Перейти к содержимому
Калькуляторы

PPPoE клиенты видят друг друга Так должно быть?

Всем привет, поиск юзал, но так и не понял ничего :) Есть NAS Микротик, к нему коннектятся абоненты по PPPoE, биллинг по радиусу назначает им серые IP 10.10.11.1-10.10.20.254, и вот все абоненты друг друга и видят и пингуют. Не могу понять что не так :( Посоветуйте, куда смотреть, пожалуйста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop.

 

Если у вас есть какой-то внутренний сервер, так же из этой подсети, то сперва добавьте разрешающее правило на него. Но лучше его из 10.10 вывести, тогда и лишнее правило не потребуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ок, сейчас буду пробовать. Спасибо. Правила сильно процессор загрузят?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ок, сейчас буду пробовать. Спасибо. Правила сильно процессор загрузят?

 

Нет не сильно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop.

Неправильный совет.

От снифферов, спуфинга, ложных PPPoE и DHCP серверов это не защитит.

Нужно выключать arp-proxy на шлюзе и включать изоляцию портов на доступе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Изоляцию портов включить не получится - доступ gpon, pppoe на onu поднимается

Изменено пользователем Aomi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А какая выгода использовать PPPoE в xPON?

Да еще с учетом того, что PPPoE-соединение устанавливает ONU, а не абонент.

Кроме того, мне кажется что изоляция портов есть на любом xPON, во всяком случае у Eltex и SNR такое есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как на Элтексе включить? PPPoE удобно резервировать

 

Еще есть доступ по радио, ubnt и mikrotik , там тоже на клиентском поднимается pppoe. По радио везде есть изоляция клиентов, базы в режиме бриджа. Думаю что друг друга они видят через NAS.

Изменено пользователем Aomi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А как на Элтексе включить? PPPoE удобно резервировать

 

Еще есть доступ по радио, ubnt и mikrotik , там тоже на клиентском поднимается pppoe. По радио везде есть изоляция клиентов, базы в режиме бриджа. Думаю что друг друга они видят через NAS.

 

Они по другому и не могут видеть.

 

Добавьте правило файрвола, где src.address=10.10.0.0/16, dst.address=10.10.0.0/16 - action=drop.

Неправильный совет.

От снифферов, спуфинга, ложных PPPoE и DHCP серверов это не защитит.

Нужно выключать arp-proxy на шлюзе и включать изоляцию портов на доступе.

 

Это заблокирует доступ абонентов к друг другу через туннели. Обычно на L2 уровне просто блокируют все кроме pppoe трафика.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо. Создал правило, все работает-запрещает :) А вот как разрешить шлюз который 10.10.10.1 - непонял. Создал правило, где action=access, src.address=10.10.0.0/16, dst.address=10.10.10.1, поставил его перед запрещающим, но не пашет :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добавьте в правила запрета dst.list=!allow в него поместите те адреса, на которые должен быть доступ, только и всего=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.