Ромка 567 Posted 2011-09-06 20:24:02 Share Posted 2011-09-06 20:24:02 Хочется реализовать такую схему. Есть роутер Mikrotik, на нем настроен DHCP сервер, адреса статика согласно мак адреса, клиенты в основном windows, интернет получают по pptp и pppoe. Что настроить, чтоб клиент который ввел сетевой адрес вручную, не смог установить тоннель? Link to post Share on other sites
spaul 69 Posted 2011-09-06 23:03:20 Share Posted 2011-09-06 23:03:20 Ну для pptp можно сделать mikrotik роутером, через который должны идти пакеты в другую подсеть на pptp сервер, соответственно через роутер смогут пройти только клиенты, для которых есть статическая запись в arp таблице (и выдались dhcp-сервером вместе с маршрутом в другую подсеть, ведь из тех, кто шарит менять айпи, мало кто сможет вручную маршрут прописать). С pppoe такое конечно не прокатит, разве что с релеем чтото придумать. А вообще целесообазнось даной идеи очень сомнительна, хотя потребности конечно разные бывают... Link to post Share on other sites
Ромка 567 Posted 2011-09-07 05:42:11 Author Share Posted 2011-09-07 05:42:11 Ну для pptp можно сделать mikrotik роутером, через который должны идти пакеты в другую подсеть на pptp сервер, соответственно через роутер смогут пройти только клиенты, для которых есть статическая запись в arp таблице (и выдались dhcp-сервером вместе с маршрутом в другую подсеть, ведь из тех, кто шарит менять айпи, мало кто сможет вручную маршрут прописать). С pppoe такое конечно не прокатит, разве что с релеем чтото придумать. А вообще целесообазнось даной идеи очень сомнительна, хотя потребности конечно разные бывают... mikrotik и есть pppoe pptp сервер. Видел реализацию такого у одного человека на lynksys rv042, только там авторизация по ip+mac, причем даже если пользователь пропишет свой ip вручную, только dhcp, интернета у него не будет. подозреваю что реализовано путем манипуляций с leases и arp таблицей. По поводу целесообразности, чтоб пользователи не писали вручную ip адреса, даже свои правильные адреса. Link to post Share on other sites
Magus 22 Posted 2011-09-07 05:44:12 Share Posted 2011-09-07 05:44:12 Есть такаш штука как адрес-лист поле. Когда адрес выдался дхсп серваком, этот адрес добавляется в список. А по списку можна настроить и фаервол. Link to post Share on other sites
Ромка 567 Posted 2011-09-07 06:00:23 Author Share Posted 2011-09-07 06:00:23 (edited) Есть такаш штука как адрес-лист поле. Когда адрес выдался дхсп серваком, этот адрес добавляется в список. А по списку можна настроить и фаервол. Подскажите где? upd Спасибо за подсказку, куда рыть... Уже кажется разобрался. Edited 2011-09-07 06:30:01 by Ромка Link to post Share on other sites
DD-WRT 15 Posted 2011-09-07 06:41:32 Share Posted 2011-09-07 06:41:32 Тебе нужен свитч перед микротиком который умеет DHCP Snooping. То есть пока свитч на порту не увидит паката DHCP он его не пустит дальше на NAS Link to post Share on other sites
Ромка 567 Posted 2011-09-07 07:01:04 Author Share Posted 2011-09-07 07:01:04 сделал без свича. нужно добавить в микротик скрипт, который импортирует адреса из leases dhcp сервера в адресслист скрипт : /ip firewall address-list remove [/ip firewall address-list find list=foo];:local a;:set a [/ip dhcp-server lease find status=bound];:local b;:for b from=0 to=([:len $a]-1) step=1 do={/ip firewall address-list add list=foo address=[/ip dhcp-server lease get [:pick $a $b] address]} адресслист "foo" запускать скрипт по шедулеру, например раз в 15 секунд. Если нужно авторизовывать пользователей без тоннелей, то в файерволе настраиваем нат где вместо src. adress указываем src. adresslist. Если авторизовываем по pptp, то запещаем в файерволе тоннели от адресов не находящихся в adresslist В настройках DHCP server ставим время аренды адреса 1 минута Link to post Share on other sites
Magus 22 Posted 2011-09-07 16:52:29 Share Posted 2011-09-07 16:52:29 Можна проще если все лизи статические, то в настройках самого лиза есть аддресс-лист. Может, правда, не на всех версиях. На 5.х, точно есть /ip dhcp-server lease edit 1 address-list=clients Link to post Share on other sites
Angel_ua 3 Posted 2011-09-08 17:43:16 Share Posted 2011-09-08 17:43:16 если я понял тему то все намного проще WinBox в DHCP ставим галочку add arp for leases на интерфейсе ARP: выбираем reply-only со статикой сосут лапу и помоему это единственый способ с PPoE Link to post Share on other sites
oleksandrzt 9 Posted 2011-09-08 19:45:42 Share Posted 2011-09-08 19:45:42 если я понял тему то все намного проще WinBox в DHCP ставим галочку add arp for leases на интерфейсе ARP: выбираем reply-only со статикой сосут лапу и помоему это единственый способ с PPoE это если на интерфейсе arp-only ? а для ppoe нужен ip адресс ? Link to post Share on other sites
Ромка 567 Posted 2011-09-08 20:48:39 Author Share Posted 2011-09-08 20:48:39 а для ppoe нужен ip адресс ? не нужен, просто пппое тоннель не поднимешь если в арп таблице мак клиента не будет Link to post Share on other sites
Prime 51 Posted 2011-09-09 04:57:10 Share Posted 2011-09-09 04:57:10 а для ppoe нужен ip адресс ? не нужен, просто пппое тоннель не поднимешь если в арп таблице мак клиента не будет для установки pppoe туннеля, ARP протокол - не используется! Link to post Share on other sites
Ромка 567 Posted 2011-09-09 13:58:15 Author Share Posted 2011-09-09 13:58:15 если я понял тему то все намного проще WinBox в DHCP ставим галочку add arp for leases на интерфейсе ARP: выбираем reply-only со статикой сосут лапу и помоему это единственый способ с PPoE Да, действительно,предложенный Вами способ проще и лучше, хотя с PPPOE не срабатывает, впрочем как и мой. а для ppoe нужен ip адресс ? не нужен, просто пппое тоннель не поднимешь если в арп таблице мак клиента не будет для установки pppoe туннеля, ARP протокол - не используется! Да Вы правы, см выше. Так каким всётаки способом можно зарубить PPPOE? Link to post Share on other sites
Prime 51 Posted 2011-09-09 14:19:03 Share Posted 2011-09-09 14:19:03 правильно фильтровать было бы по полю mac-type но в файрволе микротика такого нет потому radius + db вам в помощь Link to post Share on other sites
Magus 22 Posted 2011-09-09 15:09:20 Share Posted 2011-09-09 15:09:20 Ограничить можно по полю Caller-id(настройки пользователя в секретах ППП), в случае пппое оно будет равно маку "звонящено". Link to post Share on other sites
Ромка 567 Posted 2011-09-09 16:12:26 Author Share Posted 2011-09-09 16:12:26 Ограничить можно по полю Caller-id(настройки пользователя в секретах ППП), в случае пппое оно будет равно маку "звонящено". это я вкурсе, нужно запретить пппое подключение, если у пользователя вписаны настройки тцп-ип вручную, даже если они (настройки) верные. Link to post Share on other sites
Magus 22 Posted 2011-09-09 19:57:55 Share Posted 2011-09-09 19:57:55 гм...как вариант, можна редиректить такого пользователя на страницу запрета уже после установления соединения. Link to post Share on other sites
Prime 51 Posted 2011-09-09 21:15:05 Share Posted 2011-09-09 21:15:05 Ограничить можно по полю Caller-id(настройки пользователя в секретах ППП), в случае пппое оно будет равно маку "звонящено". это я вкурсе, нужно запретить пппое подключение, если у пользователя вписаны настройки тцп-ип вручную, даже если они (настройки) верные. скрипт должен смотреть на выданную лизу если лизы нет, то может не давать терминировать сессию. но чтобы дропать - то тут на микротике не получится. на freebsd или свичах - без проблем Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now