Ivan_83 Опубликовано 27 сентября, 2014 · Жалоба А EAP-PEAP нету в ваймаксе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 27 сентября, 2014 · Жалоба Проблема в том что нет в радио столько ресурса чтобы забивать его бродкастовой ***ней в угоду больным людям. Какой бродкаст, вы о чем вообще??? Бродкастом ходит DHCPDISCOVER/DHCPOFFER (аналоги PADI/PADO). Остальное - чистый юникаст. Учите матчасть что ли... Тогда не будут мерщиться грабли там, где их нет. Вот нашелся хаб в щитке, провод идет в мою квартиру. Что вы мне предъявите? Несанкционированное вмешательство в системы передачи данных. То же самое, что и подключение к чужой телефонной линии, с названиванием в Нигерию. Да-да, за это очень больно дают по рукам. Ибо раскрывается элементарно, улики - налицо, а отдел К заинтересован в показателях... Сделать то можно, раз плюнуть. но вот ложных срабатываний длин кабеля будет столько, что ваши монтажники Вас же и проклянут. К тому же корректные данные от нее можно получить только в том случае если кабель вынут из сетевого оборудования. Длина кабеля определяется достаточно точно. Если резко на десяток-другой метров укоротился - должно настораживать. Поменять IP/MAC может любой школьник. Без знаний вовсе. Чтобы поднять левый PPPoE сервер, поснифать трафик и прочее -уже нужно обладать хоть какими то знаниями. А людям которые это могут обычно оное не интересно. Не говоря уж о чем то более сложном. Подмена IP/MAC поможет только в неуправляемой помойке. В нормальной сети - абонент привязывается к порту (опция 82/qinq). В конце концов -в любом доме сейчас есть десятки wi-fi сетей. Взломать их еще проще, есть даже готовый софт. Сиди и собирай пакеты. WPA/WPA2 так не поломаешь. Другое дело - если пров сам дает клиенту пароль на WPA2, считая невозможным подключение к CPE по терминалу :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 27 сентября, 2014 · Жалоба А EAP-PEAP нету в ваймаксе? Там нативный EAP-TTLS для логин/пароль аутентификации и EAP-TLS для MAC аутентификации. Я когда изучал это все дело удивлялся насколько все было придумано разумно. Как коммунизм, который как идея был хорошим, да люди не те попадались. Правда жизни в том, что других людей у нас нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 28 сентября, 2014 · Жалоба Сырой софт на ваймакс железках? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 29 сентября, 2014 · Жалоба Расшифруйте вопрос. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 сентября, 2014 · Жалоба EAP-TTLS не работает на всех ваймакс железках? Те что мешает сделать на подобии того как я тут описал: http://forum.nag.ru/forum/index.php?showtopic=96795&view=findpost&p=1022363 ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 29 сентября, 2014 · Жалоба EAP-TTLS не работает на всех ваймакс железках? Те что мешает сделать на подобии того как я тут описал: http://forum.nag.ru/forum/index.php?showtopic=96795&view=findpost&p=1022363 ? Ничего не мешает, мало того все уже так сделано. Я задавал вопрос о переводе L3 на L2 c хостроутингом. В итоге пришел к выводу что сделать это простым способом можно только с помощью PPPOE. После чего выслушал град советов и нотации о дырявости PPOE. Советов, которые в данном случае совершенно лишние и бесполезные. Теперь когда все узнали что никаких проблем с аунтентификацией нет, поговорим об L2 + маршрутизации? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 сентября, 2014 · Жалоба Чем проксиарп не устраивает? Если хочешь "плавный"=моментальное переключение то придётся какие то скрипты всё таки городить, чтобы не ждать пока арп запись из кеша устареет. Если у тебя радиус для 802.1х уже работает и видно не только кто подключился но и отключился, то на базе FreeRADIUS это делается относительно не сложно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 30 сентября, 2014 · Жалоба Чем проксиарп не устраивает? Уточню - proxyarp с изоляцией клиентов базы (т.о. и проблема гуляющих бродкастов/мультикастов решается к слову)... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 6 октября, 2014 · Жалоба Протестировали Lease time = 1 минута на DHCP сервере Mikrotik. Работает нормально. Так же сделали Rate-Limit в DHCP через радиус. Тоже работает нормально. Остается решить городить ли костыли для редистрибуции /32 роутов или все же резать сеть на крупные сегменты и использовать обычную маршрутизацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 6 октября, 2014 · Жалоба Остается решить городить ли костыли для редистрибуции /32 роутов это не костыль, а нормальная практика, если речь идёт о белых ipv4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 6 октября, 2014 · Жалоба Остается решить городить ли костыли для редистрибуции /32 роутов это не костыль, а нормальная практика, если речь идёт о белых ipv4 Если бы кто нибудь придумал и повсеместно внедрил ospf redistribute ARP то это был бы не костыль. Белые IP я давным давно раздаю через static 1:1 nat. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 6 октября, 2014 · Жалоба ospf redistribute ARP Это как раз костыль и есть. Ибо создает гемор с разграничением - что редистрибутить, а что нет, и в случае ошибки - сеть ложится... Создание маршрута на клиента в момент установки сессии и удаление его по истечении сессии более идеологически верно. Белые IP я давным давно раздаю через static 1:1 nat. Еще один костыль... Не, работает ессно, но - коряво и неудобно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 6 октября, 2014 · Жалоба ospf redistribute ARP Это как раз костыль и есть. Ибо создает гемор с разграничением - что редистрибутить, а что нет, и в случае ошибки - сеть ложится... Создание маршрута на клиента в момент установки сессии и удаление его по истечении сессии более идеологически верно. Redistribute это дословно "создание маршрута". Непонятно с чем вы даже тут пытаетесь спорить. Вопрос по какому триггеру создавать маршруты. В плоском сегменте, по запросу DHCP? А если я отключу DHCP и пропишу IP статически? Если вдумчиво поразмыслить, то станет понятно что только наличие ARP записи дает гарантию полного соответствия между маршрутизацией и состоянием хоста. Белые IP я давным давно раздаю через static 1:1 nat. Еще один костыль... Не, работает ессно, но - коряво и неудобно... Костыль это очень удобно, когда нет ноги. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 7 октября, 2014 · Жалоба то станет понятно что только наличие ARP записи дает гарантию полного соответствия между маршрутизацией и состоянием хоста. арп инспекшин включи на клиентских портах при такой схеме, а то будет весело. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 октября, 2014 · Жалоба Остается решить городить ли костыли для редистрибуции /32 роутов это не костыль, а нормальная практика, если речь идёт о белых ipv4 Если бы кто нибудь придумал и повсеместно внедрил ospf redistribute ARP то это был бы не костыль. Белые IP я давным давно раздаю через static 1:1 nat. Конечно, микротик не умеет(?) создавать маршрут /32 на абонента(видимо, это устаревшая технология), поэтому надо придумывать и внедрять redistribute-arp. гениально же! создание /32 на кастомера на основе dhcp-сигнализации идеалогически верно по той причине, что это подтверждается вашим сервером, а загадить arp и тем самым насоздавать маршрутов любой может (что приводит к очередному костылю - arp inspection) А если я отключу DHCP и пропишу IP статически? Это уже другой способ подключения. Если абонент хочет так подключаться, то считайте, что это просто другая услуга. Реализация - /30(очень дорого в плане IP-адресов) или статическое прописывание маршрута /32 в конфиге роутера и выделенный влан Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 октября, 2014 · Жалоба создание /32 на кастомера на основе dhcp-сигнализации идеалогически верно по той причине, что это подтверждается вашим сервером, а загадить arp и тем самым насоздавать маршрутов любой может (что приводит к очередному костылю - arp inspection) Перерыв все равно будет, т.к. на анонс маршрутов нужно время. Что бы не заморачиваться со старой записью, можно новой делать меньшую метрику в OSPF и трафик пойдет из центра на нее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 7 октября, 2014 · Жалоба Если бы кто нибудь придумал и повсеместно внедрил ospf redistribute ARP то это был бы не костыль в IOS XR вижу такое RP/0/RSP0/CPU0:Router#show ip route vrf aaa ... A - access/subscriber ... A 10.9.252.5/32 is directly connected, 1w2d, BVI5 A 10.9.252.8/32 is directly connected, 2w6d, BVI5 A 10.9.252.9/32 is directly connected, 01:01:45, BVI5 A 10.9.252.10/32 is directly connected, 6w1d, BVI5 A 10.9.252.11/32 is directly connected, 2w2d, BVI5 A 10.9.252.12/32 is directly connected, 3w3d, BVI5 A 10.9.252.17/32 is directly connected, 3w4d, BVI5 ... RP/0/RSP0/CPU0:Router(config-bgp-vrf-af)#redistribute ? ... subscriber subscriber routes кто-то уже придумал :) но нюансы работы этой штуки я не знаю, мы не пользуемся. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 7 октября, 2014 · Жалоба Redistribute это дословно "создание маршрута". Непонятно с чем вы даже тут пытаетесь спорить. redistribute - это не создание маршрута. Это - сообщение о маршруте соседям. Вы предлагаете для каждой ARP записи в таблице передавать маршрут соседям. Итог - в OSPF в случае неверных настроек (ошибка оператора) вы мигом получаете кучу мусора. А уж если кто-то начинает слать spoofed arp запросы... Вопрос по какому триггеру создавать маршруты. В плоском сегменте, по запросу DHCP? А если я отключу DHCP и пропишу IP статически? Если вдумчиво поразмыслить, то станет понятно что только наличие ARP записи дает гарантию полного соответствия между маршрутизацией и состоянием хоста. Хотите статики - пожалуйста, конфигурите статикой маршрут на клиента на роутере, и будет вам статика. Ессно, никакого контроля "сессии" не будет. А наличие автоматической ретрансляции ARP записи на самом деле дает дополнительно огромный простор для того, чтобы выстрелить себе в ногу. Ну разве что вместо старта "сессии" по DHCP сделать старт по ARP who-has, с запросом на радиус... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 7 октября, 2014 · Жалоба Итог - в OSPF в случае неверных настроек в оспф не должно быть клиентских маршрутов, ни /30, ни /32. при определенных масштабах, это просто само по себе начинает сказываться на сходимости, лучший вариант использовать людой igp только для распространения лупбеков роутеров, а между ними поднять bgp и в нем гонять все клиентское А уж если кто-то начинает слать spoofed arp запросы спуфинг на доступе должен быть закрыт, это же азбука Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 7 октября, 2014 · Жалоба Redistribute это дословно "создание маршрута". Непонятно с чем вы даже тут пытаетесь спорить. redistribute - это не создание маршрута. Это - сообщение о маршруте соседям. В IPoE маршрут /32 создается с единственной целью - проанонсить маршруты через протокол маршрутизации и сообщить соседям. Больше ни для чего не требуется данный костыль. В PPP есть отдельные интерфейсы, поэтому там маршрут /32 объективная необходимость. Вы предлагаете для каждой ARP записи в таблице передавать маршрут соседям. Итог - в OSPF в случае неверных настроек (ошибка оператора) вы мигом получаете кучу мусора. А уж если кто-то начинает слать spoofed arp запросы... Я ничего подобного не предлагаю. Я предлагаю редистрибуцию делать не на основе события DHCP, а на основе ARP. При этом никто не запрещает скрестить это скажем с радиусом и иметь аутентификацию. Вы так пишите словно нельзя заспуфить DHCP запросы и точно так же забить кучей мусора роутер. Или наоборот применить аутентификацию или фильтрацию используемую в DHCP для обсуждаемой процедуры. Вопрос по какому триггеру создавать маршруты. В плоском сегменте, по запросу DHCP? А если я отключу DHCP и пропишу IP статически? Если вдумчиво поразмыслить, то станет понятно что только наличие ARP записи дает гарантию полного соответствия между маршрутизацией и состоянием хоста. Хотите статики - пожалуйста, конфигурите статикой маршрут на клиента на роутере, и будет вам статика. Причем здесь то чего я хочу? Неужто великие специалисты по сетевой безопасности не знают что на любой железке можно отключить DHCP и поставить статический IP например соседа. Нельзя строить схему DHCP не учитывая возможности ручной установки IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sonne Опубликовано 7 октября, 2014 · Жалоба Если бы кто нибудь придумал и повсеместно внедрил ospf redistribute ARP то это был бы не костыль в IOS XR вижу такое На цисках бывает все что можно. Проблема в том, что установка необходимых цисок чаще всего делает проект бессмысленным с экономической точки зрения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 7 октября, 2014 · Жалоба Если бы кто нибудь придумал и повсеместно внедрил ospf redistribute ARP то это был бы не костыль в IOS XR вижу такое На цисках бывает все что можно. Проблема в том, что установка необходимых цисок чаще всего делает проект бессмысленным с экономической точки зрения. Cisco входит в множество "кто-нибудь" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 октября, 2014 · Жалоба кто-то уже придумал :) но нюансы работы этой штуки я не знаю, мы не пользуемся. вопрос не в том какой буковкой эти роуты обозначаются, а в том как они появляются. На IOS-XE для subscriber-роутов используется обычный S(static), но разницы от этого особо нет - разве что в удобстве, не надо писать префикс-фильтр/роут-мап, чтоб отматчить именно subscriber-роуты. Sonne же предлагает делать роуты именно на основе ARP-таблицы и пофиг каким образом эта arp-таблица. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 октября, 2014 · Жалоба Причем здесь то чего я хочу? Неужто великие специалисты по сетевой безопасности не знают что на любой железке можно отключить DHCP и поставить статический IP например соседа. Нельзя строить схему DHCP не учитывая возможности ручной установки IP. Если речь идёт про IP/arp-spoofing(что действительно возможно на практике), то это проблема элементарно решается L2-изоляцией и формированием arp-таблицы на основе сигнализации(что делают нормальные брасы) С mac-spoofing'ом ситуация несколько интересней, некоторые брасы не умеют держать более одного мака в пределах одного логического интерфейса(который описывают список dot1q или qinq номеров). Но и мак-спуфинг явление куда более редкое, чем ip/arp - спуфинг, чаще это бывают перепрошитые роутеры под openwrt с одинаковым маком или кривые мат.платы(тоже с одинаковым маком) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...