AR770S привязка mac-ip, разрешенные mac

Здесь обсуждаются вопросы связанные с маршрутизаторами, сетевыми экранами, VPN

Модератор: Allied Telesis Russia

AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 28 окт 2016, 20:04

Собственный роутер стоит в провайдерской серверной
К switch port=1 подключен (аплинком) коммутатор который стоит в офисе
Не хотелось бы что бы кто-то выдернул аплинк к коммутатору и смог втупую исследовать сеть "на том конце"
Порты 2-4 отключены
Порт eth0 используется для туннелирования с удаленным офисом и раздачи интернета
Порт eth1 отключен

Нужно обезопаситься разрешив на switch port 1 только определенные mac-ip в случае появления левых mac-ip либо их дропать либо дизаблить порт и генерить запись в логах/отсылать сообщение по email
Такое вообще возможно?
Прошивка последняя

Спасибо!
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 29 окт 2016, 19:09

1. Фильтров L2 у AR-серии нету. Есть ACL у коммутаторов.
2. Можно попробовать
Код: Выделить всё
disable switch learning
add ip arp

3. Или задать vlan tag (если коммутатор в офисе управляемый). Будет навроде числового пароля у каждого фрейма.
4. Мониторить можно будет только link down/up на порту коммутатора. В обработчике события можно прописать отправлять письмо на почту. Лог событий можно через фильтр направлять в отдельный файл на рутере, если это нужно.
5. Разумнее делать VPN между офисом и AR770 у провайдера. Если линк не гигабитный... Никакие фильтры не запретят пассивно сниффить траффик воткнув хаб между рутером и аплинком, а тем более посканить сеть офиса. Провайдер так совсем не заметно может это делать - не персональный же провод вам дали.
DenM
 
Сообщения: 76
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 31 окт 2016, 21:11

Ситуация оказывается немного другая

офис
все вся скс сведена на патч-панель в серверной арендодателя
там стойка
в стойку поставлен маршрутизатор ar770s - от него тоннель до центрального офиса (eth0 - через инет) и он же раздает инет (через eth1)
Switch port 2-4 disabled
Swithc port 1 - линк на гигабитный порт Cisco 2950 стоящем в той же стойке (второй гигабит задизаблин)
На циске привязки мак к портам и тп
Пока придумали закрепить аплинк от ar770s к cisco (литые разьемы обернули специальной стальной проволкой (тросик), обмотали вокруг девайсов и опломбировали - что бы не дергали)
Что бы выдернуть нажно перекусить трос, а его даж обычными кусачками не возьмешь, ну и как бы в случае чего будет видно...

Сейчас думаем, может есть какие стальные панели с отверстиями что бы нацепить их на морду девайсов, завинтить и опломбировать...

Про команду add ip arp - сейчас рою доки найти не могу нужной..
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 31 окт 2016, 21:42

"add arp ip" описывается в модуле IP. "index.pdf" в помощь. :)

Пожалуй, вам поможет portauth. Правильнее было бы 802.1x поднять.
Позволить рутеру делать multi-supplicant, раз контроля на Циске мало. Тестировал только на коммутаторах 8000s - работало как-то не очень стабильно... Не рекомендовано оно.

Или стальная обмотка вокруг патч-корда и джеки в разъемы на супер-клей. :D
Последний раз редактировалось DenM 31 окт 2016, 22:18, всего редактировалось 1 раз.
DenM
 
Сообщения: 76
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 31 окт 2016, 22:11

Клей слишком радикально )))
авторизация
надо бы подумать
средствами ar770s это реально?
Можно поподробнее про portauth и multi-supplicant

add ip arp нашел - прочитал

index не арбайтен (((
"К сожалению каталог не поддерживается" (((

add ip arp

все делаю по мануалу

удаляю

del ip arp=alldyn
прописываю
add ip arp=192.168.xxx.xx int=vlan1 eth=xx-xx-xx-xx-xx-xx port=1
и еще несколько
sh ip arp
все есть
cre con=config.cfg
sh fi=config.cfg
в файле все есть
перегружаюсь

эти адреса dynamic
кроме циски

Может что с arp timeout ?

Куда копать?

Спасибо!
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 31 окт 2016, 22:23

Код: Выделить всё
disable switch learning

забыли ?

Потрите папку "index" и "index.pdx". При первом открытии "index.pdf" сам индекс будет перестроен или смотрелка ругнется, но откроет. Вроде так было - не помню.

802.1x multi-supplicant написано, что 480 клиентов тянет. Ни разу не настраивал на рутере.
DenM
 
Сообщения: 76
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 31 окт 2016, 22:28

disable switch learning

Info (1102272): LEARNING already disabled.

disable switch ageingtimer ???

Может пропадание записей как-то связано с тем что все эти ip/mac прописаны в dhcp на роутере?
Последний раз редактировалось NoIZz 31 окт 2016, 22:31, всего редактировалось 1 раз.
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 31 окт 2016, 22:31

Х.з. как он там пишет. Это же не DHCP-static.
А если новое устройство воткнуть, его мак появится в таблице ? Вручную таблицы забивать изврат какой-то... 802.1x
DenM
 
Сообщения: 76
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 31 окт 2016, 22:32

C 802.1x дел не имел пока

там всего 20 хостов
10 компов
10 телефонов
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 31 окт 2016, 22:37

Код: Выделить всё
disable switch ageingtimer

Это не надо.
В доке написано, что как только таймаут устаревания истечет, в таблице останутся одни статики. Сам не пользовал.
Последний раз редактировалось DenM 01 ноя 2016, 09:13, всего редактировалось 2 раз(а).
DenM
 
Сообщения: 76
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 31 окт 2016, 22:39

Ага
Прочитал
понял

Завтра продолжу изыскания

Спасибо!
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 31 окт 2016, 22:53

Меня еще интересует - работает ли шифрование - те заворачиваются ли пакеты в тоннель
Терзают меня подозрения
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 31 окт 2016, 22:56

Тоннель же IPSEC ?
Код: Выделить всё
sh ipsec sa

глянуть или жестко
Код: Выделить всё
disable ipsec

и пингануть из офиса телефон, например.
Где-то был счетчик пакетов через тоннель. Не помню, а посмотреть не на чем.
DenM
 
Сообщения: 76
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение NoIZz » 31 окт 2016, 23:16

sh ipsec sa

SA Id Policy Bundle State Protocol OutSPI InSPI
-----------------------------------------------------------------------------
64 tunnel 0 Valid ESP 427591157 2139253311

disable ipsec

траф между роутерами и дальним офисом бегать пеерстает

значит вес ОК
NoIZz
 
Сообщения: 63
Зарегистрирован: 15 сен 2009, 22:34

Re: AR770S привязка mac-ip, разрешенные mac

Сообщение DenM » 01 ноя 2016, 09:50

1. Можете настроить порт стыка с Циской для ее авторизации через 802.1x .
Со стороны Телесина выглядеть будет примерно так:
Код: Выделить всё
add radius server=1.1.1.1 secret=blablabla
enable portauth=8021x
enable portauth=8021x port=swi1 type=authenticator

Телесину понадобится внешний RADIUS-сервер. :(
2. Можете настроить взаимную аутентификацию железок (Циска должна держать свой RADIUS, не в курсе как у нее).
Код: Выделить всё
add radius server=1.1.1.1 secret=blablabla
enable portauth=8021x
enable portauth=8021x port=swi1 type=both username=blablau password=blablap

Разница лишь в том, что Телесин будет пытаться послать Циске логин с паролем. Если она примет - будет линк. Честно говоря без понятия как железки договорятся "одновременно".
3. Честный 802.1x для всех устройств в сети. Придется предварительно настраивать принтеры, телефоны и т.п.
Код: Выделить всё
add radius server=1.1.1.1 secret=blablabla
enable portauth=8021x
enable portauth=8021x port=swi1 type=authenticator mode=multi

Делал только для WiFi с Windows-клиентами и доменным центром сертификации. Наверное можно проще.
4. Можете поручить Телесину проверять всех клиентов сети по MAC.
Код: Выделить всё
add radius server=1.1.1.1 secret=blablabla
enable portauth=mac
enable portauth=mac port=swi1 type=authenticator

В этом случае RADIUS-сервер должен иметь доступ к списку логин/пароль, где оба параметра - MAC разрешенных устройств. Я хранил в отдельной OU AD учетки юзеров-железок. Пароли с обратимым шифрованием, чтобы Windows RRAS мог генерировать MD5-хэши для проверки.
В режиме аутентификации по MAC Multi Supplicant работает автоматически и от устройств не требуется поддержки 802.1x .
Недостаток способа: если в сеть включится посторонний клиент, Телесин отключит порт к Циске. Во всяком случае у меня было так. Пришлось ограничиться режимом наблюдения.
DenM
 
Сообщения: 76
Зарегистрирован: 12 мар 2014, 13:09
Откуда: Санкт-Петербург

След.

Вернуться в Маршрутизаторы и фаерволы

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4

cron