DHCP и MAC

[KomatoZo]

По существу это не так. По существу, это заставить, наконец-таки автора рассказать нам что и зачем он хочет сделать. А то гадаем тут на кофейной гуще. А то мнится мне, что автор в очередной раз изобрел велосипед. Причем такой, который едет задом наперед и при этом строго влево =)
Что касается всяких там батников - все правильно, но смотри пункт первый - чего советовать писать батник или скрипт, если не известно чего вообще человек хочет.
Что касается распределения адресов "строго по МАКам": уже сказано, что это защита до первого читателя "супер-пупер-сверх-над-журнала" ксакеп.
Больше ничего не скажу, пока не объявится автор =)

[Hasper]

Цитата:

Сообщение от KomatoZo

По существу это не так. По существу, это заставить, наконец-таки автора рассказать нам что и зачем он хочет сделать.

А че заставлять то.. шас раскажу..

Цитата:

Сообщение от KomatoZo

А то гадаем тут на кофейной гуще. А то мнится мне, что автор в очередной раз изобрел велосипед. Причем такой, который едет задом наперед и при этом строго влево =)

Да уж.. велосипед.. скорее самокат..
Кароче есть сеть около 500 компов.. несколько сегментов.. в каждом свой админ..В этой свзяи есть база на mySQL с веб интерфейсом. в которой ведется учет абонетской платы и всякой служебной информации
На эту базу завязан mail и FTP сервер плюс к этому есть такая штука как ipsentinel которая не пускает в сеть людей не здавших абонентку..(проверяет MAC и IP) файлик для ее конфигурации генерится из той же базы. Попасть в сеть становится практически не реально.. если только поменять mac и Ip на существующие в базе и хозяин этой учетной записи будет оф лайн.
Так вот к этому всему хотелось бы прикрутить DHCP что бы. забыть о индивидуальной настройки каждого пользователя.. т.е. раздача этих самых ip будет так же согласно записям в базе.. плюс шлюзы..на интернет да и всякая хрень..
Уф. ну вроде все...

[FantomIL]

Цитата:

Hasper:
забыть о индивидуальной настройки каждого пользователя.. т.е. раздача этих самых ip будет так же согласно записям в базе.. плюс шлюзы..на интернет да и всякая хрень..

Ну так в чем проблема то?
Если у тебя уже есть

Цитата:

Hasper:
база на mySQL

и софт, который

Цитата:

Hasper:
проверяет MAC и IP

, то открываешь оснастку управления DHCP сервером идешь в "Резервирование" и резервируешь там IP-адреса для определенных МАС-ов.
И все это работает очень хорошо до тех пор, пока какой-нибудь малолетка не начнет менять каждый день МАС-на своем адаптере...

[KomatoZo]

Ммм.... Как я и подозревал просто оказалась изначально убогая схема. Повторюсь - схема, а не автор (я сам таким был, да и сейчас порой выдумываю что-нибудь эдакое) =)
Такая схема обречена на fraud. Сделайте как-нибудь по-другому. Например у меня в свое время был поднят VPN сервер, раздающий адреса по учеткам. А потом я уже обсчитывал именно эти адреса. Есть и другие варианты. А вариант с маками и IP... Дохлый номер, даже если к нему добавлять arpwatch или как он там называется.

[metrim]

2Hasper. Если у тебя не стоит профессиональное сетевое оборудование, то игры с отслеживанием МАС, для тебя дохлое дело.
Ты не сможешь отследить злоумышленника, который постоянно меняет свой МАС адрес на валидный (принадлежащий юзверю находящемуся в офлайн). Как результат "хацкер" будет периодически менять МАСи, а тебе будут стучаться клиенты, которые не могут зайти в сеть... И ничего ты не сможешь поделать. Тебе оно надо???
Делай как предлогает KomatoZo, используй VPN для выхода в инет и для доступа к ресурсам сервера.
Сделай локальный сайт с поисковиком по ФТП, транстяцией ТВ, в общем сделай так, что бы народу было за что платить денежку в зоне которую ты контролиш.
Важно помнить, что изначально сеть и её протоколы проектировались для обеспечения функцианирования при выходе из строя максимального кол-ва узлов. Соответственно основная её функция обеспечивать связь, а все блокировки на уровне MAC и IP это от нечистого. Используй другие меры воздействия.
Пустя юзвери колбасятся в сети. Тебе что жалко? Елистричество ведь они сами оплачивают. Деньги надо брать только за предоставление инета и дополнительных услуг ИМХО

[Hasper]

Всем спасибо за мнения..
Бум уточнят ..

1)Как заставить DHCP раздовать разные парметры разным группам.. например шлюз.. на интернет в каждом сегменте сети свой ?

2)Вопрос по VPN т.е. получается для входа в сеть нужно будет конектится к серверу и весь трафик от юзверя к юзверю буит шпарить через сервер?

3)А что даст поднимание домена в такой сети?

[metrim]

1) подумай, действительно ли тебе нужно несколько шлюзов? Если будет несколько шлюзов, то имеет смысл сделать несколько DHCP серверов...
2) Нет сетевой траф (локальные IP) будет будет гонятся по сетевому подключению, а всё остальное - через ВПН. (Так всё организовано например в Корбине, да и у других провов)
3) Ничего. Или кучу проблем. Смотря как организуешь ...

Енто лишь моё частное мнение....

Цитата:

Hasper:
Ок пойдем дальше.. а как ето дело автоматизировать.. т.е есть база юзверей список ip и mac как его загонять туда автоматом и желательно синхронизировать..

Имхо, надо покопать в сторону netsh и батникова/скриптов.

[leon534]

Между прочим привязкой к MAC адресу пытаются защититься многие крупные операторы. Помогает это дело от основной массы непродвинутых юзеров (коих имхо более 99%). А продвинутые покупают роутер и раздают доступ по нескольким компам в своей и соседних квартирах. Маргиналы же (знаю одного такого деятеля) покупают жирный тарифный план, поднимают сервер и продают доступ чуть не всему дому

[FantomIL]

Я еще раз повторюсь, что авторизация при помощи привязки IP к MAC-у является самым старым и одним из самых ненадежных способов авторизации.
Все это будет работать до тех пор, пока пользователь не прочтет хелп к командной строке и не научится печатать
ping IP-address
arp -a
или сразу
arping (если юзеры попродвинутее)

[snark]

Цитата:

KomatoZo:
Никак. DHCP такого не умеет напрямую, кажется.

уж не знаю как это в мастдае (не офтопить!), но на ISC DHCP все решается или через sahred network или class-ы... у меня реализовано так:
- юзеру чей МАС я не знаю выдается совершенно левый адрес который никуда попасть не может... это никак не привязано к доступу в инет, а сделано для того чтобы можно было в любой момент времени знать конкретный IP конкретного же юзера в основном из за соображений tech support (расскажите пару-тройку раз юзеру где адрес можно найти и увидеть - поймете зачем я так сделал )... МАС-и хранятся в мускуле, выдирает их оттуда, рисует маски и адреса на указаные диапазоны обычный php скрипт, который создает конфиг и ребутит демона...
- в инет юзеры попадют через РРТР соединение (почему не РРРоЕ - отдельная грустная тема...) так что учет именно инета ведется поюзерно в обычном (почти) радиус сервере...

Цитата:

metrim:
используй VPN для выхода в инет и для доступа к ресурсам сервера

ткните меня носом в RADIUS (Вы же там будете VPN пользователей авторизовывать или где? хотя щас всех LDAP прет, но это отдельная тема) который может разделять траффик по зонам (угу... обычно для этого netflow юзают, софтварные решения a-la MPD, exppp не предлагать!) и при этом считать оный траффик по адресам из пула - я сниму перед вами шляпу

Цитата:

metrim:
Если будет несколько шлюзов, то имеет смысл сделать несколько DHCP серверов...

зачем? чтоб усложнить себе работу по администрированию?

Вообще, если уж действительно от M$ никуда не уйти - купите себе Traffic Inspector там кажись было разграничение на локальные и не локальные ресурсы...

[FantomIL]

snark
я так понимаю, что в данной схеме главная цель учета МАС-ов это поддержка, а вовсе не авторизация?
Собственно, в этом мы и пытаемся убедить топик-стартера.

[Hasper]

Ух.. куда Вас понесло..
Все это делается не для того что бы.. считать интернет траф.. (благо провайдер считает). У нас у каждого сегмента свои ADSL модемы.. а делается это для того что бы попроще жилось суппорту..

[FantomIL]

Цитата:

Hasper:
а делается это для того что бы попроще жилось суппорту..

Что ты имеешь в виду под этими словами?
Раньше ты писал

Цитата:

Hasper:
Есть база.. юзверей.. на sql хотелось бы.. управлять раздачей ip по маку.. а если вдруг юзверя нету в списке или он забанен вообще не давать ему ip.

Исходя из этой цитаты - ты хочешь построить систему авторизации, основанную на привязке IP к МАС. Мы лишь объясняем тебе, что это ненадежно и неправильно.

А если тебя это просто интересует из каких-то своих тех.целей, то я тебе ответил в посте №6.
Если нужно что-либо более продвинутое чем стагдартный майкрософтовский сервер, то в посте №31 упоминается ISC DHCP сервер.

[metrim]

Цитата:

Сообщение от Hasper

Ух.. куда Вас понесло..
Все это делается не для того что бы.. считать интернет траф.. (благо провайдер считает). У нас у каждого сегмента свои ADSL модемы.. а делается это для того что бы попроще жилось суппорту..

Блин, а вот с самого начала было сказать это не судьба?
Получвется, что не можешь контролировать инетовский трафик. Соответственно присеч несанкционированное пользование неплатильщиками инета, ты можешь только не дав им IP.
Чем осуществляется роутинг от ADSL модемов?
Ежели это железки типа Д-линковских, то тебя ни что не спасёт от того, что пользователь просто пропишет у себя всё статикой (DHCP с проверкой МАК отдыхает) и будет иметь себе преспокойненько инет. Как ты планируешь "объяснять" своим шлюзом, что этого пущай, а этого - нини.
Соответственно ничего ОГРАНИЧИТЬ при такой схеме - ты не можешь. И все коллективно оплачивают траф неплательщика. (иначе - VPN по договорённости с провом соответственно.)

Остаётся не злить народ и не правацировать его хацкерские наклонности и тогда МОЖЕТ БЫТЬ, все будут пользоваться DHCP, а у тебя будет устойчивая связка пользователь-IP для твоих сапортерских целей.

Вот телепатская мысля мелькнцла спросить:
А ФИЗИЧЕСКИ ваша сеть объединена? Т.е. связаны ли все пользователи Ethernet'ом? Ведь сейчас окажется, что обмен трафом между отдельными районами идёт через ADSL модемы....

[KomatoZo]

Цитата:

Hasper:
1)Как заставить DHCP раздовать разные парметры разным группам.. например шлюз.. на интернет в каждом сегменте сети свой ?
2)Вопрос по VPN т.е. получается для входа в сеть нужно будет конектится к серверу и весь трафик от юзверя к юзверю буит шпарить через сервер?
3)А что даст поднимание домена в такой сети?

1) Для того чтобы в каждом сегменте был свой шлюз достаточно просто для каждого scope прописать свою опцию default router или как-то так
2) Для выхода туда, куда ты хочешь запрещать доступ неизбранным нужно будет коннектиться к серверу. Траффик к этим сетям будет шпарить через сервер, остальной - как настроишь.
3) Мммм... Честно говоря, учитывая что у Вас куча админов мелких сеток и все это, как я понимаю, не предприятие - почти ничего не даст. Если я неправильно понял ситуацию, то поправьте. Если желаете, чтобы я более подробно изучил этот вопрос - в ПМ.

Цитата:

metrim:
Если будет несколько шлюзов, то имеет смысл сделать несколько DHCP

Неверно. Один DHCP может обслуживать до чертиков сетей, в том числе даже те, которые не присоединены к нему непосредственно.

Цитата:

snark:
но на ISC DHCP все решается

Возможно. Я ISC не трогал уже несколько лет. Может добавили что-то.
Hasper
Для финиша. Все уже сказано.
1) DHCP выдает адреса бесплатно =)
2) VPN сервер, выдающий адреса по авторизации
3) после него машина, считающая трафик
4) после нее - Ваш ADSL
Кажется, должно работать. Чем именно авторизуется VPN по большому счету все равно, но лучше использовать какой-нибудь радиус. Какой - зависит от того будет домен или нет. Если домен будет, то это MS IAS. Если нет, то проще поднять на *nix.
По поводу домена: если сможете заставить всех юзверей в него войти и терпеть неудобства, связанные с этим, то ставьте, иначе игра не стоит свеч в данном случае, ИМХО.

[snark]

автору топика читать доку до просветления

[Hasper]

Всем спасибо за терпение и советы выяснил для себя многое..
Буду все же двигатся в нарпавлении DHCP с резервированием по MAC с раздачей шлюзов и плюс контролем связки IP-MAC. Задачу по автоматизации частично решил. По поводу VPN он мне видать не нужен.. т.к. провайдер сам организовывает да и фильтра стоят на модемах..