AR770S привязка mac-ip, разрешенные mac

Здесь обсуждаются вопросы связанные с маршрутизаторами, сетевыми экранами, VPN

Модератор: Allied Telesis Russia

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 01 ноя 2016, 18:29

Спасибо!
Стало немного понятнее

А нет ли варианта без radius и тп???

Слышал/или читал что можно как-то локально аунтифицировать без внешнего радиус
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 01 ноя 2016, 19:02

Без RADIUS можно делать IPSEC, PPP/L2TP/PPPoE, GRE, Telnet, SSH.
Других не знаю, у Телесина.

Хотите просто пофильтровать MAC на интерфейсе - можно наверное извратиться с bridge.
Последний раз редактировалось DenM 02 ноя 2016, 09:09, всего редактировалось 1 раз.
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 02 ноя 2016, 00:11

Да, наверное придется заморочиться radius, да и для wifi в итоге пригодится
Только вот неясно как настроить авторизацию циски на телесине
Рою материалы в инете - везде ифна про авторизацию НА циске
Попробую завтра дернуть знакомых цисководов...
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 02 ноя 2016, 00:32

ПРо macbased на AR770S

On the AR750S, AR750S-DP, and AR770S, MAC-based authentication is only
available for ethernet interfaces, for example eth0.

Те с портами коммутатора не прокатит
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 02 ноя 2016, 09:27

Верно... :(
Последний раз редактировалось DenM 02 ноя 2016, 11:59, всего редактировалось 1 раз.
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 02 ноя 2016, 10:30

Как устроить авторизацию клиентов на циске я знаю - это не проблема
Но ведь вроде нельзя устроить авторизацию клиентов CКВОЗЬ ЦИСКУ на AR770S
Или как вариант устроить всем VPN до AR770S (сделать системным, что бы VPN поднимался при запуске и нормально цеплялись и отрабатывались политики домена и доменные скрипты) ???
Но опять же - НА AR770S VPN возможен на интерфейсы егойного коммутатора или только на eth?
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 02 ноя 2016, 10:50

VPN можно повесить на любой интерфейс. Но это ж... :shock:

Сквозь Циску... Х.з. как оно работает, но режим-то multi-user на порту есть. И с каждым юзером ассоциируется виртуальный порт 802.1x . От Циски требуется быть тупым коммутатором.

Мне кажется идей уже достаточно, чтобы до конца года разбираться. :)
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 02 ноя 2016, 13:19

Верно
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение dmitry_tarakanov » 24 ноя 2016, 19:02

Уважаемый Нойз, внимательно почитал схему Вашей сети и решения, предложенные форумчанами. Решения сложные, очень интересные, но обладающие свойством "из-за любви к искусству".

Решение естественно ipsec от каждого компьютера офиса до телесина или, что проще, изящней, рекомендуемей MS, но не мудрее(ниже поймете, почему) - ipsec от каждого компьютера до центрального офиса

NoIZz писал(а):Не хотелось бы что бы кто-то выдернул аплинк к коммутатору и смог втупую исследовать сеть "на том конце"

При этом Вам уже написали, что при любом раскладе, примените ли Вы суперклей к пачкорду или не примените, любой школьник, который захочет Вашу цитату, порежет провод, воткнется хабом и будет слушать. Естественно в этом случае никакие 802.1x с радиусами и AD и уж тем более статические MAC-и этим школьникам не помешают. Почему не помешают? Об этом ниже, т.к. оффтопик.


Оффтопик для размышления. Потому, как, если школьнику предоставили доступ к серверной провайдера, то у школьника была соответствующая ксива. И, соответственно, эту ксиву в ближайшее время, увидите и Вы. И хорошо бы, чтобы Вы от волнения выбора (между свидетель или подельник)не забыли пароль от ipsec именно до своего телесина в этот момент, а не сваливали на тех невидимых ребят в центральном офисе. Удачи, коллега, хорошего настроения и держитесь там... :)
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 28 ноя 2016, 12:08

1. IPSEC это хорошо, если _вся_ техника в офисе умеет.
2. От врезки в порты коммутатора защищаться транспортным IPSEC ?

Без контроля за физическим доступом к оборудованию, в общем случае, защитить сеть полностью не возможно. IMHO
Особенно если придут "органы". :wink: С этим согласен полностью.
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение dmitry_tarakanov » 30 ноя 2016, 13:24

DenM писал(а):1. IPSEC это хорошо, если _вся_ техника в офисе умеет.

У Вас есть техника, которая одновременно удовлетворяет следующим двум условиям:
а) не умеет ipsec?
б) трафик которой должен проходить через маршрутизатор далее в центральный офис.


DenM писал(а):2. От врезки в порты коммутатора защищаться транспортным IPSEC ?

Именно так, от врезки в порты, как частный случай атаки man in the middle. А Вы думали, зачем придумали IPSEC?

DenM писал(а):Без контроля за физическим доступом к оборудованию, в общем случае, защитить сеть полностью не возможно.

Да, это так. При этом самое слабое звено в защите будет человеческий фактор. Замечу, что если взглянуть объективно, именно этот факт Вы сами демонстрируете своими репликами в этом топике.
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 30 ноя 2016, 15:25

dmitry_tarakanov писал(а):У Вас есть техника, которая одновременно удовлетворяет следующим двум условиям:
а) не умеет ipsec?
б) трафик которой должен проходить через маршрутизатор далее в центральный офис.


У меня лично были: не самая современная орг.техника, IP-фоны (h.323), COM->Ethernet-адаптеры, диагностическое оборудование с закрытым доступом к потрохам. Что у т/с ведомо только ему.

dmitry_tarakanov писал(а):именно этот факт Вы сами демонстрируете своими репликами в этом топике.

Не будьте так уверены в абсолютной _применимости_ своего решения. Задачу оно бесспорно решает, на корню.
И название темы прочитайте, чтобы понять в каком ключе шла мысль.
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение dmitry_tarakanov » 30 ноя 2016, 16:05

DenM писал(а):
dmitry_tarakanov писал(а):У Вас есть техника, которая одновременно удовлетворяет следующим двум условиям:
а) не умеет ipsec?
б) трафик которой должен проходить через маршрутизатор далее в центральный офис.


У меня лично были: не самая современная орг.техника, IP-фоны (h.323), COM->Ethernet-адаптеры, диагностическое оборудование с закрытым доступом к потрохам. Что у т/с ведомо только ему.

dmitry_tarakanov писал(а):именно этот факт Вы сами демонстрируете своими репликами в этом топике.

Не будьте так уверены в абсолютной _применимости_ своего решения. Задачу оно бесспорно решает, на корню.
И название темы прочитайте, чтобы понять в каком ключе шла мысль.


Я же не спрашиваю у Вас, что у Вас было. Не спрашиваю, зачем орг.технике требовался неограниченный доступ по IP в центральный офис. Не спрашивал, зачем ip-фонам неограниченный доступ в весь центральный офис. И не спрашиваю у Вас, зачем таковой COM->Ethernet-адаптерам, диагностическому оборудованию. Я спросил у топикстартера. Если он потрудится перечислить устройства, удовлетворяющие сразу двум требованиям, то можно будет найти выход и в этом случае, при этом соблюдая требования, изложенные в начале обсуждения.


DenM писал(а):Не будьте так уверены в абсолютной _применимости_ своего решения.
Задачу оно бесспорно решает, на корню.

1) Это на каком основании мне не быть уверенным? Я лишь читаю то, что топикстартер обрисовал в условиях своей задачки и выдаю ему способ применения технологий, которые сам не изобрел и которые изобретены специально для задачки ТС.
2) Тем более, если задачу мое решение, как Вы говорите "бесспорно" решает!
Если оно решает "бесспорно", то значит спора о моем решении быть не может с Вашей точки зрения. Так? Логично? Тогда или где логика В вашей реплике или одно из двух!

DenM писал(а):И название темы прочитайте, чтобы понять в каком ключе шла мысль.

Кроме названия темы, я еще почитал описание его сети и задачи, которые поставил топикстартер. Если и Вы внимательно это почитаете, то сможете заметить, что задачи не совсем соответствуют названию темы, как это часто бывает в случае, когда автор темы предлагает форуму помочь ему во внедрении неверного решения, вместо того, чтобы помочь выбрать собственно верное решение.
dmitry_tarakanov
 
Сообщения: 38
Зарегистрирован: 28 янв 2009, 22:59

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 30 ноя 2016, 16:23

Определитесь для себя, что советуте: защищать от MITM (точнее пассивной _прослушки_ траффика) или от активного сканирования сети (nmap там)...
Уж извините, что не замучал т/с вопросами, а сразу предложил похожее по-сути на его решение.
Передаю эстафету Вам.
DenM
 
Сообщения: 74
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Пред.

Вернуться в Маршрутизаторы и фаерволы

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 3

cron