Запретить доступ тому кто вбил IP VPN сервера

[Romeshik 144]

Ребята, помогите решить задачку.

Есть сеть, есть vpn сервер

у всех прописаны статические адреса.

И вот все отлично работает, пока какой то умник не вобьет себе "по ошибке" IP адрес vpn сервака. Ложит всю сеть нафиг.

ПОнимаю что вопрос ламерский, советов типа перевести всех на дхцп просьба не давать, так как все завязано на таком конфиге.

В ядре стоит Длинк 3100-24-TG

К нему имею доступ и могу че нить на нем настроить. Ядро на микротике(тоже есть доступ)

Можно как нить настроить на порте свича, к примеру правило (допустим что ИП ВПН сервака у нас 192.168.0.1)что-то вроде если ИП адрес вбит 192.168.0.1 то запретить ему доступ в сеть.

или на микротике что нить в этом смысле прописать.

На домах тоже стоят управлякемые свичи, тоесть можно и на них че нить накрутить. Но управляемые разные, есть как Длинк 3526 так и ТПлинк-2448

Не ругайте за ламерский вопрос, прошу реально помочь советом.

[Sandorik 19]

Если сеть с одной подсетью, используйте лучше pppoe, или настраивайте управляемые свичи на доступ и прописывайте на каждом порту мак клиента.

 

З.Ы. А зачем Вам управлялки на клиентах, если не используется весь потенциал? )

[Stimels7 10]

Если сеть с одной подсетью, используйте лучше pppoe, или настраивайте управляемые свичи на доступ и прописывайте на каждом порту мак клиента.

 

З.Ы. А зачем Вам управлялки на клиентах, если не используется весь потенциал? )

Static arp для vpn сервера в ядре

[NiTr0 583]

И вот все отлично работает, пока какой то умник не вобьет себе "по ошибке" IP адрес vpn сервака. Ложит всю сеть нафиг.

Или пока не сделает у себя "кольцо", подключив свич и соединив пару его портов патч-кордом, или пока не начнет баловаться арп спуфингом, или... Кулхацкеров/дураков/обиженных абонентов хватает.

Сегментировать сеть надо, сегментировать... Нарезать на вланы, на 1 влан - небольшая подсеть...

[Земеля 711]

наф сервак иметь ай-пи 192,168,0,1

так как много клинский заморочек имеют такие ай-пи по умолчанию !

а так заметил что самые распространенные ай-пи это

192.168.0.1 всякий мусор

192.168.0.50 стан. ай-пи для Dlink 2100 AP

192.168.1.1 роутеры Асуса например

192.168.1.20 модемы убнт стандартный

 

сам лично попался на кул хакеров или дураков

сейчас везде ставлю управляемы тп линки (24 порта 1100грн) 16 портов 800 грн, 9 портовый 650грн

управление через ВЕБ,... + у тебя идет маленькая защита по портам( то есть мак компа клиента привязываешь к порту)

+ через веб можешь видеть порт клиента живой или нет

+ оптические порты есть и 1гб по витухе

[alex_o 1 194]

У технологии доступа через впн есть наверное единственное преимущество перед другими технологиями доступа - впн-сервер и клиенты могут находится в разных сетях с Л3-маршрутизацией между ними. Так что самый простой и быстрый вариант решения проблемы ТС - вынос впн-сервера в другую подсеть. В этом случае если балбес подставит себе IP сервера - он накажет только лишь себя самого. А вот если он подставит себе IP шлюза своей сети, то накажет всех соседей в своей сети.

 

Все проблемы решаются применением умных свичей на доступе и одного из вариантов топологий:

1. Привязка IP-Port на доступе. Если у юзера в пакетиках не разрешенный ему IP, то дальше свича доступа пакетики не идут. Контролироваться должны не только пакетики IP-протокола, но и арп-анонсы - это умеют делать только свичи с PCF ACL, то еть длинки (у тех же 3526 на базе этого сделано ARP-spoofing-prevention).

2. dhcp + arp-inspection. Свич доступа, при получении юзером адреса через дхцп, создает привязку IP-MAC-Port. Все что не попадает под эту привязку - дропается.

3. Технология vlan-per-user. Тут каждый юзер сидит в своем отдельном влане, поэтому чтобы он не делал, навредить он сможет лишь себе самому.

 

Шоколадку мне за ликбез .

[Mobil 66]

Самый дешевый по бюджету способ перейти на pppoe для начала, ну а потом уже по немногу внедрять умные железки...

[alex_o 1 194]

Самый дешевый по бюджету способ перейти на pppoe для начала, ну а потом уже по немногу внедрять умные железки...

Вы невнимательны. У ТС уже стоят управляемые свичи на доступе. Смысл ему менять один тунельный протокол на другой? Над абонентами поиздеваться?

[Єгор 1]

Не хочете в себе реалізувати IP Source Guard + Option 82? Жити стане легше.

[Romeshik 144]

Извините забыл совсем о теме пока опять один умник не поставил себе ip vpn сервака

 

 

 

Шоколадку мне за ликбез .

Однозначно! думаю на УКОСе пересечемся

 

Таки да, все свичи управляемые, но не все умеют так называемую опцию82(перевожу уже на те что умеют)

Просто когда строилась сеть был вообще зеленым, и мне товарищ как сделал так все и работало пока было человек 30-40 в сети.

Когда стало 200 уже возрос % умников(так и хочется добавить хрЕновых)

Считаю себя все же еще начинающим, потому как не умею еще толком реализовать эту чудную опцию 82.

В ядре микротик и 3100-24TG и тот и другой не умеют эту фичу использовать, потому как понимаю надо ставить еще сервак на линуксе(прошу не советовать фряху или чтото подобное) так быстро не осилю.

Вот надеюсь уже на УКОСе все расспросить записать и внедрить.

Чем не нравится pptp так это 1. Бегать или в телефонном режиме обьяснять как настроить соединение после переустановки виндовс, + опять же проблемма бывает разорвет соединение а ююзер не шарит что надо подключить.

Очень хотелось бы чтобы юзер винду поменял, дрова на сетевушку поставил, кабель втыкнул и все пашет))ну если комп сменил то тогда пусть наберет я МАС-адрес сменю на серваке.

[oleksandrzt 9]

DHCP Option 82

[spaul 69]

Ну да, так, чтобы совсем пользователям было легко - то option 82, но если нет возможности, то я лично не понимаю преимуществ pptp перед pppoe.

 

пптп (vpn) создано для подключения к "удаленным" серверам, ето если вам нужно обьединить офис в Киеве, и в Лос анджелесе =)

Для настройки пптп - юзеру нужно 1.правильно настроить айпишник на сетевой. 2 Правильно настроить новое подключение (в том числе знать айпишник сервера, логин, пароль). 3 В некоторых случаях еще и вручную маршрутизацию в другую подсеть....

И когда один м@д#к неопытный пользователь ставит айпишник сервера - все мучения абонентов по настройке подключения оказываются напрасными =))

 

Гораздо проще настроить пппое. Айпишников не нужно знать, только логин, пароль, и даже если ктото подменит айпишник сервера - вам по барабану.

[QI_Can9 3]

На делинке правило выглядит следующим образом

 

create access_profile ip source_ip_mask 255.255.255.255 profile_id 21

config access_profile profile_id 21 add access_id 1 ip source_ip 192.168.х.1 port all deny

 

х - в моем случае номер свича, ето если сеть разбита на сегменты и каждый свич является шлюзом