуют. Не могу понять что не так :( Посоветуйте, куда смотреть, пожалуйста. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 декабря, 2013 · Жалоба Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop. Если у вас есть какой-то внутренний сервер, так же из этой подсети, то сперва добавьте разрешающее правило на него. Но лучше его из 10.10 вывести, тогда и лишнее правило не потребуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aomi Опубликовано 14 декабря, 2013 · Жалоба Ок, сейчас буду пробовать. Спасибо. Правила сильно процессор загрузят? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 декабря, 2013 · Жалоба Ок, сейчас буду пробовать. Спасибо. Правила сильно процессор загрузят? Нет не сильно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 14 декабря, 2013 · Жалоба Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop. Неправильный совет. От снифферов, спуфинга, ложных PPPoE и DHCP серверов это не защитит. Нужно выключать arp-proxy на шлюзе и включать изоляцию портов на доступе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aomi Опубликовано 14 декабря, 2013 (изменено) · Жалоба Изоляцию портов включить не получится - доступ gpon, pppoe на onu поднимается Изменено 14 декабря, 2013 пользователем Aomi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 14 декабря, 2013 · Жалоба А какая выгода использовать PPPoE в xPON? Да еще с учетом того, что PPPoE-соединение устанавливает ONU, а не абонент. Кроме того, мне кажется что изоляция портов есть на любом xPON, во всяком случае у Eltex и SNR такое есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aomi Опубликовано 14 декабря, 2013 (изменено) · Жалоба А как на Элтексе включить? PPPoE удобно резервировать Еще есть доступ по радио, ubnt и mikrotik , там тоже на клиентском поднимается pppoe. По радио везде есть изоляция клиентов, базы в режиме бриджа. Думаю что друг друга они видят через NAS. Изменено 14 декабря, 2013 пользователем Aomi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 декабря, 2013 · Жалоба А как на Элтексе включить? PPPoE удобно резервировать Еще есть доступ по радио, ubnt и mikrotik , там тоже на клиентском поднимается pppoe. По радио везде есть изоляция клиентов, базы в режиме бриджа. Думаю что друг друга они видят через NAS. Они по другому и не могут видеть. Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop. Неправильный совет. От снифферов, спуфинга, ложных PPPoE и DHCP серверов это не защитит. Нужно выключать arp-proxy на шлюзе и включать изоляцию портов на доступе. Это заблокирует доступ абонентов к друг другу через туннели. Обычно на L2 уровне просто блокируют все кроме pppoe трафика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Aomi Опубликовано 15 декабря, 2013 · Жалоба Спасибо. Создал правило, все работает-запрещает :) А вот как разрешить шлюз который 10.10.10.1 - непонял. Создал правило, где action=access, src.address=10.10.0.0/16, dst.address=10.10.10.1, поставил его перед запрещающим, но не пашет :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 декабря, 2013 · Жалоба Добавьте в правила запрета dst.list=!allow в него поместите те адреса, на которые должен быть доступ, только и всего=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...