+5
Отвечен

Проблема безопасности IPoE mikrotik

Pavel Makhanko 2 года назад обновлен Николай 2 года назад 13

Добрый день!


Заметил такую проблему

+1

Клиент авторизуется по mac-onu на hotspot mikrotik, IP выдает микбилл.

Проблема, если абонент введет IP адрес соседа и при этом сосед будет оффлайн, то биллинг его авторизирует даже без мак адреса или с неправильным маком. 


Настраивал все по инструкции из wiki. 


С этим можно как то бороться? 

+2

Тоже интересует данный вопрос

+1

Попробовал воспользоваться из wiki: 

1. Привязка IP+MAC - авторизует только если внести мак адрес роутера, который видит хотпот микротика. 

2. LanGuard - аналагично первому пункту. 


Что делать в случае авторизации по MAC ONU ? Как защитить от подмены IP ? 

Настроить на свитчах DHCP snooping, чтобы подключался только с выданным IP сервером mikbill

Олег 

Вы платно сможете мне это настроить на PON оборудовании, как я Выше писал? 

Используем OLT от BDCOM P3310C с последней прошивкой.


Я на всякий случай уточнил в саппорте BDCOM этот момент:


----

Если включить на OLT DHCP Snooping и Ip Verify Source, то OLT будет формировать таблицу соотвествия IP-MAC-VLAN-Номер порта.

Если приглядеться, в этом механизме у ПОНа есть изъян, т.к. все 64 ОНУ с одного порта имеют одинаковый номер порта (OLT не отличает их по LLID).

Т.е. если абонента скопирует данные соседа в рамках одного дерева, то это прокатит.

Т.е. по факту бесполезная функция, т.к. копируют как раз соседа, который в один сплиттер воткнут.


Для Ethernet свитчей с физическими портами DHCP Snooping и ISG работают идеально, но для PON-а, где физических портов мало, а все ОНУ - логические порты, этот механизм даёт сбой. Я ещё 3-4 года назад писал об этом BDCOM-у, но воз и ныне там.


единственный вариант полной защиты - vlan pur user.

+1

мне кажется этого будет достаточно



ВИЗИТ ЧТРК

В твоем ответе используется DHCP сервер микротика, у нас же микбилл выдает IP, а микротик relay. 

В настройках relay нет такой опции (Add ARP For Leases)

dhcp сервером микротика управляет микбил по радиусу. так первоначально настроили разработчики. reply-only включал сам.

Оно то так, пробовал, нормально. Но если перезагрузить боевой микротик настроенный таким образом(подвисло что то, сбой питания и т.д),  - у всех абонентов, кому выдан ip по dhcp - пропадет интернет, т.к в ARP таблице будет пусто (записи добавятся только в момент выдачи/обновления по истечению срока аренды ip адреса у абонентов). Будут все рвать техподдержку, а техподдержка будет всех просить перезарузить роутер/передернуть кабель и т.д.

А как у Вас реализовано?

У меня DHCP микротика в работе. Авторизация по маку ону. А насчет "прописать статику соседа" - да, головная боль. Смотрел в сторонуvlan per user, но в такой связке теряется автоматизация, много ручной работы. В данный момент перестроили все ону на чипе zte в "роутер", остальные ону, которые не умеют быть роутером -по прежнему дыра.

В моему случае разработчики настраивали DHCP на микбилле. 

Но за совет спасибо, можно подумать переделать схему. 

Сервис поддержки клиентов работает на платформе UserEcho