The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Cisco 2811"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Cisco 2811"  +/
Сообщение от Alex (??) on 11-Янв-10, 16:40 
Здравствуйте уважаемые гуру cisco.

Я настроил с одним провайдером канал PPPoE. Спустя неделю, они обнаруживают, что другие их клиенты пытаются авторизоваться на нашем маршрутизаторе, в док-во чего приводят лог:

=================
23:34:07.960724 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 78: PPPoE PADS [Service-Name] [AC-Cookie 0x36A34744D55F9F09CC51C77486DB986C] [AC-System-Error "AC: Cannot open PPPoE session."]
23:34:07.961467 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 78: PPPoE PADS [Service-Name] [AC-Cookie 0x36A34744D55F9F09CC51C77486DB986C] [AC-System-Error "AC: Cannot open PPPoE session."]
23:34:13.195092 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 98: PPPoE PADS [Service-Name] [Host-Uniq 0x00000001] [AC-Name "2811-cr1"] [AC-Cookie 0x6AE3CD656CBB35958512B6E6C14813C5][|pppoe]
23:34:14.936473 00:16:47:9a:45:38 > 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 102: PPPoE PADS [Host-Uniq 0x001CF0ABF89F0000] [AC-Cookie 0x01650E56A037B2A7560398EB8C82855D] [AC-Name "2811-cr1"] [Service-Name][|pppoe]
===============

Конфиг у меня такой:
===================

bba-group pppoe global

interface FastEthernet0/0/2
 switchport access vlan 12
 no keepalive
 no cdp enable
!

interface Vlan12
 description ------ ROSWEB Internet Backup -------                              
 no ip address
 pppoe enable
 pppoe-client dial-pool-number 1
!

interface Dialer1
 ip address negotiated
 ip mtu 1492
 ip nat outside
 ip virtual-reassembly
 encapsulation ppp
 no ip mroute-cache
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap callin
 ppp chap hostname rosweb-2481-09
 ppp chap password 7 00001602060E53
!
!
ip nat inside source route-map internet-vlan12 interface Dialer1 overload
ip nat inside source static tcp 192.168.25.21 25 interface Dialer1 25
!
!
route-map internet-vlan12 permit 10
 match ip address nat-fe-0-0.20-in
!
================
Я прибил строчку bba-group pppoe global которая была создана автоматически при конфигурировании pppoe и их клиенты перестали пытаться авторизоваться у нас.
Внимание вопрос:

нормальна ли такая ситуация вообще, и мог бы проавайдер сам у себя выполнить какие-либо настройки, чтобы её не допустить?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

  • Cisco 2811, STONE, 17:51 , 11-Янв-10, (1)  
    • Cisco 2811, Alex, 18:09 , 11-Янв-10, (2)  
      • Cisco 2811, KiM, 21:31 , 11-Янв-10, (3)  
        • Cisco 2811, Alex, 09:01 , 12-Янв-10, (4)  
          • Cisco 2811, Николай, 10:27 , 12-Янв-10, (5)  
            • Cisco 2811, Alex, 11:18 , 12-Янв-10, (6)  
              • Cisco 2811, STONE, 12:16 , 12-Янв-10, (7)  

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco 2811"  +/
Сообщение от STONE email on 11-Янв-10, 17:51 
>[оверквотинг удален]
>route-map internet-vlan12 permit 10
> match ip address nat-fe-0-0.20-in
>!
>================
>Я прибил строчку bba-group pppoe global которая была создана автоматически при конфигурировании
>pppoe и их клиенты перестали пытаться авторизоваться у нас.
>Внимание вопрос:
>
>нормальна ли такая ситуация вообще, и мог бы проавайдер сам у себя
>выполнить какие-либо настройки, чтобы её не допустить?

вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это у них умеет), но правильно чтобы вы настроили как надо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Cisco 2811"  +/
Сообщение от Alex (??) on 11-Янв-10, 18:09 
>вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это
>у них умеет), но правильно чтобы вы настроили как надо.

1. Неужели это не дыра в их безопасности?
Ведь любой из их клиентов может прикинуться ppp-сервером и перехватывать на себя авторизацию клиентов.
2. Разве разбираться с каждым клиентом и просить удалить созданные автоматически строчки в их конфигах проще, чем настроить у себя фильтрацию?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Cisco 2811"  +/
Сообщение от KiM email(??) on 11-Янв-10, 21:31 
>>вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это
>>у них умеет), но правильно чтобы вы настроили как надо.
>
>1. Неужели это не дыра в их безопасности?
>Ведь любой из их клиентов может прикинуться ppp-сервером и перехватывать на себя
>авторизацию клиентов.
>2. Разве разбираться с каждым клиентом и просить удалить созданные автоматически строчки
>в их конфигах проще, чем настроить у себя фильтрацию?

1.оператору пофигу, он не отвечает за пароли клиента.
2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Cisco 2811"  +/
Сообщение от Alex (??) on 12-Янв-10, 09:01 
>1.оператору пофигу, он не отвечает за пароли клиента.
>2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)

Вы, видимо, тоже представитель какого-нить провайдера. :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Cisco 2811"  +/
Сообщение от Николай (??) on 12-Янв-10, 10:27 
>>1.оператору пофигу, он не отвечает за пароли клиента.
>>2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)
>
>Вы, видимо, тоже представитель какого-нить провайдера. :)

Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению ну допустим отдельный влан с pppoe наверняка скопом в один все забросили, то что отключить легче чем разобраться - 100% :))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Cisco 2811"  +/
Сообщение от Alex (??) on 12-Янв-10, 11:18 
>Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению
>ну допустим отдельный влан с pppoe наверняка скопом в один все
>забросили, то что отключить легче чем разобраться - 100% :))

Я щас посмотрел повнимательнее, оказывается они к нам в последнюю милю прокидывают транк с нативным VLAN для нас, всяки bpdu валятся, аж у меня спанингтри их порт гасил, во дятлы!
Куда вообще их безопасники мотрят, если они у них вообще есть.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Cisco 2811"  +/
Сообщение от STONE email on 12-Янв-10, 12:16 
>>Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению
>>ну допустим отдельный влан с pppoe наверняка скопом в один все
>>забросили, то что отключить легче чем разобраться - 100% :))
>
>Я щас посмотрел повнимательнее, оказывается они к нам в последнюю милю прокидывают
>транк с нативным VLAN для нас, всяки bpdu валятся, аж у
>меня спанингтри их порт гасил, во дятлы!

Это типичный пример хомяка(домового провайдера)

>Куда вообще их безопасники мотрят, если они у них вообще есть.

восновном безопасников на сети нет:) в редких ISP они присутствуют

а вообще в некоторых провах включение автоматизировано, нажал кнопку и всё заработало у определённого клиента на определённой железке. но енто редкость.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру