Page 1 of 1

IPoE static IP

Posted: 21 Oct 2018, 08:01
by justice
Добрый день господа.
Собственно вопрос назрел, а как вы боритесь с умными абонентами?
В нашей схеме имеем nas на accel, авторизация по маку(опц.82).
Настройки производились по мануалу https://wiki.mikbill.ru/billing/howto/a ... ll_debian8
В данной инструкции клиентам выдается IP из диапазона, и данный диапазон натится на этом же nas.
Собственно при прописывании руками абонентом данных(ip, mask, gw) инет у клиента работает мимо авторизации, весь L2 ходит прозрачно, а на nas он еще и натится.
Вижу варианты решения: qnq(vlan на пользователя), либо вынос нат отдельно+динамическая маршрутизация между nat и nas.
Может еще есть варианты?

Re: IPoE static IP

Posted: 22 Oct 2018, 07:26
by dimka88
На коммутаторах агрегации включите ip dhcp snooping и ip arp inspection, это позволить запретить хождения трафика от ip назначенных пользователями статически.
Ну еще есть мысли, но они более костыльные.
Например через ip-up, ip-down модуля pppd_compat управлять ipset списками для NAT, т.е. натить не всех, а тех кто в списке.

Re: IPoE static IP

Posted: 31 Oct 2018, 09:34
by Excalibur
У себя мы сделали через ip-up скрипты, по умолчанию для всех инет заблокирован, после авторизации выполняется скрипт, и добавляется правило для пользователя на разрешение доступа, даже если он и ручками подставит адрес через 5минут ему все отключает.

Re: IPoE static IP

Posted: 01 Nov 2018, 06:00
by Axiator
Это не абоненты слишком умные, это просто сеть неуправляемая.