hapi píše:Každej má doma DHCP, to je takový to co přiděluji IP adresy víme? klient nepotřebuje nic. Klientská sada s DHCP se o něj postará. Doma má klioš wifinu s WPA2 kde má 8 znaků jako klíč. Přijde domu s čimkoliv a připojí se do ethernetu na wifině nebo přes wifi s klíčem a hotovo, funguje mu net. Jediný co si musí pamatovat je klíč do wifiny a jak se ta wifina menuje
s ostatníma cípovinama tě zákazníci jak se u vás říká pošlou do p*če.
asi by sme si mali ujasnit pojmu a dojmy, o com sa vlastne bavime. nasiel som si tvoju webku a ako vidim tak asi robis WIFIny na vidieku, ale ja cely cas zijem v tom, ze robis FTTB, ked tu spominas manazovane switche a vlany atd. a ked riesis, ze ci je PPPoE vykonne alebo nie (pri wifi je jedno ci pppoe zvladne 150mbit, ked ho nezvladne samotna wifina).
ked hovorime o priopjeni zakaznikov v rodinnych domoch na vidieku, cez wifi (v nasom pripade zakaznika pripajame cez UBNT M5, airmax), tak nas zakaznik dostane zariadenie M5 na strechu, a to zariadenie sluzi ako Router s NATkom. toto zariadenie sa prihlasuje do mojej siete cez pppoe (na wlan rozhrani nema pevnu IP, ale pppoe meno+heslo). toto radio sa moze nasmerovat na ktorekolvek z nasich APciek a ak ma spravne meno a heslo, dostane sa dnu do siete. (casom to skombinujeme s WPA2 cez radius, tj to iste heslo pouzije user ako svoj vlastny WAP2 kluc ktory zada do radia a bude cela prevadzka sifrovana - opat tento kluc mu bude platit na kazde jedno APcko a zaroven kazdy user bude mat osobitny WPA2 kluc). naviac ak ma u nas v radiuse nastavenu staticku verejnu IP adresu, jeho wifi zariadenie po prihlaseni do nasej siete (napr po restarte, vypadku pridu, atd) stale dostane tuto jednu IP, nech uz by sa prihlasil na ktorekolvek AP a nech by nasledne siel cez ktorykolvek router. wifina na streche robi zaroven NATko a ma v sebe DHCP server fungujuci na LAN strane, teda vytvara uzivatelovi domacu DHCP siet, do ktorej si pripoji kolko pocitacov chce. na ziadnom pocitaci uz samozrejme PPPoE nenastavuje. ak chce mat domace wifi AP, pripoji si ho do siete (najlepsie ked to je len jednoduchy bridge, nie router), a aj uzivatelovym wifi zariadeniam, notebooku, androidu, atd, prideli wifirouter na streche IPcku cez dhcp.
hapi píše:zbytek od tebe je normální paranoja. To je jako když ti vemu mobil, poserfuju si na netu a pak to bude na tebe. To samí se může stát i u DSLka když někdo spřehází kabely atd.. tak jako tak se to předá policii protože někdo proved zásah do veřejný sítě. Jednoznačná identifikace pro nás je IP adresa. Tobě někdo nemůže sebrat loginy? asi daleko snadnějc než v mém případě že? U mě je zákazník dán místem kde končí kabel, u tebe defakto kdekoliv po síti. Super věc tohle to
ked budes riesit doziadania z policie castejsie a trochu pochopis ako ten system za tym funguje, tak to budes vidiet inac. ja na zaklade skusenosti chcem urobit maximum preto, aby som vedel presne povedat, ktora verejna IPcka bola v ktorom case ktory uzivatel na ktorej fyzickej adrese, a hlavne aby sa to nedalo ojebabrat (pre ochranu uzivatelov aj ochranu providera). ak dobre chapem ako mas spravenu wifi siet, tak keby som bol tvoj zakanzik, a chcel by som dostat suseda ktory je tiez tvoj zakaznik do lochu (lebo ho nemam rad), tak by som najprv vliezol do svojej wifiny (sposob sa vzdy najde) a pozrel si WPA kluc, potom by som s tymto klucom chvilu sniffoval siet a nasiel susedovu IPcku (pripadne aj MAC), v case ked nie sused na nete by som sa pripojil do siete so susedovou ip+mac+wpa2, poslal zopar vyhraznych mailov alebo spravil nejake ine nevhodne veci, odhlasil sa, zlikvidoval dokazy. ak by to bolo dost vazne, policia posle providerovi doziadanie kto mal v tom case tu konkretnu IP adresu - a ty im nic netusiac udas chudaka suseda. sused tvrdi ze nic neurobil, vsetko vsak ukazuje na neho. mozno dojde k prevereniu bezpecnosti siete - ty mozno v dobrej viere overis IP+mac ze vsetko sedelo, naozaj v tom case bola tato mac a tato ip pridelena tomu to klientovi, a sused je namydleny...
kedze ako provider sme tu mali uz doziadania ohladom vyhrazania, obtazovania, kradeze penazi z uctov, detske porno, atd, nemozem byt taky nezodpovedny ze siet nijak rozumne nezabezpecim. pppoe toto celkom dobre riesi. musel by som sa okrem vsetkeho uvedeneho dostat aj dostat k heslu ktore je zapisane v susedovom zariadeni a ktore sietou ide kryptovane, neda sa odsniffovat na rozdiel od ip+mac. bez toho by som sa nepohol. a aj ak by som ho ziskal, po naklonovani zariadenia a vykonanom utoku by po mne ostal v logu providera zaznam aspon o tom, ze sa zariadenie pripojilo a odpojilo, mohlo by tam byt aj to ze par hodin (prave v inkriminovanom cas) bol zrazu pocas pppoe spojenia iny signal, slabsi, silnejsi, atd. to ie je o paranoji, ale o zodpovednosti. to je pohlad ktory ti bud casom pride, alebo nepride. to uz kazdy ma inak nadeleno.
fyzicka topologia je nieco strasne zamotane, su to cisco L3 switche poprepajane optikou a radiami a prenajatymi okruhmi a tunelmi a cimkolvek bolo treba a vsade kde sa dalo... kde mozeme s nizkymi nakladmi prepojit vytvorit kruh pre redundanciu, tak ho urobime. nad tym je dvihnutych okolo 300-400 vlan, par stovak su uzivatelske (LAN bytovky, 5g APcka, ..) ktore privadzaju PPPoE sessny z okrajovych casti siete (z uzivatelksych VLAN) k backbone... medzi uzivatelskou VLANou a backbone sa vacsina uzivatelov dostane len cez pppoe koncentrator, jedine velki uzivatelia (so stovkami pocitacov) idu mimo koncentratorov, a rovno sa routuju do backbone. dalej je tu niekolko desiatok VLAN ktore sluzia ako backbone medzi ciscami, ktorymi smerujeme uz oshapovany a oNATovany traffic od cisco switchov na 4 medzimestske prenajate okruhy a 3 nasich internet providerov... niekolko desiatok vlan su prepoje odniekial niekam (z bodu A do bodu B alebo neiktore su multibodove), casto jedna takato VLANa ide viacerymi trasami kvoli redundancii a je nad nou spanning tree. este mame nejake VLANy na manazment siete, a na prenos IPTV... je to cele zverstvo. a najvacsi pruser je ten, ze je to takto stabilnejsie a lepsie a vykonnejsie a robustnejsie, ako ked sme to robili volakedy inac... statickym routingom a DHCPckom a tak podobne 