Рекомендованные сообщения

Влан на пользователя и Опция 82-исключающие технологии. То есть применить их вместе можно, но глупо и никто так не делает. При влан на пользователя, он прибит к порту. При опции 82, прибит к порту и МАС. Так как привязка к МАС это нынче очень глупо, то Опция 82 не нужна вообще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Disclaimer. Дальше я не говорю, что привязка к MAC - это самое лучшее или вообще хотя бы хорошее решение. У меня просто есть видение, как её реализовать, чтобы и овцы были целы (обычные пользователи) и волки сыты (всякие ITшники), и я не очень понимаю, где здесь изъян. Не могли бы вы помочь мне разобраться?

 

На стороне провайдера поднимается https (это важно) сервер, который умеет авторизовывать MAC на определенном порту определенного коммутатора и привязывать его к определенному логину по логину/паролю пользователя. Пока MAC не авторизован на порту, через который идёт запрос, DHCP трафик разрешен, весь http трафик редиректится, а https трафик заворачивается на этот сервер, остальной траффик дропается*. Важное требование - страничка авторизации https сервера должна быть максимально простой (чтобы авторизоваться можно было curl'ом в один вызов).

MAC может быть привязан только к одному порту и одному логину - самому последнему авторизованному.

Авторизация возможна и не из сети провайдера - в личном кабинете просто вводишь MAC.

За определенный период возможно не более X раз авторизовать новый MAC на порту через страничку авторизации или личный кабинет - дальше надо звонить или писать письмо.

К каждому порту может быть привязано не более Y MACов, самый старый забывается по мере авторизации нового, для увеличения данного лимита - надо звонить или писать письмо.

Навскидку X ~= 100, Y ~= 20.

 

Что в итоге получается?

 

Обычный пользователь вставляет кабель провайдера в роутер или компьютер, сразу получает DHCP адрес, при первом заходе на какой-нибудь сайт видит страницу авторизации - вводит логин-пароль и несколько лет ещё об этом не вспоминает. Когда он меняет роутер или компьютер раз в несколько лет, ему опять же единожды надо ввести логин-пароль.

Если вдруг обычный пользователь несколько странный, и вместо использования роутера перевтыкает кабель из одного компьютера в другой или, например, использует свитч, то на каждом устройстве ему придется единожды авторизоваться таким образом. При этом даже если устройство тупое и у него нет HTTP браузера, пользователь может сделать это в Личном кабинете (в отличии от L2TP или всяких DHCP опций, которые тупое устройство точно посылать не умеет). Смысл тут в том, что схема авторизации всё ещё одна единственная - провайдеру не надо распыляться на поддержку нескольких схем, нужны только разные фронтэнды к этой схеме, а пользователю помимо непосредственно интересующих его конечных устройств даже роутер как бы и не обязателен (даже свитч подойдет, впрочем, это небезопасно; я не к тому, что не надо роутер, я к тому, что система авторизации не накладывает вообще никаких требований на покупаемые сетевые устройства).

Маловероятно, что у обычного пользователя дома более Y устройств, поэтому в лимит он скорее всего не упрется. Маловероятно, что пользователь более X раз подключит новое устройство. Если что-то из этого случилось, то, скорее всего, это либо разовое происшествие, либо обычный пользователь делает что-то не так. В этом случае будут редкие звонки в службу поддержки, где пользователю будет дана консультация, что он делает не так. При этом по мере сбора статистики по пользователям компания может менять X и Y тем самым регулируя поток данных звонков. При этом возможно даже то, что было разрешено при L2TP - прийти к другу с Билайном со своим устройством и авторизоваться под собой; только по возвращении домой придется авторизоваться у себя.

 

ITшнику вообще раздолье. Худшее, что может случиться - это система авторизации будет сбоить и терять часть авторизованных MACов, что, мы надеемся, происходить не будет. Но даже в этом случае, если он видит, например, извне, что коннективити пропало - идёт в ЛК, авторизует MAC и коннективити восстанавливается.

 

Теперь самый животрепещущий вопрос - "врезки". Поскольку логин-пароль передается по https, злоумышленник не сможет авторизовать себя. Он может только взять MAC клиента, а перед клиентом поставить роутер. Если поставить роутер перед клиентом, то у клиента качество интернета может даже не ухудшиться и он долгое время не будет знать о врезке. Злоумышленник сможет слушать нешифрованный трафик клиента - как защититься от этого я пока не знаю (впрочем, этому и нешифрованный L2TP был подвержен). Волнует ли это обычного клиента? Думаю, что нет. Но рано или поздно клиент заметит ухудшение, позвонит в поддержку и там будет произведена элементарная удаленная проверка на врезку: спросить клиента, в какое устройство вставлен провод от провайдера, в зависимости от типа устройства рассказать ему, как посмотреть MAC этого устройства (для компьютеров - не отходя от компьютера; для роутеров - посмотреть на нижнюю стенку роутера - даже не надо объяснять, как входить в GUI роутера и какой у него пароль), если подозрения подтвердились - вызывать монтера и сказать клиенту. ITшники же опять же могут элементарно отследить врезку самостоятельно и автоматически.

 

Это не говоря уже о том, что проблема врезок крайне преувеличена. Злоумышленникам это делать практически не надо - во-первых, атака не массовая, а направленная; во-вторых, проще Wi-Fi сломать. От личного ненавистника, нацеленного на вас, не спасет ни такая система ни какая-либо другая без шифрования всего трафика. Наглых соседей, которым ваш трафик не важен, лишь бы интернет нахаляву, во-первых, единицы, во-вторых, первый случай врезки сильно отвадит от рецидива, в-третьих, опять же wi-fi легче сломать, в-четвертых, ну пускай пользуются, если такие искусные, смогли врезаться, чтобы я не заметил, иначе - см. п. 2.

 

Атаки на сеть по переавторизации чужих MACов на свой порт тоже бесполезны: после X атак тебя точно вычислят, а до X атак скорее всего вычислят, так как пользователи будут звонить жаловаться. X - не то число, чтобы это было страшно провайдеру.

 

Итого имеем систему авторизации, которая практически никаких ограничений не накладывает ни на топологию сети, ни на устройства пользователей, максимально дружелюбную обычному пользователю и одновременно предоставляющую максимальные возможности ITшнику, в худшем случае не меняющую качество предоставления услуги в случае присоединения не слишком наглого соседа, а в среднем - позволяющую это присоединение обнаружить, и практически не отличающуюся по возможностям прослушки нешифрованного трафика от всех остальных (включая даже нешифрованный L2TP).

 

* Можно не дропать весь трафик, а шейпить его до чрезмерно малых величин (скажем, 10 кбит/сек), чтобы при каких-либо проблемах ITшники смогли достучаться до своих устройств извне, пускай и медленно, и переавторизоваться без вовлечения техподдержки.

 

P. S. Как я понимаю vlan (а я могу абсолютно его не понимать, за что прошу прощения) на пользователя заставит в первую очередь гнать трафик до ядра, где и будет происходить его untagging, т. е. практически то же самое, что было при L2TP. Возможно это допустимое решение с точки зрения затрат и т. п., но чисто с точки зрения внутреннего идеалиста хотелось бы, наверное, чтобы связь между пользователями такого огромного провайдера как Билайн (это не какой-нибудь районный провайдер, где встретить пиром клиента этого же провайдера маловероятно) шла по кратчайшему пути, а не всегда через ядро. И если vlan per user нужен исключительно для целей авторизации, а не для чего-то другого - то не хотелось бы, чтобы система авторизации накладывала такие ограничения. Повторюсь, я возможно совсем неправильно понимаю vlan per user.

Изменено пользователем neuen
  • Upvote 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Теперь самый животрепещущий вопрос - "врезки". Поскольку логин-пароль передается по https, злоумышленник не сможет авторизовать себя. Он может только взять MAC клиента, а перед клиентом поставить роутер. Если поставить роутер перед клиентом, то у клиента качество интернета может даже не ухудшиться и он долгое время не будет знать о врезке.

Так об этом то и разговор.

 

Злоумышленник сможет слушать нешифрованный трафик клиента - как защититься от этого я пока не знаю (впрочем, этому и нешифрованный L2TP был подвержен).

А вот тут про L2TP голословно заявлять не надо! Шифрование трафика тут не причем.

...

Из материалов публикаций грамотных людей, по теме безопасности, мне например известно, что при врезке в кабель выделенной линии абонента Билайн, между компьютером и VPN-сервером (как показано на рисунке)

post-903752-065027300 1425891314_thumb.jpg

Злоумышленник никогда не сможет пользоваться трафиком абонента Билайн, если не знает его логин и пароль.

Если даже он узнает логин абонента Билайн и взломает пароль, то всё равно полноценно воспользоваться его трафиком не получится!

Врезавшийся злодей-сосед сможет заходить в сеть Билайн только тогда, когда оборудование абонента не соединено с сервером tp.internet.beeline.ru (а это довольно редкий сегодня случай, при наличии роутеров у большинства абонентов), иначе на мониторе врезавшегося соседа постоянно будет висеть VPN-ошибка 691 (неправильный логин или пароль)!

То есть наличие двух собак в одной конуре протокол VPN/L2TP исключает напрочь!

Поэтому шифрование трафика, при помощи IPSec тут не обязательно, так как у злодея просто будет отсутствовать доступ к сети Билайн. Всего навсего... =))

Так что не надо сравнивать безопасность при IPoE с действующей годами безопасностью VPN/PPTP/L2TP у Билайн(Корбины), а тем паче вбрасывать сюда то, о чем не знаете, не представляете и не имели опыта!

 

Волнует ли это обычного клиента? Думаю, что нет.

...

Но рано или поздно клиент заметит ухудшение, позвонит в поддержку и там будет произведена элементарная удаленная проверка на врезку

Да, но вы же сами с первых строк, в теме безопасности вашего же мега спитча, говорите что:

Если поставить роутер перед клиентом, то у клиента качество интернета может даже не ухудшиться и он долгое время не будет знать о врезке.

Так где и в чем именно суть ваших ... рассуждений про безопасность клиента в сети, уважаемый?

Изменено пользователем NikIv
Последняя редакция и предупреждение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А вот тут про L2TP голословно заявлять не надо! Шифрование трафика тут не причем.

Если не знаете, то во-первых для начала станьте абонентом Билайн, а потом рассуждайте на эту тему!

Из материалов публикаций грамотных людей, по теме безопасности, мне например известно, что при врезке в кабель выделенной линии абонента Билайн, между компьютером и VPN-сервером (как показано на рисунке)

Пруф!!! Нужен пруф! Иначе голословно.

Картинка не верна в корне, т.к. у билайна нет ipsec.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Так где и в чем именно суть ваших диванных рассуждений про безопасность клиента в сети, уважаемый?
Вам, неуважаемая, не понять. Потому что, говоря условно, там, где вы эту картинку брали, я её рисовал. Учите матчасть.

 

Из материалов публикаций грамотных людей, по теме безопасности, мне например известно, что при врезке в кабель выделенной линии абонента Билайн, между компьютером и VPN-сервером (как показано на рисунке)

post-903752-065027300 1425891314_thumb.jpg

Злоумышленник никогда не сможет пользоваться трафиком абонента Билайн, если не знает его логин и пароль.

Не хочется вас разочаровывать, но многое из написанного на заборе не является результатом деятельности грамотных людей. Пора бы вам уже повзрослеть и не считать философские трехбуквенные изречения на заборе за божественную истину.

Рисунок подразумевает ipsec, который у Билайна выключен, потому что будь он включен, цена на клиентские роутеры навскидку начиналась бы где-то с 40к.

Изменено пользователем neuen
  • Upvote 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А вот тут про L2TP голословно заявлять не надо! Шифрование трафика тут не причем.

Если не знаете, то во-первых для начала станьте абонентом Билайн, а потом рассуждайте на эту тему!

Из материалов публикаций грамотных людей, по теме безопасности, мне например известно, что при врезке в кабель выделенной линии абонента Билайн, между компьютером и VPN-сервером (как показано на рисунке)

Пруф!!! Нужен пруф! Иначе голословно.

Картинка не верна в корне, т.к. у билайна нет ipsec.

Link что ли?

Ну верна или не верна, а на форуме DrWEB "Вопросы и ответы Игорю Данилову" (разработчику антивируса) люди задают вопросы про безопасность, врезки и прочее, и про VPN в том числе там эта картинку кто-то разместил. Я её скопировала и хотела показать, но тему про VPN тут наш Завхоз вовремя закрыл =)) А сейчас вижу снова neuen взялся за старое, уже пройденное, ну и вот...

PS

Лично я, в теме IPoE про безопасность от врезки сниферами, считаю этот протокол голым вообще. Точно так же, как простой тип TCP/IP.

 

Вам, неуважаемая, не понять. Потому что, говоря условно, там, где вы эту картинку брали, я её рисовал. Учите матчасть.

Изменено пользователем NikIv

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

NikIv, тут со стороны пользователя Bee Maya уже не только флейм, оффтоп, флуд, ругань и оскорбления идут (помимо несодержательности постов), но и призывы к нарушению действующего законодательства Российской Федерации.

А поэтому если моим соседом будет neuen и когда он решит подключиться к Домашнему Билайн, я найму кого-нить чтоб врезали мой роутер к нему в выделенку, а свой л/счет я на добровольную блокировку поставлю! Ничтяк, да? =))
Ничтяк, да? =))

 

Ну верна или не верна, а на форуме DrWEB "Вопросы и ответы Игорю Данилову" (разработчику антивируса) люди задают вопросы про безопасность, врезки и прочее, и про VPN в том числе там эта картинку кто-то разместил. Я её скопировала и хотела показать, но тему про VPN тут наш Завхоз вовремя закрыл =)) А сейчас вижу снова neuen взялся за старое, уже пройденное, ну и вот...
Представляете какой парадокс? Там эта картинка была верна, а как только попала к вам в руки с определенной целью - перестала быть... Ох уж этот "технарский" мир... Всё против вас.
Лично я, в теме IPoE про безопасность от врезки сниферами, считаю этот протокол голым вообще.
Ребенок считает, что ему должны дать конфетку и плачет. Ему конфетку всё равно родители не всегда дают. Считайте вы что хотите. Технические факты, к всеобщей радости, на ваше мнение не завязаны, а от него скорее отличны по умолчанию.
Точно так же, как простой тип TCP/IP.
Съешьте ещё этих мягких французских... яблок и апельсинов.
А поэтому если моим соседом будет neuen и когда он решит подключиться к Домашнему Билайн, я найму кого-нить чтоб врезали мой роутер к нему в выделенку, а свой л/счет я на добровольную блокировку поставлю! Ничтяк, да? =))
Эх, я даже жалею, что я не ваш сосед. Троллинг в реальной жизни с привлечением полиции, суда, административного штрафа для начала, публичных вынужденных извинений и всего такого с онлайном, конечно, не сравнить.
Печалит одно - вам никогда не стать вежливым человеком... =(

 

В игнор вас за это. Адью!

Ах как же вы правы. В одну реку дважды не войдешь. Будучи вежливым, стать им я уже не смогу.

 

Идите, деточка, идите. В добрый путь.

 

P. S. Если что, не только лишь все, наверное, подсчитывают, сколько раз вы уже грозили покинуть дискуссию, бесперспективную для вас. А воз (вы т. е.) что-то и ныне там. По моему раза 4 минимум. :)

Изменено пользователем neuen

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
улей с правельным медом

На этом можно было бы и закончить.

Изменено пользователем Kuja Leonhart

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

За определенный период возможно не более X раз авторизовать новый MAC на порту через страничку авторизации или личный кабинет - дальше надо звонить или писать письмо.

Слишком много писем и звонков будет.

 

 

К каждому порту может быть привязано не более Y MACов, самый старый забывается по мере авторизации нового

Это и так уже есть в билайне. Только не для аутентификации, а против мак-флуда.

 

 

всяких DHCP опций, которые тупое устройство точно посылать не умеет

Эта опция настраивается на стороне провайдера, а не у клиента.

 

 

Он может только взять MAC клиента, а перед клиентом поставить роутер.

Зачем делать какие-то мифические врезки и ставить роутер? Достаточно просто изменить мак на своём девайсе. Если аутентификация только по макам, то не важно с какого порта идут пакеты, они всё равно будут пропущены, при условии, что sourse-mac авторизован. Если же аутентификация по портам, то зачем нужна дополнительная волокита с маками?

 

 

спросить клиента, в какое устройство вставлен провод от провайдера, в зависимости от типа устройства рассказать ему, как посмотреть MAC этого устройства (для компьютеров - не отходя от компьютера; для роутеров - посмотреть на нижнюю стенку роутера - даже не надо объяснять, как входить в GUI роутера и какой у него пароль)

вы, видимо, не часто общаетесь с обычными пользователями, если с такой лёгкостью описываете этот процесс.

 

 

vlan per user нужен исключительно для целей авторизации, а не для чего-то другого

Нужна для увеличения безопасности против всяких arp спуфигнов.

 

 

В целом, вы рассматриваете только проблемы пользователей (в частности каких-то ITшников, которых на всю сеть < 1% ). Проблемы провайдера не описаны вообще. А если быть точнее, КАК и ЗАЧЕМ это всё делать на текущей сети билайна, структура которой полностью отличается от представленной вам схемы?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А зачем вообще это обсуждение технических нюансов реализации IPoE, если все равно Билайн сделает по-своему и советоваться ни с кем из пользователей не будет? Как именно будет сделано - безразлично, и безразлично именно потому, что повлиять на процесс не представляется возможным. Вот когда (вернее, если) введут в эксплуатацию, тогда и придет время обсуждать детали.

  • Upvote 4

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Слишком много писем и звонков будет.
Вы понимаете, что первое письмо/звонок будет после авторизации 100 разных MACов в месяц (или даже день) на одном порту, что для обычного пользователя (даже без роутера, а тем более с роутером) очень нестандартное поведение?
Эта опция настраивается на стороне провайдера, а не у клиента.
Но тогда получается, что любое устройство, так или иначе подключенное в порт провайдера, будет авторизовано? Т. е. от врезки вообще никакой защиты. Или я чего-то не понимаю?
Зачем делать какие-то мифические врезки и ставить роутер? Достаточно просто изменить мак на своём девайсе. Если аутентификация только по макам, то не важно с какого порта идут пакеты, они всё равно будут пропущены, при условии, что sourse-mac авторизован. Если же аутентификация по портам, то зачем нужна дополнительная волокита с маками?
Не, авторизована комбинация MAC-порт провайдера. Тот же MAC на другом порту или другой MAC на этом порту не пропускаются.
вы, видимо, не часто общаетесь с обычными пользователями, если с такой лёгкостью описываете этот процесс.
Я всё понимаю. Я не говорю, что это абсолютно просто, я говорю, что это относительно просто. Вместо того, чтобы объяснять что-то типа "зайдите в GUI роутера, посмотрите IP адрес" (все GUI разные) или "сделайте traceroute/tracepath" (нужно объяснять как работать с консолью не важно в какой ОС), т. е. компьютерную активность, нужно будет объяснять чисто активность рук (посмотреть на поддон роутера). При этом первый способ тоже не отменяется, можно и так. Впрочем, когда Билайн начнет массово внедрять роутеры с TR-069 клиентам, если я правильно понимаю, они софтверную проверку на врезку могут даже автоматическую сделать для всех абонентов - посмотреть MAC устройства, посмотреть MACи активные на порту за некоторое время, сравнить, обнаружить врезку (или свитч вместо роутера).
В целом, вы рассматриваете только проблемы пользователей (в частности каких-то ITшников, которых на всю сеть < 1% ). Проблемы провайдера не описаны вообще. А если быть точнее, КАК и ЗАЧЕМ это всё делать на текущей сети билайна, структура которой полностью отличается от представленной вам схемы?
Здесь я с вами согласен. С топологией сети Билайн изнутри я знаком не очень хорошо, только как клиент.

 

А зачем вообще это обсуждение технических нюансов реализации IPoE, если все равно Билайн сделает по-своему и советоваться ни с кем из пользователей не будет? Как именно будет сделано - безразлично, и безразлично именно потому, что повлиять на процесс не представляется возможным. Вот когда (вернее, если) введут в эксплуатацию, тогда и придет время обсуждать детали.
Смотря как рассматривать данное обсуждение.

Как совет Билайну? Есть, конечно, вероятность, что какой-нибудь высокопоставленный администратор/архитектор сети зайдет, почитает, посмеется, и что-нибудь да возьмет из описанного, но она исчезающе мала.

Как дискуссию на техническую тему? А почему бы и нет.

Как идеальное видение со стороны пользователей, которым это не безразлично? Такая дискуссия как раз должна происходить до внедрения решения Билайном, иначе потом дискуссия будет как сейчас: "а у меня L2TP и всё работает".

Когда (если) введут в эксплуатацию, обсуждать уже будет нечего. :) Потому что менять уже точно не будут.

Изменено пользователем neuen

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Такая дискуссия как раз должна происходить до внедрения решения Билайном, иначе потом дискуссия будет как сейчас: "а у меня L2TP и всё работает".

Не, Вы не совсем правы.

Дискуссия не на тему "а у меня L2TP и всё работает", а на тему: "А какая мне разница, какой там у провайдера протокол, если у меня всё работает?".

Я ж не против перехода на PPPoE или что-то там ещё, даже интересно потестить что-то новенькое.

Просто меня удивляет столь бурная дискуссия на тему, которая IMHO для абсолютного большинства пользователей вряд ли актуальна.

Изменено пользователем V_V_S

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Не, Вы не совсем правы.

Дискуссия не на тему "а у меня L2TP и всё работает", а на тему: "А какая мне разница, какой там у провайдера протокол, если у меня всё работает?".

Я ж не против перехода на PPPoE или что-то там ещё, даже интересно потестить что-то новенькое.

Просто меня удивляет столь бурная дискуссия на тему, которая IMHO для абсолютного большинства пользователей вряд ли актуальна.

Когда приходит человек и говорит, что он опасается, что переход временно ухудшит качество сервиса - его опасения обоснованы (хоть я с ними и не согласен в случае Билайна) и ему действительно наплевать, что там внутри. Его интересует беспрерывность услуги, а не что под её капотом. И с таким подходом действительно говорить не о чем, можно лишь провести опрос. Такой человек один раз перенастроит с L2TP на IPoE при смене тарифа в будущем и не будет ничем возмущаться, если на IPoE у него будет скорость нормальная, роутер не придется менять и всё такое. Его сам факт перехода не сильно смущает.

 

Когда приходит человек в тему про IPoE и троллит "а у меня L2TP и всё работает" (при этом у него роутер в 4-6 и более раз дороже предлагаемого Билайном среднестатистическому пользователю и/или не топовая тарифная скорость и/или он настолько технически не подкован или намеренно вводит в заблуждение, что за "всё работает" считает достаточным, например, чтобы SpeedTest показал 92 Мбит download и 70 Мбит upload, что не является достаточным стресс-тестом) - его беспокоит несколько иное. Начинает вот это вот всё про то что нешифрованный L2TP от чего-то защищает, что технология VPN пришла из высокодуховного корпоративного мира и мы должны быть благодарны за сам факт приобщения к прекрасному...

 

Когда же собираются люди и обсуждают техническую тему "как можно сделать IPoE" - то я не вижу в такой дискуссии вообще ничего плохого.

Изменено пользователем neuen

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Когда приходит человек в тему про IPoE и троллит "а у меня L2TP и всё работает" (при этом у него роутер в 4-6 и более раз дороже предлагаемого Билайном среднестатистическому пользователю

Честно говоря, даже не знаю, какие роутеры предлагает Билайн.

Билайн у меня отнюдь не 1-ый провайдер, так что относительно роутеров, предлагаемых любым провайдером, у меня давно сложилось вполне определённое мнение - мне они не нужны даже за 1 рубль (была как-то в Питере такая акция то ли у W+, то ли у Петерлинка).

 

и/или не топовая тарифная скорость

100Mbit

 

и/или он настолько технически не подкован или намеренно вводит в заблуждение, что за "всё работает" считает достаточным, например, чтобы SpeedTest показал 92 Мбит download и 70 Мбит upload, что не является достаточным стресс-тестом)

Бредогенераторами не пользуюсь.

 

Когда же собираются люди и обсуждают техническую тему "как можно сделать IPoE" - то я не вижу в такой дискуссии вообще ничего плохого.

Я тоже не вижу в этом ничего плохого.

Просто это дискуссия "ради поговорить" и не более того, сотрясение воздуха, ибо Билайн реализует (если реализует) обсуждаемое так, как посчитает нужным, и тогда, когда посчитает нужным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы понимаете, что первое письмо/звонок будет после авторизации 100 разных MACов в месяц (или даже день) на одном порту, что для обычного пользователя (даже без роутера, а тем более с роутером) очень нестандартное поведение?

Ваши цифры вязты с потолка. На деле же косяков с маками бывает довольно много.

 

Но тогда получается, что любое устройство, так или иначе подключенное в порт провайдера, будет авторизовано? Т. е. от врезки вообще никакой защиты. Или я чего-то не понимаю?

Так и есть. Защита может быть, но на других уровнях(например, автоматическое измерение длины кабеля на комутаторе провайдера).

 

Не, авторизована комбинация MAC-порт провайдера. Тот же MAC на другом порту или другой MAC на этом порту не пропускаются.

Проверка по мак адресу избыточна. Если удалось врезаться в кабель, то можно вставить банальный свитч, и на своём девайсе опять же прописать нужный мак. Пакеты от обычного пользователя и от "врезчика" ничем не будут отличатся для провайдера. Воопще вопрос о врезках слишком преувеличен. Никто такой ерундой заниматся не будет. Как я уже говорил, намного более вероятные вырианты - монтажники перепутали патчкорды при подключении нового абонента. Такое бывает довольно часто. И потом пользаватеям ни с того ни с сего будут приходять запросы на повторную аутентификацию, либо вообще разблокировка через звонки и письма.

 

Я всё понимаю. Я не говорю, что это абсолютно просто, я говорю, что это относительно просто. Вместо того, чтобы объяснять что-то типа "зайдите в GUI роутера, посмотрите IP адрес" (все GUI разные) или "сделайте traceroute/tracepath" (нужно объяснять как работать с консолью не важно в какой ОС), т. е. компьютерную активность, нужно будет объяснять чисто активность рук (посмотреть на поддон роутера).

Нет там ничего простого. Для большинства юзеров, найти в своей квартире роутер является серьёзным квестом. Добраться до задней панели тоже как правило не тривиальное дело. Вычленить мак среди всяких idшников ещё один нехилый чаленж. Про поиски макушника в компе и говорить не хочется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Просто это дискуссия "ради поговорить" и не более того, сотрясение воздуха, ибо Билайн реализует (если реализует) обсуждаемое так, как посчитает нужным, и тогда, когда посчитает нужным.
Не хочется входить в область конспирологии, где ни я не смогу доказать своё, ни вы опровергнуть, но у меня сложилось впечатление, что не будь постоянного бугурта по поводу L2TP, не было бы и смены или она бы была ещё позже. То что Билайн не будет реализовывать дословно так, как написано в этой теме - это очевидно. Но я всё таки надеюсь, что аналитику "на что, связанное с L2TP, чаще всего жаловались пользователи, с чем у них возникали проблемы, пускай они даже сами не понимали, что виноват L2TP" они собрали.

Эта же тема и, более обще, постоянные вопросы/мнения по поводу перехода на Хабре и других ресурсах позволяет им надеяться, что их сразу после перехода с говном не смешают (представьте, что они бы сейчас с IPoE на, например, OpenVPN переходили? как бы абсурдно это не звучало; при этом переход бы был внезапный, никто бы на IPoE на протяжении многих лет не жаловался и так далее...), работай у них IPoE нормально. Опять же, многие люди спрашивают совет по поводу интернета у ближайшего айтишника (лично на Билайн посадил человек 7-8 и на другие провайдеры еще человек 15-20)... У этой темы (не конкретно на этом форуме, а более обще) тоже есть свои полезные для Билайна функции.

 

Нет там ничего простого. Для большинства юзеров, найти в своей квартире роутер является серьёзным квестом. Добраться до задней панели тоже как правило не тривиальное дело. Вычленить мак среди всяких idшников ещё один нехилый чаленж. Про поиски макушника в компе и говорить не хочется.
А по инструкциям оператора войти в GUI произвольного роутера и найти там MAC (которого там может и не быть) просто? Я повторяю, я не говорю, что просто, я говорю, что проще.

Автоматические же проверки, как, например, определение длины кабеля, возможны в любом случае. Если они будут, замечательно.

 

Если удалось врезаться в кабель, то можно вставить банальный свитч, и на своём девайсе опять же прописать нужный мак. Пакеты от обычного пользователя и от "врезчика" ничем не будут отличатся для провайдера.
У свитча будет два одинаковых MACа в разных портах. Разве оно будет работать? Клиенту-то никто MAC не поменяет. В лучшем случае тогда трафик обоих будет зеркалироваться обоим, и вот тут клиент может заметить ухудшение сервиса...
Воопще вопрос о врезках слишком преувеличен. Никто такой ерундой заниматся не будет.
Согласен, об этом я тоже написал.

 

Ваши цифры вязты с потолка. На деле же косяков с маками бывает довольно много.
Цифры взяты с потолка, не спорю, об этом сразу было написано. Но эти цифры провайдер может спокойно тьюнить, чтобы регулировать поток звонков. Косяков с MACами я ещё ни разу не встречал там, где описанная мной схема в немного более упрощенном варианте реализована. Изменено пользователем neuen

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я повторяю, я не говорю, что просто, я говорю, что проще.

Проще чем что? Чем проверить параметры впн соединения? Очень сомнительно. Да и смысл, опять же, менять шило(параметры впн) на мыло(поиски макушника).

 

У свитча будет два одинаковых MACа в разных портах. Разве оно будет работать?

Будет. Трафик пойдёт сразу на оба порта, а ненужные пакеты отфильтрует операционка или фаервол.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почитал, и ведь за N страниц почти все верно "угадали". :) Хотя вариантов на самом деле не так то много как это можно сделать..

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть если кто-то пропишет мой мак-адрес у себя на компе, он сможет снифать мои пакеты, если воткнут со мной в один свитч ?

Изменено пользователем KOLANICH

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть если кто-то пропишет мой мак-адрес у себя на компе, он сможет снифать мои пакеты, если воткнут со мной в один свитч ?

Нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть если кто-то пропишет мой мак-адрес у себя на компе, он сможет снифать мои пакеты, если воткнут со мной в один свитч ?

При дефолтных настройках комутатора что-то можно увидеть(какую-то часть входящих пакетов). Другое дело, что это контролируется тем же port-security.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То есть если кто-то пропишет мой мак-адрес у себя на компе, он сможет снифать мои пакеты, если воткнут со мной в один свич ?

Снифать не сможет т.к. хабов уже нигде нет. А вот нарушить вашу работу при отсутствии должной настройки свича, вполне может.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Кстати, если уж пошла речь про

 

Мало того, я даже предлагаю администратору ресурса закрыть тему, пока не осуществится хотя бы частичный перевод абонентов с L2TP на IPoE.

 

То наверно интересно будет знать что несколько сетей то уже подготовлено) ну правда пока только сети, "перейти на ipoe" в них пока нельзя, люди работают на l2tp в, условно, "ipoe-ready" сети. Вполне вероятно что и на этом форуме есть люди которых в такую сеть уже мигрировали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То наверно интересно будет знать что несколько сетей то уже подготовлено) ну правда пока только сети, "перейти на ipoe" в них пока нельзя, люди работают на l2tp в, условно, "ipoe-ready" сети. Вполне вероятно что и на этом форуме есть люди которых в такую сеть уже мигрировали.

Есть ли информация о том, какие ipшники будут получать клиенты? Приватные или публичные?

Если приватные, то я уж лучше на впн посижу до окончательного перехода на ipv6.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То наверно интересно будет знать что несколько сетей то уже подготовлено) ну правда пока только сети, "перейти на ipoe" в них пока нельзя, люди работают на l2tp в, условно, "ipoe-ready" сети. Вполне вероятно что и на этом форуме есть люди которых в такую сеть уже мигрировали.

Есть ли информация о том, какие ipшники будут получать клиенты? Приватные или публичные?

Если приватные, то я уж лучше на впн посижу до окончательного перехода на ipv6.

Инфа пока была про публичные на текущем тесте, но смысла полагаться на тест нет - всегда могут переделать под приватные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

То наверно интересно будет знать что несколько сетей то уже подготовлено) ну правда пока только сети, "перейти на ipoe" в них пока нельзя, люди работают на l2tp в, условно, "ipoe-ready" сети. Вполне вероятно что и на этом форуме есть люди которых в такую сеть уже мигрировали.

Есть ли информация о том, какие ipшники будут получать клиенты? Приватные или публичные?

Если приватные, то я уж лучше на впн посижу до окончательного перехода на ipv6.

 

Есть. Там где сейчас в л2тп выдаются публичные, авторизованным ipoe тоже будут публичные. Остальные, неавторизованные и в финблоках, приватные.

Изменено пользователем nlpet

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Инфа пока была про публичные на текущем тесте, но смысла полагаться на тест нет - всегда могут переделать под приватные.

А какая информация про публичные была? Диапазон 100.64.0.0/10 согласно RFC 6598 это серая адресация для сетей CGN. Исходя из данных nlpet, получается, что клиент сначала получает в сети серый адрес, в первый раз ему необходимо авторизоваться, переподключиться и адрес должен смениться на публичный. Опять же на одном клиентском порту смогут присутствовать и серые адреса и, скорее всего, один публичный. Как то так, если конечно nlpet прав. :D

Изменено пользователем noox

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Инфа пока была про публичные на текущем тесте, но смысла полагаться на тест нет - всегда могут переделать под приватные.

А какая информация про публичные была? Диапазон 100.64.0.0/10 согласно RFC 6598 это серая адресация для сетей CGN. Исходя из данных nlpet, получается, что клиент сначала получает в сети серый адрес, в первый раз ему необходимо авторизоваться, переподключиться и адрес должен смениться на публичный. Опять же на одном клиентском порту смогут присутствовать и серые адреса и, скорее всего, один публичный. Как то так, если конечно nlpet прав. :D

Хм, тогда могу ошибаться, видел как раз где-то мельком про 10*. сетку, посчитал что паблик. Тем не менее как и писал - всегда могут передумать, нет смысла гадать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм, тогда могу ошибаться, видел как раз где-то мельком про 10*. сетку, посчитал что паблик. Тем не менее как и писал - всегда могут передумать, нет смысла гадать.

По поводу сети 100.64.0.0/10 это не гадание, тому есть подтвержение от двух юзеров на форуме из Электростали и Ногинска. А вот относительно "авторизованным ipoe тоже будут публичные" - это еще большой вопрос. Перевод целых городов свидетельствует о том, что стадия тестирования прошла. Уже не передумают.

Изменено пользователем noox

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хм, тогда могу ошибаться, видел как раз где-то мельком про 10*. сетку, посчитал что паблик. Тем не менее как и писал - всегда могут передумать, нет смысла гадать.

По поводу сети 100.64.0.0/10 это не гадание, тому есть подтвержение от двух юзеров на форуме из Электростали и Ногинска. А вот относительно "авторизованным ipoe тоже будут публичные" - это еще большой вопрос. Перевод целых городов свидетельствует о том, что стадия тестирования прошла. Уже не передумают.

Так они в ipoe не авторизованы) вот и ип у них серый) авторизуются-получат публичный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.