The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Авторизация пользователей в сети, !*! myp3ujlka, 26-Мрт-08, 23:01  [смотреть все]
Здравствуйте!
Следующая ситуация:
имеется около 100-200 компьютеров, маршрутизатор cisco 37xx catalyst 1 штука и неуправляемые обычные свичи dlink 15 штук.
Пользователи подключены в неуправляемые свичи.
Неуправляемые свичи подлючены к циске по 1 штуке в порт.
В пользовательской сети статическая адресация. Отсутствует dhcp сервер как таковой.
Взаимо-однозначное соответствие человек-ip.
Последнее время участились такие вот случаи:
1 пользователь берет и прописывает у себя чужой ip с понятной целью получения халявного интернета, далее по стандартной схеме пользуется халявой, в это время легальный пользователь включает свой комп вылезает конфликт и дальше продолжать не буду.
Также как вариант есть dlink 3828  (его можно поставить вместо циски) с его фичами port-security и Guest VLAN (сейчас изучаю последнюю фичу как вариант авторизации).
Задествовать port-security или IP-port-mac-binding не представляется возможным т.к. в один порт приходит трафик 10-16 пользователей(которые поключены в неуправляемый свич который подлючен к циске). Т.е. как я понимаю привязывать порт-мак-айпи тут нельзя. Или если привязывать то на 1 порт много МАКов если такое возможно.
Далее привязка айпи-мак одобрена также не была, по понятным причинам. Не хочется чтобы пользователи, постоянно что-то меняющие, тревожили.
Как вариант авторизации был предложен vpn. Чем он привлек?
Пользователю дается имя и пароль. Знаешь их - сидишь в интернете, не знаешь соответсвенно не сидишь.
Чем не привлекает ?
Должна быть опорная сеть по которой пойдет vpn трафик. Нужно настраивать dhcp сервер для этой опорной сети, т.к. большинство не в состоянии вписать айпи, что тут говорить про создать впн соединение.
Далее было изучено куча ссылок по dhcp relay и 82-й опции, по встроенному в циско IOS dhcp серверу.
По встроенному в циско IOS Easy VPN Server. По настройке VPN сервера на Windows Server 2003, linux, bsd.
И в итоге было принято решение спросить у более опытных людей на форуме.
Итак основные задачи:
1. Исключить конфликты IP и халявный интернет, не столько его, сколько сами конфликты и невозможность работы легального пользователя.
2. Система авторизации пользователей.

Вопросы:
1. Ваши мнения по этому вопросу ?
2. Ваши мнения по поводу правильности такого решения ?
3. Какая ОС предпочтительнее для VPN сервера вин, лин или бсд ? Начитался про низкую скорость и несовместимость. VPN клиент стандартный встроенный в Windows XP / Vista.
4. (Только что прочитал, достаточно привлекательная вещь как мне показалось)Технология GuestVLan может кто настраивал ? Необходим радиус сервер ?
5. Какой выбрать радиус сервер ?
6. Какой выбрать VPN сервер ?
7. Easy VPN Server встроенный в IOS cisco, так понимаю необходима и обязательна программа на клиентском компьютере Cisco Easy VPN Client ?

Заранее извиняюсь за возможную некоректность терминов/заданности вопроса - поправьте пожалуйста если что!
Заранее благодарю за ответы!

Ответить | Сообщить модератору
  • Авторизация пользователей в сети, !*! KiM, 23:16 , 26-Мрт-08 (1)
    >[оверквотинг удален]
    >4. (Только что прочитал, достаточно привлекательная вещь как мне показалось)Технология GuestVLan может
    >кто настраивал ? Необходим радиус сервер ?
    >5. Какой выбрать радиус сервер ?
    >6. Какой выбрать VPN сервер ?
    >7. Easy VPN Server встроенный в IOS cisco, так понимаю необходима и
    >обязательна программа на клиентском компьютере Cisco Easy VPN Client ?
    >
    >Заранее извиняюсь за возможную некоректность терминов/заданности вопроса - поправьте пожалуйста если что!
    >
    >Заранее благодарю за ответы!

    pppoe+Radius и будет вам счастье
    если необходимо можно pptp+Radius

    cisco всё енто умеет(37хх хз не смотрел пока)

    Ответить | Сообщить модератору
    • Авторизация пользователей в сети, !*! myp3ujlka, 01:56 , 27-Мрт-08 (2)
      от нашел несколько ссылок про NeTAMS заинтересовали data collection technique Libpcap
      ipfw divert or iptables/ipq
      netflow from Cisco
      netgraph (FreeBSD only)
      ulog (Linux only)
      netflow from flowprobe
      netflow from ascii2netflow
      radius /rlm_netams
      далее прочитал:
      Очень рекомендуем почитать теорию и примеры и настроить доступ безо всякого netams+radius, для начала из гугл кэша http://64.233.183.104/search?q=cache:wqouRiSmEfEJ:www.unixfa...
      после этого прочитал про netup, там были примеры настройки команды похожие на gentoo.

      >
      >pppoe+Radius и будет вам счастье
      >если необходимо можно pptp+Radius
      >

      А в чем отличие ? В каком случае необходимо pptp+Radius ?
      А какую лучше выбрать ОС ? Есть ли примеры настройки gentoo-linux, в ссылках выше уже ознакомился с настройкой FreeBsd. Или это настраиваится только во freebsd ?
      Еще же необходим NAT, очень хотелось бы настраивать его в IPTABLES и ОС gentoo и это все вместе с радиусом.
      Вот уже что-то нашел https://www.opennet.ru/base/modem/pppoe_server_setup.txt.html хороший сайт спасибо!
      В этом документе вот что смущает: папка RASPPPOE_099. Для установки необходимо зайти в раздел
         Control panel->Network Connections
      нужно что-то доставлять в винде ?
      Вот похоже чтобы не доставлять нужен как раз pptp, а не pppoe, т.к. при создании нового VPN подключения в Windows XP он уже присутствует ?
      Насколько мощный компьютер нужен для 100-200 пользователей ?
      Сколько внутренних IP адресов может транслировать NAT на 1 внешний реальный IP ?
      Дополнительно, чем лучше настроить ограничение скорости на каждому пользователю, есть ли какие средства для этого в самом pptp  ?
      Спасибо что ответили!

      Ответить | Сообщить модератору
      • Авторизация пользователей в сети, !*! ShyLion, 07:07 , 27-Мрт-08 (3)
        >от нашел несколько ссылок про NeTAMS заинтересовали data collection technique Libpcap

        Ну ты насобирал всего, что только можно.
        Минимум, необходимый тебе: циску в качестве PPPoE сервера или PPTP сервера с авторизацией по RADIUS. RADIUS сервер под любой операционкой, где будет авторизация и аккаунтинг. Тут выбор богатый от вольного сочинения на тему FreeBSD + freeradius + mysql, до платного билинга. Есть куча всякого и платного и бесплатного и под никсы и под винду и под черта лысого.
        PPTP подразумевает наличе IP сети локальной, PPPoE пофиг на твою сеть, работает уровнем ниже, лишь бы конфликтов MAC адресов не было.

        Ответить | Сообщить модератору
        • Авторизация пользователей в сети, !*! ShyLion, 07:09 , 27-Мрт-08 (4)
          >[оверквотинг удален]
          >
          >Ну ты насобирал всего, что только можно.
          >Минимум, необходимый тебе: циску в качестве PPPoE сервера или PPTP сервера с
          >авторизацией по RADIUS. RADIUS сервер под любой операционкой, где будет авторизация
          >и аккаунтинг. Тут выбор богатый от вольного сочинения на тему FreeBSD
          >+ freeradius + mysql, до платного билинга. Есть куча всякого и
          >платного и бесплатного и под никсы и под винду и под
          >черта лысого.
          >PPTP подразумевает наличе IP сети локальной, PPPoE пофиг на твою сеть, работает
          >уровнем ниже, лишь бы конфликтов MAC адресов не было.

          ЗЫ: я в свою молодость вообще на шеловских скриптах, прикрученых к радиусу билинг делал, с хранением данных в отдельных файлах :) ни перловки тогда не знал, ни мускуля.

          Ответить | Сообщить модератору
      • Авторизация пользователей в сети, !*! KiM, 08:03 , 27-Мрт-08 (5)
        >[оверквотинг удален]
        >нужно что-то доставлять в винде ?
        >Вот похоже чтобы не доставлять нужен как раз pptp, а не pppoe,
        >т.к. при создании нового VPN подключения в Windows XP он уже
        >присутствует ?
        >Насколько мощный компьютер нужен для 100-200 пользователей ?
        >Сколько внутренних IP адресов может транслировать NAT на 1 внешний реальный IP
        >?
        >Дополнительно, чем лучше настроить ограничение скорости на каждому пользователю, есть ли какие
        >средства для этого в самом pptp  ?
        >Спасибо что ответили!

        а теперь по пунктам:
        1. Сеть существует или только создаётся? если существует насколько можно её переделать и насколько нужно исключить человеческий фактор?
        2. На Генту поднимал как pppoe так и pptp сервер. особых проблем не виже былоб желание.
        3. на 100-200 пользователей? а не проще купить нормальный VPN концентратор или роутер который способен его терминировать? если нет то с шифрованием достаточно мощный.
        4. зарезать скорость? на linux надо читать. на вскидку iproute2

        Ответить | Сообщить модератору
        • Авторизация пользователей в сети, !*! myp3ujlka, 15:11 , 27-Мрт-08 (6)
          >1. Сеть существует или только создаётся? если существует насколько можно её переделать
          >и насколько нужно исключить человеческий фактор?

          Существует, уже все протянуто подключено, циско настроена(могу ее настраивать как захочется). Несколько штук VLAN-подсеть-ip-интерфес(шлюз). Адресация статическая, пользователи сами вбивают себе сетевые настройки, кто может.
          Переделать проблема все провода и неуправляемые свичи спрятаны в щитках и стояках.
          Человеческий фактор исключить желательно вот на сколько: в идеале невозмоность левых подключений халявщиков. Или хотя бы чтобы факт левого подключения не отражался на работе легального пользователя.
          Пока думаю делать так, что скажете: поднять dhcp первым делом. Настроить ACL чтобы любой IP выданный DHCP видел только себя, свой шлюз, и pptp-сервер за шлюзом. Далее пользователь, если может, создает новое VPN соединение, вписывает данные авторизации и сидит в интернете. По крайней мере не будет конфликтов IP если конечно на DHCP не закончатся адреса, а они не закончатся.
          И также будет невозможна схема: мой друг подключил интернет, я поставил у него прокси/сокс и мы вместе с ним сидим в интернете.

          Ответить | Сообщить модератору
          • Авторизация пользователей в сети, !*! KiM, 15:15 , 27-Мрт-08 (7)
            >[оверквотинг удален]
            >халявщиков. Или хотя бы чтобы факт левого подключения не отражался на
            >работе легального пользователя.
            >Пока думаю делать так, что скажете: поднять dhcp первым делом. Настроить ACL
            >чтобы любой IP выданный DHCP видел только себя, свой шлюз, и
            >pptp-сервер за шлюзом. Далее пользователь, если может, создает новое VPN соединение,
            >вписывает данные авторизации и сидит в интернете. По крайней мере не
            >будет конфликтов IP если конечно на DHCP не закончатся адреса, а
            >они не закончатся.
            >И также будет невозможна схема: мой друг подключил интернет, я поставил у
            >него прокси/сокс и мы вместе с ним сидим в интернете.

            отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям адреса. и подумать как уберечся от левого pppoe сервера

            Ответить | Сообщить модератору
            • Авторизация пользователей в сети, !*! myp3ujlka, 15:23 , 27-Мрт-08 (8)
              >отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям
              >адреса. и подумать как уберечся от левого pppoe сервера

              1.Нужно будет доставлять ppoe протокол в WinXP ?
              2.Пожалуйста, подробнее про левый ppoe сервер!

              Ответить | Сообщить модератору
              • Авторизация пользователей в сети, !*! nikl, 15:30 , 27-Мрт-08 (9)
                >>отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям
                >>адреса. и подумать как уберечся от левого pppoe сервера
                >
                >1.Нужно будет доставлять ppoe протокол в WinXP ?

                в виндах выше XP все уже встроено
                >2.Пожалуйста, подробнее про левый ppoe сервер!

                если левый PPPoE-сервер будет обладать еще и базой паролей всех ваших пользователей, тогда неприятно =)

                Ответить | Сообщить модератору
                • Авторизация пользователей в сети, !*! myp3ujlka, 15:45 , 27-Мрт-08 (11)
                  >если левый PPPoE-сервер будет обладать еще и базой паролей всех ваших пользователей,
                  >тогда неприятно =)

                  Т.е. для этого нужно украсть базу и вывести из строя настоящий ppoe или сделать так чтобы он не отвечал на запросы ? Пошел ставить сервер, думаю я здесь еще напишу.

                  Ответить | Сообщить модератору
              • Авторизация пользователей в сети, !*! KiM, 15:39 , 27-Мрт-08 (10)
                >>отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям
                >>адреса. и подумать как уберечся от левого pppoe сервера
                >
                >1.Нужно будет доставлять ppoe протокол в WinXP ?
                >2.Пожалуйста, подробнее про левый ppoe сервер!

                1. как сказал преведущий оратор в xp всё встроено
                2. типа кул-хацкеры поднимают у ся pppoe сервер и те кто к ним ближе ловят его. вот тут надо их както искать. если авторизация стойкая то всё в ажуре но иначе просто аут

                Ответить | Сообщить модератору
                • Авторизация пользователей в сети, !*! myp3ujlka, 15:49 , 27-Мрт-08 (12)
                  >2. типа кул-хацкеры поднимают у ся pppoe сервер и те кто к
                  >ним ближе ловят его. вот тут надо их както искать. если
                  >авторизация стойкая то всё в ажуре но иначе просто аут

                  Т.е. все еще проще не нужно выводить из строя настоящий ppoe сервер ? И красть базу ?
                  Достаточно поднять левый сервер к нему подключатся пользователи котрорые ближе к нему и вот уже несколько аккаунтов в чужих руках ?

                  Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру