O "арпу" , " безлимитках в складчину" и NoDeny в частности...

[BUM 240]

я то понимаю о чем речь идет, смысла в данном "стукачке" не вижу, ибо рано или поздно всеравно пользователи его обойдут,

Нет Вы какраз именно не понимаете ,и я исхожу из того что Вы описали свой процесс авторизации в сети.

я всего-лишь описал то что у меня реализовано.

 

так же появляется проблема с роутерами (или у Вас нет клиентов с роутерами)?

У меня есть клиеты с роутерами, при желании я могу отключить дополнительную автроизацию на клиента с роутером, хотя подчеркну ничего не помешает ему использовать авторизатор из за роутера

Помешает любой телефон, спутниковый тюнер который подключен к нету из-за кард-шаринга. У меня есть клиент довольно крупный человек в городе, дома бывает очень редко, т.к. сейчас в основном в киеве инет юзает в полной мере изредка, дома инет ему нужен для жены, точнее чтоб жена могла НТВ и прочую муру смотреть, клиент платит деньги, зачем мне ему авторизацию какую-то навязывать? или прикажите комп ему поставить?

 

защита должна быть в меру разумной, так сказать без фанатизма ибо это может повлечь за собой потерю клиентов,

Простите , вы считать и читать и понимать о чем пишут умеете? Потерю каких клиентов которые теоритически есть ,а математически их нет? ?

Поверьте умею, это вы не улавливаете критику, или не хотите ее понимать/вникнуть.

Я про потерю клиентов которые есть и не занимаются таким анонизмом, как те против которых вы хотите ввести данный авторизатор.

смысл держать клиентов которые не платят? для кол-ва?

 

среди которых могут оказаться клиенты которые платят одной суммой то что вы недополучаете с 3-4-х клиентов.

Такие все на карндаше, не попадут не бойся. К людям которые действительно платят и отношение соответствующее.В частности программа лояльности "платежные каникулы"

Дык, а смысл тогда с Вашего авторизатора, если он применяется не ко всем?

 

и это, если принцип понятен, есть придуманная логика работы, то что мешает наваять данный модуль самому?

Всего три слова. Я не программист.

Никогда не поздно обучиться

[zulu_gluk 23]

похоже у Вас просто есть лишние 200 баксов и Вы очень хотите их потратить. А то что из 1000 абонентов 100 Вас на##бует, то имхо стоит покопаться в Вашей организации, что-то там не так.

Покопайтесь в своей организации, в неуправляемой ее части если такая имеется. Вы будете приятно удивлены какой процент "вольников" на##бует вас. Хотя с неприятием этого факта хозяину и жить спокойнее.

 

копались, проблема есть, но ей действительно легче и дешевле пренебречь чем искоренить.

[vnd 12]

По теме подделывания своего мак адреса юзером. Как бы это можно было сделать на микротике, правда еще не проверял на практике, доверяем документации разработчика )))

Поднимаем хотспот-сервер, делаем авторизацию по мак-адресу, используем либо внутренний радиус-сервер User Manager либо внутренню базу хотспот-сервера. В свойствах юзера прописываем его айпи и мак адреса. Так вот, если верить документации, то при авторизации в сети по этому маку, клиент получает именно IP-шник, указанный в его настройках на хотспот сервере, в независимости от того, что указано у него в настройках. Т.о. если клиент поделится своим мак-адресом с соседом и тот свой мак поменят на мак соседа, то в сети появятся одновременно два юзера с одинаковым айпишником, в итоге работаь сможет только один.

 

Поправьте меня, если я не прав.

[vnd 12]

А вы не исключайте что есть подлые и умные клиенты которые не пожелают получить ай-пи автоматом исходя из DHCP настроек сервера .Тое сть имея и поставив себе в винде одинаковый с соседом мак 00:00:00:00:01 айпи пропишет не 10.0.0.20 а 10.0.0.22. А линухе так той воще похер выскаивающие виндузятные "конфликты" .

Если у вас нет тунелей ,в разных вариантах настроек работать будет у обоих ,коряво но будет А в варианте обоюдной договоренности использования по очереди так вобще сказка.,

У нас к примеру В Херсоне есть один такой супер провайдер Вай-Файный "донор" ,которого по вашей схеме имеют по всяко-разному кому не лень.

 

Зачем бы тогда я про эту фишку писал? Привязку айпи к маку можно настроить и в DHCP, сделав соотв. резервацию.

Зачем заморачиваться микротиком и хотспотами в таком случае.

Вот из документации User Manager.

 

IP address. If not blank, user will get this IP address on successful authorization.

 

Также делая строгую привязку ip к маку на роутере и заставив его использовать только статические записи в ARP табилце и на интерфейса включив ответ только на ARP запросы из вышеуказанной таблицы, можно дополнительно подстраховаться от подмены мака и айпи. Подробней по ссылке ниже:

 

http_://wiki.mikrotik.com/wiki/How_to_secure_a_network_using_ARP

[vnd 12]

Вот и я думаю ,зачем вы это писали ?

 

Затем, что они заявляют, что в любом случае IP будет проставлен тот, который вы укажете в настройках профиля пользователя, даже если он пропишет его статически. А во-вторых, читайте дополнение про статическую ARP таблицу на роутере в том же посте.

[Ork Yason 8]

Странно ..., а я к примеру знаю и проверил на практике ,что при отключении из свича он тутже бежит и несет мне денежку с очередной сказкой, (забыл,закрутился, итд)Так что экономически выгоднее правильно стимулировать абонентов не создавая предпосылок перебежек или "ПУСТЬ ВАЛИТ К КОНКУРЕНТАМ И И...Т ИМ МОСК" (С) ??

экономически - это создать экономически выгодные условия... или НЕ выгодные...

 

Вы хотите - чтоб клиент не оплативший услугу - ее не получал НИ В КОЕЙ МЕРЕ - это можно сделать - только не дав ему этой возможности...

т.е. либо отключая его физически - либо отключая ее логически с помощью оборудования...

и в том и в другом случае - клиент понимает - что лучше платить...

 

если у Вас нет денег на управляемое обрудования (а честно сказать у нас тоже нет на его 100% и плюс замена его при летних грозах ) - то остайоцо только финансовое воздействие и физическое отключение...

 

 

кстати... на повторных подключениях по 50грн - мы не плохо зарабатывем - при том что это деньги НИ ЗА ЧТО...

 

честно - я не понимаю вашей проблемы... у нас, 10го числа пользовать получает статус "приостановлен", а с 1го следующего месяца - он идет в списках на отключение - и при звонках - они раскошеливаюцо на 50грн...

 

т.е. если он одуплилсо после 10го - он оплатит мне за полный месяц - хотя не использует его полностью

а если после 1го - то минимальный платеж за прошлый месяц - он вообще не использовал эти деньги

а если не одуплицо вообще - ну и так ему и нада - пусть конкуренты с ним голову морочат...

[NickG 0]

напомню о http://www.nongnu.org/ip-sentinel

[Ork Yason 8]

Нет ,экономически , это не потерять клиета который может но не всегда хочкт платить по состоянию души и образованию (ума) позволяющего ему поработать с соседом на шару.

он не может поработать с соседом на шару - ибо его выдернут из свича... и заставят заплатить за повторное подключение 50грн

Ну что сказать ....., люди не дадут соврать .

Была у меня одна такая сеть в конкурентах, уже как с год ее нету.

ее нет не потому что там заставляли платить - а потому что качество не соответствовало заявленной цене

 

мы даем качественную услугу - и просим за нее денег

если клиент не в состоянии за нее платить в оговоренный срок - он идет к другому

мы не собираемся объяснять взрослым людям элементарные истины рынка: товар - деньги, пусть педагогическими изысками страдает кто-то другой...

 

судя из Вашей логике, компании Дженерал Моторс нужно снизить цены на Кадиллак Эскалейд, дабы я мог его купить... и фиг с ним, что оно будет им в убыток - ведь я классный пацан - что им жалко????

[Ork Yason 8]

Ну вам людей своих гонять отключать "таких" ежемесячно не в лом? Может проще таки не дать пользоваться чужим ВПН не прилагая таких героических усилий ?

такие - каждый месяц новые... те кто еще не испытал на себе все прелести повторного подключения

Естественно не по этому ,вашим абонентам нравилось при восстановлении и минимальном нарушении нести вам 50гр Против того что ваш конкурент разослалал всем по почте целевую рекламу о подключении за 1гр и даю 1 месяц унлима на шару

наши абоненты в подавляющем большенстве - платят во время и согласно заказанному тарифу

а те кто не платит - те и мучаюцо и страдают

 

ну не по почте... ну подключает... вот таких вот... халявщиков...

думаете, ему стоит позавидовать???

 

Я всего лиш предлагаю авторизатор который облегчит жизнь малым сетям ,а вы в своих тарифах предлагаете к Кадиллак Эскалейд купить штрафные "лыжи за 5000$" на основании нарушения договора о ежемесячной смене резины .

это стандарная практика... при покупке машины - обслуживацо на фирменном СТО

нихо обслуживацо на фирменном СТО - не видать тебе гарантии

 

ЗЫ обойдут они и это... только контроль на порту спасет аца-русской-демократии... все остальное - костыли и припарки...

[BUM 240]

Ну прям как дети малые, то что Вы считаете необходимым за реализацию авторизации - даст эфекта ровно 10% от того что у Вас сейчас твориться в сети, не проще ли админ методами решать? зачем изобретать грабли? я не вижу смысла в этих граблях ... ибо грабли на проверке ip+mac + vpn(login+pass) + ip-vpn_ip вполне достаточно для этих мер ... изобетать костыль который сделает абузу для некоторых пользователей, темболее включать его "для неплательщиков, которых по факту почти нет" ... ну ейбогу смысла не вижу ...

[vnd 12]

Прикольно, я бы глянуть на это хотел как мне на линухе при статических настройках "пропишут" айпи ,и что мне помешат его сменить?

 

Вот, что они пишут у себя на сайте:

The MikroTik HotSpot Gateway provides authentication for clients before access to public networks .

 

HotSpot Gateway features:

[...bla-bla...]

automatic and transparent change any IP address of a client to a valid address;

 

/ip hotspot user

address (IP address; default: 0.0.0.0) : IP address, when specified, client will get the address from the HotSpot one-to-one NAT translations.

 

/ip hotspot host

# address (read-only): HotSpot client original IP address

# to-address (read-only): New client address assigned by HotSpot, it might be the same as original address (но как видно не обязательно, можно и любой другой)

 

/ip hotspot ip-binding

# address (IP address / netmask; default "") : the original IP address of the client

# to-address (IP address; default "") : new IP address of the client, translation occurs on the router (client does not know anything about the translation)

 

Как видно из вышесказанного, речь идет о one-to-one NAT трансляции, то есть замена адреса осуществляется на стороне роутера, юзер об этом ничего не узнает. Ну это не совсем то, признаю. Делу эта фича не поможет.

 

Но это что касается именно внутренней базы хотспот сервера тика. А вот в User Manager в описании поля IP Address свойст юзера нет ни слова про 1-to-1 NAT. То есть подозреваю, что если юзер с указанным в этом поле IP адресом будет подставлять мак-адрес отличный от того, что прописан в базе User Manager'а этого пользователя, то хотспот его просто не пустит.

 

Ну, и напоследок еще один приятный бонус, в тике есть очень хорший параметр в свойствах хотспота, а именно:

/ip hotspot

addresses-per-mac (integer / unlimited; default: 2) : number of IP addresses allowed to be bind with the MAC address, when multiple HotSpot clients connected with one MAC-address.

Т.о. запретив работать под разными айпишниками на одном маке, юзеру придется брать у соседа полную привязку IP/MAC, а тогда одновременная работа существенно осложнится. Хотя, если честно, не знаю, как поведет себя неуправляемый свич с дублируемыми записями в арп-таблице, на оба порта будет сдать или тому, кто первый ответит на броадкастовый ARP-запрос.

 

Замороженная статическая таблица и примочки типа L@guard частично спасут вас только с "умными" Виндузями..,которые по старту спросят ,а не занят ли этот айпи в сети ? И то не на всех абонентах пройдет

 

А вот это ниасилил. При чем тут занятт-не занят? Канальный и сетевой уровень модели OSI еще, вроде, ни в одной операционке не отменяли. Если на роутере стоит статическая ARP-таблица и настроено, что отвечать он будет только на запросы пары IP/MAC из этой таблицы, то с юзером, имеющим, отличный от этой пары-привязки IP адрес, дело даже до RARP-запроса рутера не дойдет. Запросы юзера там и останутся без внимания. Это если я Вас правильно понял и мы все еще говорим о том, что умный клиент возьмет мак соседа и пропишет себе статический IP, который будет отличатьяс от IP соседа.

 

Дело другое , если по авторизации IP не будет соответсвовать MAC прописанному у вас в настройках профиля , то "Тик" будет эти пакты бортовать... Ну а если совпадет ?

 

Вот про это я и написал выше, когда упомянул User Manager. Встроенными средствами хотспота нет возможности аутентифицировать одновременно и по IP и по маку. Зато есть возможность ограничить количество IP-адресов, привязанных к одному маку.

 

Ну а если совпадет, то в сети будет работать два одинаковых айпишника с маком, вот и потесьте как часто у вас в таком случае будут теряться пакеты и как долго один из хостов не будет получать ответ.

[vnd 12]

Если бы вы внимательно прочитали начало этого топика , жизнь бы вас избавила от такой массы бесполезного "копипаста"

 

Ну, копипаста, там совсем чуть-чуть было, только с сайта микротика.

 

А там в глубоком начале темы речь шла как раз и шла о обратном. Юзеру нет смысла нарушать зависимость пар mak+ip в противном случае он не получит бесплатной "шоколадки" запустив VPN товарища....

 

Я, похоже, неверно истолковал для себя Ваш ответ:

 

А вы не исключайте что есть подлые и умные клиенты которые не пожелают получить ай-пи автоматом исходя из DHCP настроек сервера .Тое сть имея и поставив себе в винде одинаковый с соседом мак 00:00:00:00:01 айпи пропишет не 10.0.0.20 а 10.0.0.22. А линухе так той воще похер выскаивающие виндузятные "конфликты" .

Если у вас нет тунелей ,в разных вариантах настроек работать будет у обоих ,коряво но будет

 

Вы тут говорите только про совпадающий с соседом мак, а также упоминаете тунели. Я так для себя понял, что VPN у Вас нет. А начало переписки и подзабыл уже.

 

Можете ограничить хоть до одного варианта , но если он стоит правильный ,но к примеру на другой машине ,или на двух машинах одинаковые пары mac+ip. Для вас эта новость звучит дико??

Я не пойму к чему вам вобще такое детское и бесполезное ограничение?

 

Да, для меня это дико звучит. Если бы такое у меня было на работе в локалке, то звучало бы еще диче на порядок.

Раз вы считаете, что одновременная работа в сети нескольких юзеров под одним и тем же IP/MAC вообще безболезненная тема, то предлагаю в качестве эксперимента всем без исключения юзерам в вашей локалке назначить одинаковый IP и проследить, как быстро после такого назначения пойдут жалобы. А также, назначьте и себе такой же IP и попробуйте нормально поработать в сети, постоянно что-то серфя по хттп и качая что-нибудь тяжелое с трекера. Мне очень интересно узнать результаты такого эксперимента. Сколько процентов работы из всего выделенного на эксперимент времени окажутся результатвиными. Мне так кажется, что это будет число, меньшее даже 50%, если не гораздо ниже.

[Ork Yason 8]

...

в общем эту тему можно продолжать до безконечности...

но...

 

есть сурровая правда жизни: но мани - но виски

 

зачем собирать у себя нищебродов, тратить на них время и деньги - я не пойму и собираюсь

есть сети с соответствующим сектором ниже среднего - вот пусть они и занимаюцо такой клиентурой...

[BUM 240]

он не может поработать с соседом на шару - ибо его выдернут из свича... и заставят заплатить за повторное подключение 50грн

Ну вам людей своих гонять отключать "таких" ежемесячно не в лом? Может проще таки не дать пользоваться чужим ВПН не прилагая таких героических усилий ?

Что мешает тем же "умным пользователям" между собой ВПНы построить и гонять траф через Вашу сеть, имея доступ к сети?

[BUM 240]

hex@set, я просто пытаюсь Вам объяснить что проблему таким методом не решить, добавите себе просто дополнительный гиморой. Вы придумали способ вылечить насморк, а в итоге побочным эффектом у Вас будет гиморой, если не понятно какой - перечитайте предидущие посты. Лучше отложите те 200$ на покупку управляемого железа.

[zulu_gluk 23]

Меня почему то не пугает использовать разные типы авторизации и контроля выборочно. Исходя из ТУ заказчика, наших технических возможностей, и прочих нюансов

 

потому что это дорого в обслуживании.

[Iridium 6]

Провайдер, устанавливающий на МОЙ компьютер всякую авторизирующую хрень, еще и шпионскую пойдет нафиг бравым маршем. Благо конкурентов сейчас (тех же мобильщиков) полно.

[Iridium 6]

Еще один клоун читающий между строк, знакомое слово в тексте уловил "стукачек" и все сразу понял. Умарил мля...

Давай рассмотрим ситуацию по другому. К тебе пришол твой школьный "друг" и подсмотрел твои сетевые настройки и пароль на впн, в итоге ты переодически сосеш лапу в товремя пока твой друган юзает твой инет Ну и париш мозг себе и провайдеру. В варианте авторизации такой проблемы нет ,даже если у тебя украли пароль на авторизатор и сам авторизатор в придачу

Мобилные гриш.., о если бы ты знал как к примеру с CDMA авторизация происходит ты бы прозрел ..ну про их скорость ,надежность, поддержку, я промолчу....

Любая авторизация ,передает твои личные данные как минммум логин пароль, т-е "стучит" провайдеру что это ты ,а не твой друг Петя.

 

Если у меня уведут пароль на интернет - я сам себе злобный буратино. Ваша провайдерская работа - дать на конце шнурка интернет, в крайнем случае, через стандартные протоколы (PPTP, PPPoE, L2TP). Все что за этим шнурком вас вообще не должно интересовать пока это оборудование пользователя.

 

Не надо прикрывать благими намерениями свое нежелание решать проблему нормальными способами. Вам уже несколько человек описали (со стороны провайдеров и пользователей) почему эта идея - бред, а вы все кидаетесь на каждого, кто с вами не согласен.

 

У CDMA операторов авторизация по PPP, не понимаю вашего вопроса.

[t0ly 3]

почти любой програмер напишет подобное "чудо" за 200 у е за 1-2 дня + месяц на отладку

вообще вам бы в форум програмеров

[mr.Dream 164]

некропостери)

[Stimels7 10]

ТС - троль ИМХО !