форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Авторизация пользователей в сети"

Сообщение от myp3ujlka (ok) on 26-Мрт-08, 23:01

Здравствуйте! Следующая ситуация: имеется около 100-200 компьютеров, маршрутизатор cisco 37xx catalyst 1 штука и неуправляемые обычные свичи dlink 15 штук. Пользователи подключены в неуправляемые свичи. Неуправляемые свичи подлючены к циске по 1 штуке в порт. В пользовательской сети статическая адресация. Отсутствует dhcp сервер как таковой. Взаимо-однозначное соответствие человек-ip. Последнее время участились такие вот случаи: 1 пользователь берет и прописывает у себя чужой ip с понятной целью получения халявного интернета, далее по стандартной схеме пользуется халявой, в это время легальный пользователь включает свой комп вылезает конфликт и дальше продолжать не буду. Также как вариант есть dlink 3828  (его можно поставить вместо циски) с его фичами port-security и Guest VLAN (сейчас изучаю последнюю фичу как вариант авторизации). Задествовать port-security или IP-port-mac-binding не представляется возможным т.к. в один порт приходит трафик 10-16 пользователей(которые поключены в неуправляемый свич который подлючен к циске). Т.е. как я понимаю привязывать порт-мак-айпи тут нельзя. Или если привязывать то на 1 порт много МАКов если такое возможно. Далее привязка айпи-мак одобрена также не была, по понятным причинам. Не хочется чтобы пользователи, постоянно что-то меняющие, тревожили. Как вариант авторизации был предложен vpn. Чем он привлек? Пользователю дается имя и пароль. Знаешь их - сидишь в интернете, не знаешь соответсвенно не сидишь. Чем не привлекает ? Должна быть опорная сеть по которой пойдет vpn трафик. Нужно настраивать dhcp сервер для этой опорной сети, т.к. большинство не в состоянии вписать айпи, что тут говорить про создать впн соединение. Далее было изучено куча ссылок по dhcp relay и 82-й опции, по встроенному в циско IOS dhcp серверу. По встроенному в циско IOS Easy VPN Server. По настройке VPN сервера на Windows Server 2003, linux, bsd. И в итоге было принято решение спросить у более опытных людей на форуме. Итак основные задачи: 1. Исключить конфликты IP и халявный интернет, не столько его, сколько сами конфликты и невозможность работы легального пользователя. 2. Система авторизации пользователей. Вопросы: 1. Ваши мнения по этому вопросу ? 2. Ваши мнения по поводу правильности такого решения ? 3. Какая ОС предпочтительнее для VPN сервера вин, лин или бсд ? Начитался про низкую скорость и несовместимость. VPN клиент стандартный встроенный в Windows XP / Vista. 4. (Только что прочитал, достаточно привлекательная вещь как мне показалось)Технология GuestVLan может кто настраивал ? Необходим радиус сервер ? 5. Какой выбрать радиус сервер ? 6. Какой выбрать VPN сервер ? 7. Easy VPN Server встроенный в IOS cisco, так понимаю необходима и обязательна программа на клиентском компьютере Cisco Easy VPN Client ? Заранее извиняюсь за возможную некоректность терминов/заданности вопроса - поправьте пожалуйста если что! Заранее благодарю за ответы!

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Авторизация пользователей в сети"

Сообщение от KiM on 26-Мрт-08, 23:16

>[оверквотинг удален] >4. (Только что прочитал, достаточно привлекательная вещь как мне показалось)Технология GuestVLan может >кто настраивал ? Необходим радиус сервер ? >5. Какой выбрать радиус сервер ? >6. Какой выбрать VPN сервер ? >7. Easy VPN Server встроенный в IOS cisco, так понимаю необходима и >обязательна программа на клиентском компьютере Cisco Easy VPN Client ? > >Заранее извиняюсь за возможную некоректность терминов/заданности вопроса - поправьте пожалуйста если что! > >Заранее благодарю за ответы! pppoe+Radius и будет вам счастье если необходимо можно pptp+Radius cisco всё енто умеет(37хх хз не смотрел пока)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Авторизация пользователей в сети"
	Сообщение от myp3ujlka (ok) on 27-Мрт-08, 01:56
	от нашел несколько ссылок про NeTAMS заинтересовали data collection technique Libpcap ipfw divert or iptables/ipq netflow from Cisco netgraph (FreeBSD only) ulog (Linux only) netflow from flowprobe netflow from ascii2netflow radius /rlm_netams далее прочитал: Очень рекомендуем почитать теорию и примеры и настроить доступ безо всякого netams+radius, для начала из гугл кэша http://64.233.183.104/search?q=cache:wqouRiSmEfEJ:www.unixfa... после этого прочитал про netup, там были примеры настройки команды похожие на gentoo. > >pppoe+Radius и будет вам счастье >если необходимо можно pptp+Radius > А в чем отличие ? В каком случае необходимо pptp+Radius ? А какую лучше выбрать ОС ? Есть ли примеры настройки gentoo-linux, в ссылках выше уже ознакомился с настройкой FreeBsd. Или это настраиваится только во freebsd ? Еще же необходим NAT, очень хотелось бы настраивать его в IPTABLES и ОС gentoo и это все вместе с радиусом. Вот уже что-то нашел http://www.opennet.ru/base/modem/pppoe_server_setup.txt.html хороший сайт спасибо! В этом документе вот что смущает: папка RASPPPOE_099. Для установки необходимо зайти в раздел    Control panel->Network Connections нужно что-то доставлять в винде ? Вот похоже чтобы не доставлять нужен как раз pptp, а не pppoe, т.к. при создании нового VPN подключения в Windows XP он уже присутствует ? Насколько мощный компьютер нужен для 100-200 пользователей ? Сколько внутренних IP адресов может транслировать NAT на 1 внешний реальный IP ? Дополнительно, чем лучше настроить ограничение скорости на каждому пользователю, есть ли какие средства для этого в самом pptp  ? Спасибо что ответили!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Авторизация пользователей в сети"
	Сообщение от ShyLion (ok) on 27-Мрт-08, 07:07
	>от нашел несколько ссылок про NeTAMS заинтересовали data collection technique Libpcap Ну ты насобирал всего, что только можно. Минимум, необходимый тебе: циску в качестве PPPoE сервера или PPTP сервера с авторизацией по RADIUS. RADIUS сервер под любой операционкой, где будет авторизация и аккаунтинг. Тут выбор богатый от вольного сочинения на тему FreeBSD + freeradius + mysql, до платного билинга. Есть куча всякого и платного и бесплатного и под никсы и под винду и под черта лысого. PPTP подразумевает наличе IP сети локальной, PPPoE пофиг на твою сеть, работает уровнем ниже, лишь бы конфликтов MAC адресов не было.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Авторизация пользователей в сети"
	Сообщение от ShyLion (ok) on 27-Мрт-08, 07:09
	>[оверквотинг удален] > >Ну ты насобирал всего, что только можно. >Минимум, необходимый тебе: циску в качестве PPPoE сервера или PPTP сервера с >авторизацией по RADIUS. RADIUS сервер под любой операционкой, где будет авторизация >и аккаунтинг. Тут выбор богатый от вольного сочинения на тему FreeBSD >+ freeradius + mysql, до платного билинга. Есть куча всякого и >платного и бесплатного и под никсы и под винду и под >черта лысого. >PPTP подразумевает наличе IP сети локальной, PPPoE пофиг на твою сеть, работает >уровнем ниже, лишь бы конфликтов MAC адресов не было. ЗЫ: я в свою молодость вообще на шеловских скриптах, прикрученых к радиусу билинг делал, с хранением данных в отдельных файлах :) ни перловки тогда не знал, ни мускуля.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Авторизация пользователей в сети"
	Сообщение от KiM on 27-Мрт-08, 08:03
	>[оверквотинг удален] >нужно что-то доставлять в винде ? >Вот похоже чтобы не доставлять нужен как раз pptp, а не pppoe, >т.к. при создании нового VPN подключения в Windows XP он уже >присутствует ? >Насколько мощный компьютер нужен для 100-200 пользователей ? >Сколько внутренних IP адресов может транслировать NAT на 1 внешний реальный IP >? >Дополнительно, чем лучше настроить ограничение скорости на каждому пользователю, есть ли какие >средства для этого в самом pptp  ? >Спасибо что ответили! а теперь по пунктам: 1. Сеть существует или только создаётся? если существует насколько можно её переделать и насколько нужно исключить человеческий фактор? 2. На Генту поднимал как pppoe так и pptp сервер. особых проблем не виже былоб желание. 3. на 100-200 пользователей? а не проще купить нормальный VPN концентратор или роутер который способен его терминировать? если нет то с шифрованием достаточно мощный. 4. зарезать скорость? на linux надо читать. на вскидку iproute2
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Авторизация пользователей в сети"
	Сообщение от myp3ujlka (ok) on 27-Мрт-08, 15:11
	>1. Сеть существует или только создаётся? если существует насколько можно её переделать >и насколько нужно исключить человеческий фактор? Существует, уже все протянуто подключено, циско настроена(могу ее настраивать как захочется). Несколько штук VLAN-подсеть-ip-интерфес(шлюз). Адресация статическая, пользователи сами вбивают себе сетевые настройки, кто может. Переделать проблема все провода и неуправляемые свичи спрятаны в щитках и стояках. Человеческий фактор исключить желательно вот на сколько: в идеале невозмоность левых подключений халявщиков. Или хотя бы чтобы факт левого подключения не отражался на работе легального пользователя. Пока думаю делать так, что скажете: поднять dhcp первым делом. Настроить ACL чтобы любой IP выданный DHCP видел только себя, свой шлюз, и pptp-сервер за шлюзом. Далее пользователь, если может, создает новое VPN соединение, вписывает данные авторизации и сидит в интернете. По крайней мере не будет конфликтов IP если конечно на DHCP не закончатся адреса, а они не закончатся. И также будет невозможна схема: мой друг подключил интернет, я поставил у него прокси/сокс и мы вместе с ним сидим в интернете.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Авторизация пользователей в сети"
	Сообщение от KiM on 27-Мрт-08, 15:15
	>[оверквотинг удален] >халявщиков. Или хотя бы чтобы факт левого подключения не отражался на >работе легального пользователя. >Пока думаю делать так, что скажете: поднять dhcp первым делом. Настроить ACL >чтобы любой IP выданный DHCP видел только себя, свой шлюз, и >pptp-сервер за шлюзом. Далее пользователь, если может, создает новое VPN соединение, >вписывает данные авторизации и сидит в интернете. По крайней мере не >будет конфликтов IP если конечно на DHCP не закончатся адреса, а >они не закончатся. >И также будет невозможна схема: мой друг подключил интернет, я поставил у >него прокси/сокс и мы вместе с ним сидим в интернете. отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям адреса. и подумать как уберечся от левого pppoe сервера
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Авторизация пользователей в сети"
	Сообщение от myp3ujlka (ok) on 27-Мрт-08, 15:23
	>отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям >адреса. и подумать как уберечся от левого pppoe сервера 1.Нужно будет доставлять ppoe протокол в WinXP ? 2.Пожалуйста, подробнее про левый ppoe сервер!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Авторизация пользователей в сети"
	Сообщение от nikl (ok) on 27-Мрт-08, 15:30
	>>отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям >>адреса. и подумать как уберечся от левого pppoe сервера > >1.Нужно будет доставлять ppoe протокол в WinXP ? в виндах выше XP все уже встроено >2.Пожалуйста, подробнее про левый ppoe сервер! если левый PPPoE-сервер будет обладать еще и базой паролей всех ваших пользователей, тогда неприятно =)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Авторизация пользователей в сети"
	Сообщение от myp3ujlka (ok) on 27-Мрт-08, 15:45
	>если левый PPPoE-сервер будет обладать еще и базой паролей всех ваших пользователей, >тогда неприятно =) Т.е. для этого нужно украсть базу и вывести из строя настоящий ppoe или сделать так чтобы он не отвечал на запросы ? Пошел ставить сервер, думаю я здесь еще напишу.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Авторизация пользователей в сети"
	Сообщение от KiM on 27-Мрт-08, 15:39
	>>отобрать у пользователей адреса и пусть подключаются через pppoe. Radius`ом давать пользователям >>адреса. и подумать как уберечся от левого pppoe сервера > >1.Нужно будет доставлять ppoe протокол в WinXP ? >2.Пожалуйста, подробнее про левый ppoe сервер! 1. как сказал преведущий оратор в xp всё встроено 2. типа кул-хацкеры поднимают у ся pppoe сервер и те кто к ним ближе ловят его. вот тут надо их както искать. если авторизация стойкая то всё в ажуре но иначе просто аут
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Авторизация пользователей в сети"
	Сообщение от myp3ujlka (ok) on 27-Мрт-08, 15:49
	>2. типа кул-хацкеры поднимают у ся pppoe сервер и те кто к >ним ближе ловят его. вот тут надо их както искать. если >авторизация стойкая то всё в ажуре но иначе просто аут Т.е. все еще проще не нужно выводить из строя настоящий ppoe сервер ? И красть базу ? Достаточно поднять левый сервер к нему подключатся пользователи котрорые ближе к нему и вот уже несколько аккаунтов в чужих руках ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Авторизация пользователей в сети"
	Сообщение от KiM on 27-Мрт-08, 16:12
	>>2. типа кул-хацкеры поднимают у ся pppoe сервер и те кто к >>ним ближе ловят его. вот тут надо их както искать. если >>авторизация стойкая то всё в ажуре но иначе просто аут > >Т.е. все еще проще не нужно выводить из строя настоящий ppoe сервер >? И красть базу ? >Достаточно поднять левый сервер к нему подключатся пользователи котрорые ближе к нему >и вот уже несколько аккаунтов в чужих руках ? если тип авторизации plain-text то да если нет и чтото типа ms-chap v2 то нет
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Авторизация пользователей в сети"
	Сообщение от myp3ujlka (ok) on 27-Мрт-08, 19:00
	>если тип авторизации plain-text то да если нет и чтото типа ms-chap >v2 то нет Все таки склоняюсь к установке не ppoe, а pptp c выдачей IP в опорной сети по DHCP. При этом каждый выданный IP будет видеть только свой шлюз и pptp-сервер за своим шлюзом. Сейчас пробую установить и настроить именно pptp как тут http://gentoo-wiki.com/HOWTO_PPTP_VPN_client_(Microsoft-compatible_with_mppe). Какие тут возможны атаки ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Авторизация пользователей в сети"
	Сообщение от myp3ujlka (ok) on 27-Мрт-08, 21:34
	Вот возник ступор. Как и какие пачти откатить/наложить на ядро 2.6.24-gentoo-r3 для поддержки mppe+mppc ? mppe уже есть в ядре, но вроде пишут нужно откатить его, а потом наложить некий mppe+mppc. Вот уже что-то опять нашел http://forums.gentoo.org/viewtopic-p-4385954.html?sid=4c9a90... Спасибо всем отвечавшим! Здорово помогли!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Авторизация пользователей в сети"
	Сообщение от KiM on 28-Мрт-08, 08:06
	>Вот возник ступор. >Как и какие пачти откатить/наложить на ядро 2.6.24-gentoo-r3 для поддержки mppe+mppc ? > >mppe уже есть в ядре, но вроде пишут нужно откатить его, а >потом наложить некий mppe+mppc. >Вот уже что-то опять нашел http://forums.gentoo.org/viewtopic-p-4385954.html?sid=4c9a90... >Спасибо всем отвечавшим! Здорово помогли! а собрать gentoo-sources никак? там уже в ядре модуль mmpe-mppc есть. я так именно и делал
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Авторизация пользователей в сети"
	Сообщение от myp3ujlka (ok) on 31-Мрт-08, 19:10
	Да с ядром все ок. А вот какой выбрать сервер poptop или mpd ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Авторизация пользователей в сети"
	Сообщение от myp3ujlka (ok) on 31-Мрт-08, 22:06
	Наверное вопрос решен. Poptop заработал правда без компрессии пока, но работает, винда соединяется с ним и ходит в интернет через NAT. Компрессия так понимаю нужна на модеме, а в локальной сети только лишняя нагрузка на процессор. Еще раз спасибо всем кто отвечал в этой теме, очень помогли, т.к. этот вопрос я изучаю впервые.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]