+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Горячие точки MT и маршрутизаторы Rouge

Горячие точки MT и маршрутизаторы Rouge, RouterOS

Reefbum

Guest

27.01.2007 01:51:00

MT ver 2.9.39 У нас проводная сеть примерно из 500 квартир в жилом комплексе. Мы используем центрально расположенный 2.9.39 Lev6 MT x86 и freeradius сервер, расположенный в офисе жилого комплекса, для работы точки доступа (hotspot). От него расходятся коммутаторы, и в каждой квартире есть проводное cat5 соединение. Некоторые клиенты начали использовать свои собственные роутеры, обычно они подключают беспроводной linksys, d-link или роутер другого бренда к этому соединению, чтобы поделиться подключением между своими компьютерами и другими устройствами. То, что они делятся подключением со своими устройствами, нас устраивает, НО проблема возникает, когда клиент устанавливает свой роутер. Клиент устанавливает linksys (или роутер другого бренда) на cat5 соединение от MT Linksys роутера (WAN порт). Клиент подключается к linksys роутеру (LAN/WLAN порт). Linksys роутер раздаёт IP-адреса клиенту. Клиент входит в интернет, используя имя пользователя и пароль. Проблема в том, что все остальные пользователи и/или компьютеры/устройства, подключающиеся к linksys роутеру после первого клиента, теперь могут получить бесплатный интернет, так как их не просят ввести данные для входа. Многие "молодые" жильцы это обнаружили, и теперь один человек регистрируется на услугу, входит в систему, оставляя своё соединение открытым, чтобы все его друзья в других квартирах могли получить бесплатный интернет, подключаясь к его беспроводному сигналу от его роутера. Даже наши управляемые коммутаторы не могут этого остановить. Мы пытались установить собственное оборудование у некоторых клиентов в проблемных зонах, но они просто вытаскивают его, а свой роутер клонирует MAC и IP с нашего оборудования. Некоторые более сообразительные даже используют клонирование MAC и IP, чтобы использовать тот же MAC и IP, что и наш Hotspot Gateway, чтобы им даже не приходилось входить в систему с учётом. Мы настроили DHCP сервер MT на уведомление нас, если обнаружены другие DHCP серверы в сети, но даже это 99% времени не видит роутеры, которые там находятся. Мы пытались блокировать MAC-адреса, которые мы находим как роутеры в привязке IP Hotspot, добавляя MAC и выбирая тип "заблокировано". Однако, как уже говорилось, 99% этих роутеров даже не видят MT, чтобы уведомить нас о наличии устройства. Я поискал здесь и нашёл несколько сообщений о людях, использующих клонирование MAC и IP, чтобы взломать точку доступа на беспроводной AP, но наша установка не использует беспроводное соединение. Наше развёртывание — проводное. Кто-нибудь знает способ, как мы можем взять это под контроль, или все пользователи MT Hotspot просто принимают это как потерю дохода?

jagowan

Guest

21.08.2007 14:14:00

Потому что у них есть соединения для совместного использования интернета от роутера (nat), поэтому все подключенные к этому роутеру имеют один IP и MAC-адрес на своей стороне WAN, который аутентифицируется с сервером HOTSPOT. Мы пытались устанавливать собственное оборудование на стороне клиента в некоторых из этих проблемных зонах, но они просто выдергивают его и клонируют MAC и IP с нашего оборудования. Думаю, они не могут получить IP-адрес с нашего оборудования, а только с их роутера. Были случаи, когда более сообразительные пользователи использовали клонирование MAC и IP, чтобы использовать тот же MAC и IP, что и наш Hotspot Gateway, чтобы вообще не проходить вход в аккаунт. Уверен, что это не о клонировании MAC или IP, а о возможности совместного использования интернета с их РОУТЕРА. Мы настроили MT DHCP-сервер для оповещения, если на сети обнаруживаются другие DHCP-серверы, но даже это 99% времени не видит роутеры. Думаю, их DHCP-сервер установлен не на стороне WAN (на разных интерфейсах), поэтому оповещение DHCP не может видеть DHCP-серверы за их роутером. Мы пытались блокировать MAC-адреса, которые находим как роутеры, в Hotspot IP Binding, добавляя MAC и выбирая тип как заблокированный. Однако, как уже говорилось, 99% этих роутеров даже не видят MT, чтобы оповестить нас о наличии устройства. Возможно, эта опция может уменьшить проблему, но вы не можете точно знать, какой роутер "непослушный" или "реальные" отдельные клиенты. Я поискал здесь и нашел несколько постов о людях, использующих клонирование MAC и IP для взлома hotspot на беспроводном AP, но наша система не использует беспроводное подключение. Наша инфраструктура подключена кабелем. Думаю, беспроводная или кабельная топология столкнется с той же проблемой в этих условиях. Кто-нибудь знает способ, чтобы мы могли взять это под контроль, или все, кто использует MT hotspot, просто принимают это как потерю дохода? Думаю, это не о MT, а о влиянии технологии совместного использования интернета. Нелегко решить эту проблему, с которой вы сталкиваетесь из-за технологии совместного использования интернета. Все, кто имеет возможность делиться интернет-соединением с роутером (nat), могут это сделать. У всех есть роутер и хаб, они могут делиться одним пользовательским ID, который хотят. Это возможно, потому что аутентификация Hotspot видит только MAC-адрес роутера (беспроводный AP-роутер или другое устройство с возможностью подключения к сети), а не клиентов за этим роутером. Возможно, можно настроить время простоя и время ожидания, чтобы уменьшить это. Это всего лишь мое мнение, оно может быть неверным, и я извиняюсь за мою ошибку. Rgrds

whyaskgh Guest	#3 0 21.08.2007 21:17:00 Ну и как тут применяются таймауты и keepalive, чтобы это сделать? Спасибо.

jagowan

Guest

22.08.2007 04:25:00

idle-timeout (время | none; по умолчанию: none) — время простоя (максимальный период бездействия) для авторизованных клиентов. Используется для обнаружения, что клиент не использует внешние сети (например, Интернет), то есть нет ТРАФИКА, поступающего от клиента и проходящего через роутер. По истечении тайм-аута пользователь будет выключен, удалён из списка хостов, адрес, используемый пользователем, будет освобождён, а учтённое время сессии уменьшится на это значение.

keepalive-timeout (время | none; по умолчанию: 00:02:00) — время ожидания активности для авторизованных клиентов. Используется для определения, жив ли компьютер клиента и доступен ли он. Если проверка не удастся в течение этого периода, пользователь будет выключен, удалён из списка хостов, адрес, используемый пользователем, будет освобождён, и учтённое время сессии уменьшится на это значение, что, возможно, уменьшит количество авторизованных клиентов, которые неправильно завершают аутентификацию в точке доступа.

UniKyrn

Guest

22.08.2007 05:01:00

Просто из любопытства, когда вы находите один из этих роутеров, предоставляющих бесплатный доступ к вашей службе, вы оставляете кабель cat5 подключенным к этой квартире или отключаете этого клиента и ждете, пока они вам позвонят?

cieplik206 Guest	#6 0 22.08.2007 08:40:00 Есть возможность: если ты изменишь TTL до 1 для пакетов, выходящих с интерфейса LAN твоего hotspot'а, это должно остановить работу роутеров. Как это сделать, можно найти на форуме.

jagowan Guest	#7 0 22.08.2007 12:50:00 Хм… изменить TTL = 1, никогда раньше не пробовал эту опцию, но скоро попробую. Пока что, пока изучаю этот форум, нашел интересную тему с похожими проблемами. http://forum.mikrotik.com/t/isp-doesnt-allow-user-to-share-their-adsl-line/9688/1 rgrds

jagowan

Guest

22.08.2007 13:54:00

Проверил, изменил ttl = 1, похоже, это предотвращает беспроводному роутеру делиться интернет-соединениями. Иллюстрация такая: Интернет <----> MT Hotspot <----->AP <----> MT беспроводной клиент <—> мой ноутбук на MT Hotspot. Применил правило: /ip firewall mangle add chain=postrouting out-interface=ether2-hotspot action=change-ttl new-ttl=set:1 AP использует “corega” в режиме моста. На MT Wireless применил маскираду всего трафика, выходящего через wlan1. Объясняю: с моего ноутбука не перенаправляется на страницу входа и нет доступа в интернет, если ttl = 1 включен. С моего ноутбука можно перенаправляться на страницу входа и есть доступ в интернет, если ttl = 1 отключен. Может быть, влияет или нет, пока не знаю. Но работает же! Rgrds

bokad Guest	#9 0 28.08.2007 22:25:00 Есть несколько NAT-роутеров, которые не уменьшают TTL, поэтому это не сработает для всех. Что я делаю, так это устанавливаю ограничения пропускной способности и трафика для аккаунта. Таким образом, если они будут делиться им, то все будут вынуждены делить меньшее количество пропускной способности и объём скачиваний. Если установить лимит, скажем, 10 ГБ скачанных данных в неделю (или что-то разумное для вашей сети), то когда какой-нибудь парень будет делиться подключением со всеми своими соседями, этот лимит быстро будет достигнут, и он не сможет войти в систему. Можно также попробовать ограничить максимальное количество одновременных подключений.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры