Romeshik 144 Опубликовано: 2011-07-11 19:50:29 Share Опубликовано: 2011-07-11 19:50:29 Ребята, помогите решить задачку. Есть сеть, есть vpn сервер у всех прописаны статические адреса. И вот все отлично работает, пока какой то умник не вобьет себе "по ошибке" IP адрес vpn сервака. Ложит всю сеть нафиг. ПОнимаю что вопрос ламерский, советов типа перевести всех на дхцп просьба не давать, так как все завязано на таком конфиге. В ядре стоит Длинк 3100-24-TG К нему имею доступ и могу че нить на нем настроить. Ядро на микротике(тоже есть доступ) Можно как нить настроить на порте свича, к примеру правило (допустим что ИП ВПН сервака у нас 192.168.0.1)что-то вроде если ИП адрес вбит 192.168.0.1 то запретить ему доступ в сеть. или на микротике что нить в этом смысле прописать. На домах тоже стоят управлякемые свичи, тоесть можно и на них че нить накрутить. Но управляемые разные, есть как Длинк 3526 так и ТПлинк-2448 Не ругайте за ламерский вопрос, прошу реально помочь советом. Ссылка на сообщение Поделиться на других сайтах
Sandorik 21 Опубліковано: 2011-07-11 19:58:05 Share Опубліковано: 2011-07-11 19:58:05 Если сеть с одной подсетью, используйте лучше pppoe, или настраивайте управляемые свичи на доступ и прописывайте на каждом порту мак клиента. З.Ы. А зачем Вам управлялки на клиентах, если не используется весь потенциал? ) Ссылка на сообщение Поделиться на других сайтах
Stimels7 10 Опубліковано: 2011-07-11 21:43:38 Share Опубліковано: 2011-07-11 21:43:38 Если сеть с одной подсетью, используйте лучше pppoe, или настраивайте управляемые свичи на доступ и прописывайте на каждом порту мак клиента. З.Ы. А зачем Вам управлялки на клиентах, если не используется весь потенциал? ) Static arp для vpn сервера в ядре Ссылка на сообщение Поделиться на других сайтах
NiTr0 584 Опубліковано: 2011-07-11 22:02:01 Share Опубліковано: 2011-07-11 22:02:01 И вот все отлично работает, пока какой то умник не вобьет себе "по ошибке" IP адрес vpn сервака. Ложит всю сеть нафиг. Или пока не сделает у себя "кольцо", подключив свич и соединив пару его портов патч-кордом, или пока не начнет баловаться арп спуфингом, или... Кулхацкеров/дураков/обиженных абонентов хватает. Сегментировать сеть надо, сегментировать... Нарезать на вланы, на 1 влан - небольшая подсеть... Ссылка на сообщение Поделиться на других сайтах
Земеля 728 Опубліковано: 2011-08-25 08:51:58 Share Опубліковано: 2011-08-25 08:51:58 наф сервак иметь ай-пи 192,168,0,1 так как много клинский заморочек имеют такие ай-пи по умолчанию ! а так заметил что самые распространенные ай-пи это 192.168.0.1 всякий мусор 192.168.0.50 стан. ай-пи для Dlink 2100 AP 192.168.1.1 роутеры Асуса например 192.168.1.20 модемы убнт стандартный сам лично попался на кул хакеров или дураков сейчас везде ставлю управляемы тп линки (24 порта 1100грн) 16 портов 800 грн, 9 портовый 650грн управление через ВЕБ,... + у тебя идет маленькая защита по портам( то есть мак компа клиента привязываешь к порту) + через веб можешь видеть порт клиента живой или нет + оптические порты есть и 1гб по витухе Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2011-08-25 09:25:15 Share Опубліковано: 2011-08-25 09:25:15 У технологии доступа через впн есть наверное единственное преимущество перед другими технологиями доступа - впн-сервер и клиенты могут находится в разных сетях с Л3-маршрутизацией между ними. Так что самый простой и быстрый вариант решения проблемы ТС - вынос впн-сервера в другую подсеть. В этом случае если балбес подставит себе IP сервера - он накажет только лишь себя самого. А вот если он подставит себе IP шлюза своей сети, то накажет всех соседей в своей сети. Все проблемы решаются применением умных свичей на доступе и одного из вариантов топологий: 1. Привязка IP-Port на доступе. Если у юзера в пакетиках не разрешенный ему IP, то дальше свича доступа пакетики не идут. Контролироваться должны не только пакетики IP-протокола, но и арп-анонсы - это умеют делать только свичи с PCF ACL, то еть длинки (у тех же 3526 на базе этого сделано ARP-spoofing-prevention). 2. dhcp + arp-inspection. Свич доступа, при получении юзером адреса через дхцп, создает привязку IP-MAC-Port. Все что не попадает под эту привязку - дропается. 3. Технология vlan-per-user. Тут каждый юзер сидит в своем отдельном влане, поэтому чтобы он не делал, навредить он сможет лишь себе самому. Шоколадку мне за ликбез . Ссылка на сообщение Поделиться на других сайтах
Mobil 68 Опубліковано: 2011-08-25 12:33:37 Share Опубліковано: 2011-08-25 12:33:37 Самый дешевый по бюджету способ перейти на pppoe для начала, ну а потом уже по немногу внедрять умные железки... Ссылка на сообщение Поделиться на других сайтах
alex_o 1 194 Опубліковано: 2011-08-25 12:56:10 Share Опубліковано: 2011-08-25 12:56:10 Самый дешевый по бюджету способ перейти на pppoe для начала, ну а потом уже по немногу внедрять умные железки... Вы невнимательны. У ТС уже стоят управляемые свичи на доступе. Смысл ему менять один тунельный протокол на другой? Над абонентами поиздеваться? Ссылка на сообщение Поделиться на других сайтах
Єгор 1 Опубліковано: 2011-08-25 13:37:01 Share Опубліковано: 2011-08-25 13:37:01 Не хочете в себе реалізувати IP Source Guard + Option 82? Жити стане легше. Ссылка на сообщение Поделиться на других сайтах
Romeshik 144 Опубліковано: 2011-09-15 22:43:14 Автор Share Опубліковано: 2011-09-15 22:43:14 Извините забыл совсем о теме пока опять один умник не поставил себе ip vpn сервака Шоколадку мне за ликбез . Однозначно! думаю на УКОСе пересечемся Таки да, все свичи управляемые, но не все умеют так называемую опцию82(перевожу уже на те что умеют) Просто когда строилась сеть был вообще зеленым, и мне товарищ как сделал так все и работало пока было человек 30-40 в сети. Когда стало 200 уже возрос % умников(так и хочется добавить хрЕновых) Считаю себя все же еще начинающим, потому как не умею еще толком реализовать эту чудную опцию 82. В ядре микротик и 3100-24TG и тот и другой не умеют эту фичу использовать, потому как понимаю надо ставить еще сервак на линуксе(прошу не советовать фряху или чтото подобное) так быстро не осилю. Вот надеюсь уже на УКОСе все расспросить записать и внедрить. Чем не нравится pptp так это 1. Бегать или в телефонном режиме обьяснять как настроить соединение после переустановки виндовс, + опять же проблемма бывает разорвет соединение а ююзер не шарит что надо подключить. Очень хотелось бы чтобы юзер винду поменял, дрова на сетевушку поставил, кабель втыкнул и все пашет))ну если комп сменил то тогда пусть наберет я МАС-адрес сменю на серваке. Ссылка на сообщение Поделиться на других сайтах
oleksandrzt 9 Опубліковано: 2011-09-16 00:45:11 Share Опубліковано: 2011-09-16 00:45:11 DHCP Option 82 Ссылка на сообщение Поделиться на других сайтах
spaul 69 Опубліковано: 2011-09-16 01:45:37 Share Опубліковано: 2011-09-16 01:45:37 Ну да, так, чтобы совсем пользователям было легко - то option 82, но если нет возможности, то я лично не понимаю преимуществ pptp перед pppoe. пптп (vpn) создано для подключения к "удаленным" серверам, ето если вам нужно обьединить офис в Киеве, и в Лос анджелесе =) Для настройки пптп - юзеру нужно 1.правильно настроить айпишник на сетевой. 2 Правильно настроить новое подключение (в том числе знать айпишник сервера, логин, пароль). 3 В некоторых случаях еще и вручную маршрутизацию в другую подсеть.... И когда один м@д#к неопытный пользователь ставит айпишник сервера - все мучения абонентов по настройке подключения оказываются напрасными =)) Гораздо проще настроить пппое. Айпишников не нужно знать, только логин, пароль, и даже если ктото подменит айпишник сервера - вам по барабану. Ссылка на сообщение Поделиться на других сайтах
QI_Can9 3 Опубліковано: 2011-09-16 07:18:24 Share Опубліковано: 2011-09-16 07:18:24 На делинке правило выглядит следующим образом create access_profile ip source_ip_mask 255.255.255.255 profile_id 21 config access_profile profile_id 21 add access_id 1 ip source_ip 192.168.х.1 port all deny х - в моем случае номер свича, ето если сеть разбита на сегменты и каждый свич является шлюзом Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас