Romeshik 144 Posted 2011-07-11 19:50:29 Share Posted 2011-07-11 19:50:29 Ребята, помогите решить задачку. Есть сеть, есть vpn сервер у всех прописаны статические адреса. И вот все отлично работает, пока какой то умник не вобьет себе "по ошибке" IP адрес vpn сервака. Ложит всю сеть нафиг. ПОнимаю что вопрос ламерский, советов типа перевести всех на дхцп просьба не давать, так как все завязано на таком конфиге. В ядре стоит Длинк 3100-24-TG К нему имею доступ и могу че нить на нем настроить. Ядро на микротике(тоже есть доступ) Можно как нить настроить на порте свича, к примеру правило (допустим что ИП ВПН сервака у нас 192.168.0.1)что-то вроде если ИП адрес вбит 192.168.0.1 то запретить ему доступ в сеть. или на микротике что нить в этом смысле прописать. На домах тоже стоят управлякемые свичи, тоесть можно и на них че нить накрутить. Но управляемые разные, есть как Длинк 3526 так и ТПлинк-2448 Не ругайте за ламерский вопрос, прошу реально помочь советом. Link to post Share on other sites
Sandorik 21 Posted 2011-07-11 19:58:05 Share Posted 2011-07-11 19:58:05 Если сеть с одной подсетью, используйте лучше pppoe, или настраивайте управляемые свичи на доступ и прописывайте на каждом порту мак клиента. З.Ы. А зачем Вам управлялки на клиентах, если не используется весь потенциал? ) Link to post Share on other sites
Stimels7 10 Posted 2011-07-11 21:43:38 Share Posted 2011-07-11 21:43:38 Если сеть с одной подсетью, используйте лучше pppoe, или настраивайте управляемые свичи на доступ и прописывайте на каждом порту мак клиента. З.Ы. А зачем Вам управлялки на клиентах, если не используется весь потенциал? ) Static arp для vpn сервера в ядре Link to post Share on other sites
NiTr0 585 Posted 2011-07-11 22:02:01 Share Posted 2011-07-11 22:02:01 И вот все отлично работает, пока какой то умник не вобьет себе "по ошибке" IP адрес vpn сервака. Ложит всю сеть нафиг. Или пока не сделает у себя "кольцо", подключив свич и соединив пару его портов патч-кордом, или пока не начнет баловаться арп спуфингом, или... Кулхацкеров/дураков/обиженных абонентов хватает. Сегментировать сеть надо, сегментировать... Нарезать на вланы, на 1 влан - небольшая подсеть... Link to post Share on other sites
Земеля 729 Posted 2011-08-25 08:51:58 Share Posted 2011-08-25 08:51:58 наф сервак иметь ай-пи 192,168,0,1 так как много клинский заморочек имеют такие ай-пи по умолчанию ! а так заметил что самые распространенные ай-пи это 192.168.0.1 всякий мусор 192.168.0.50 стан. ай-пи для Dlink 2100 AP 192.168.1.1 роутеры Асуса например 192.168.1.20 модемы убнт стандартный сам лично попался на кул хакеров или дураков сейчас везде ставлю управляемы тп линки (24 порта 1100грн) 16 портов 800 грн, 9 портовый 650грн управление через ВЕБ,... + у тебя идет маленькая защита по портам( то есть мак компа клиента привязываешь к порту) + через веб можешь видеть порт клиента живой или нет + оптические порты есть и 1гб по витухе Link to post Share on other sites
alex_o 1,194 Posted 2011-08-25 09:25:15 Share Posted 2011-08-25 09:25:15 У технологии доступа через впн есть наверное единственное преимущество перед другими технологиями доступа - впн-сервер и клиенты могут находится в разных сетях с Л3-маршрутизацией между ними. Так что самый простой и быстрый вариант решения проблемы ТС - вынос впн-сервера в другую подсеть. В этом случае если балбес подставит себе IP сервера - он накажет только лишь себя самого. А вот если он подставит себе IP шлюза своей сети, то накажет всех соседей в своей сети. Все проблемы решаются применением умных свичей на доступе и одного из вариантов топологий: 1. Привязка IP-Port на доступе. Если у юзера в пакетиках не разрешенный ему IP, то дальше свича доступа пакетики не идут. Контролироваться должны не только пакетики IP-протокола, но и арп-анонсы - это умеют делать только свичи с PCF ACL, то еть длинки (у тех же 3526 на базе этого сделано ARP-spoofing-prevention). 2. dhcp + arp-inspection. Свич доступа, при получении юзером адреса через дхцп, создает привязку IP-MAC-Port. Все что не попадает под эту привязку - дропается. 3. Технология vlan-per-user. Тут каждый юзер сидит в своем отдельном влане, поэтому чтобы он не делал, навредить он сможет лишь себе самому. Шоколадку мне за ликбез . Link to post Share on other sites
Mobil 68 Posted 2011-08-25 12:33:37 Share Posted 2011-08-25 12:33:37 Самый дешевый по бюджету способ перейти на pppoe для начала, ну а потом уже по немногу внедрять умные железки... Link to post Share on other sites
alex_o 1,194 Posted 2011-08-25 12:56:10 Share Posted 2011-08-25 12:56:10 Самый дешевый по бюджету способ перейти на pppoe для начала, ну а потом уже по немногу внедрять умные железки... Вы невнимательны. У ТС уже стоят управляемые свичи на доступе. Смысл ему менять один тунельный протокол на другой? Над абонентами поиздеваться? Link to post Share on other sites
Єгор 1 Posted 2011-08-25 13:37:01 Share Posted 2011-08-25 13:37:01 Не хочете в себе реалізувати IP Source Guard + Option 82? Жити стане легше. Link to post Share on other sites
Romeshik 144 Posted 2011-09-15 22:43:14 Author Share Posted 2011-09-15 22:43:14 Извините забыл совсем о теме пока опять один умник не поставил себе ip vpn сервака Шоколадку мне за ликбез . Однозначно! думаю на УКОСе пересечемся Таки да, все свичи управляемые, но не все умеют так называемую опцию82(перевожу уже на те что умеют) Просто когда строилась сеть был вообще зеленым, и мне товарищ как сделал так все и работало пока было человек 30-40 в сети. Когда стало 200 уже возрос % умников(так и хочется добавить хрЕновых) Считаю себя все же еще начинающим, потому как не умею еще толком реализовать эту чудную опцию 82. В ядре микротик и 3100-24TG и тот и другой не умеют эту фичу использовать, потому как понимаю надо ставить еще сервак на линуксе(прошу не советовать фряху или чтото подобное) так быстро не осилю. Вот надеюсь уже на УКОСе все расспросить записать и внедрить. Чем не нравится pptp так это 1. Бегать или в телефонном режиме обьяснять как настроить соединение после переустановки виндовс, + опять же проблемма бывает разорвет соединение а ююзер не шарит что надо подключить. Очень хотелось бы чтобы юзер винду поменял, дрова на сетевушку поставил, кабель втыкнул и все пашет))ну если комп сменил то тогда пусть наберет я МАС-адрес сменю на серваке. Link to post Share on other sites
oleksandrzt 9 Posted 2011-09-16 00:45:11 Share Posted 2011-09-16 00:45:11 DHCP Option 82 Link to post Share on other sites
spaul 69 Posted 2011-09-16 01:45:37 Share Posted 2011-09-16 01:45:37 Ну да, так, чтобы совсем пользователям было легко - то option 82, но если нет возможности, то я лично не понимаю преимуществ pptp перед pppoe. пптп (vpn) создано для подключения к "удаленным" серверам, ето если вам нужно обьединить офис в Киеве, и в Лос анджелесе =) Для настройки пптп - юзеру нужно 1.правильно настроить айпишник на сетевой. 2 Правильно настроить новое подключение (в том числе знать айпишник сервера, логин, пароль). 3 В некоторых случаях еще и вручную маршрутизацию в другую подсеть.... И когда один м@д#к неопытный пользователь ставит айпишник сервера - все мучения абонентов по настройке подключения оказываются напрасными =)) Гораздо проще настроить пппое. Айпишников не нужно знать, только логин, пароль, и даже если ктото подменит айпишник сервера - вам по барабану. Link to post Share on other sites
QI_Can9 3 Posted 2011-09-16 07:18:24 Share Posted 2011-09-16 07:18:24 На делинке правило выглядит следующим образом create access_profile ip source_ip_mask 255.255.255.255 profile_id 21 config access_profile profile_id 21 add access_id 1 ip source_ip 192.168.х.1 port all deny х - в моем случае номер свича, ето если сеть разбита на сегменты и каждый свич является шлюзом Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now