The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"PPPoE на FreeBSD"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"PPPoE на FreeBSD"
Сообщение от Bushi Искать по авторуВ закладки(??) on 05-Июн-04, 15:44  (MSK)
Всем привет!

В домовой сети необходимо поднять концетратор PPPoE на FreeBSD.

В принципе стандартный pppoed и ppp работают нормально.
Недостатки следующие:
1. ppp работает на пользовательском уровне через устройство tun, из-за этого высокая загрузка процессора.
2. хотелось бы сделать привязку нектороых пользователей к mac-адресу, но непонятно, можно ли это сделать в стандартной связке pppoed-ppp

Отсюда вопрос - решит ли проблему использование mpd?

Если да, прошу помочь с настройкой. В интернете натыкаюсь только на примеры с использованием mpd и pptp, но про pppoe практически ничего нету. С моими же настройками в момент соединения ядро паникует (FreeBSD 5.2.1, mpd-3.18).

mpd.conf:

default:
    load pppoe0
pppoe0:
    new -i ng0 pppoe0 pppoe0
    set ipcp ranges 172.18.1.1/32 172.18.1.2/32
    load pppoe_standart
pppoe_standart
    set iface disable on-demand
    set bundle disable multilink
    set link yes acfcomp protocomp
    set link allow pap
    set link mtu 1492
    set iface route default
    set iface idle 0
    set bundle authname MyLogin
    set link no acfcomp protocomp
    set link keep-alive 10 60
    set ipcp yes vjcomp

mpd.links:

pppoe0:
    set link type pppoe
    set pppoe iface fxp0
    set pppoe service "*"
    set pppoe enable incoming
    set pppoe disable originate

После этих сообщений ядро паникует:

[pppoe0:pppoe0] Incoming PPPoE connection request via fxp0: for service "*" from 00:03:47:e1:09:48
[pppoe0] Accepting PPPoE connection

И еще вопрос. Работает ли mpd с pppoe на интерфейсах vlan?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "PPPoE на FreeBSD"
Сообщение от Alexey Искать по авторуВ закладки(??) on 06-Июн-04, 15:29  (MSK)
[pppoe0:pppoe0] Incoming PPPoE connection request via fxp0: for service "*" from 00:03:47:e1:09:48
[pppoe0] Accepting PPPoE connection

то разве паникует?
просто ядро сообщает что карта с таким то маком готова принимать входящие запросы...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "PPPoE на FreeBSD"
Сообщение от Bushi Искать по авторуВ закладки(??) on 06-Июн-04, 15:38  (MSK)
>[pppoe0:pppoe0] Incoming PPPoE connection request via fxp0: for service "*" from 00:03:47:e1:09:48
>
>[pppoe0] Accepting PPPoE connection
>
>то разве паникует?
>просто ядро сообщает что карта с таким то маком готова принимать входящие
>запросы...

Я и не говорю, что это сообщение о панике. После этого сообщения ядро действительно паникует.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "PPPoE на FreeBSD"
Сообщение от Bushi Искать по авторуВ закладки(??) on 07-Июн-04, 10:20  (MSK)
>>[pppoe0:pppoe0] Incoming PPPoE connection request via fxp0: for service "*" from 00:03:47:e1:09:48
>>
>>[pppoe0] Accepting PPPoE connection
>>
>>то разве паникует?
>>просто ядро сообщает что карта с таким то маком готова принимать входящие
>>запросы...
>
>Я и не говорю, что это сообщение о панике. После этого сообщения
>ядро действительно паникует.

Никто не поднимал pppoe на freebsd?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "PPPoE на FreeBSD"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 07-Июн-04, 10:29  (MSK)
Вообще то в mpd было написано что пока не поддаерживается сервер pppoed на mpd.
А зачем привязывать клиента к MAC пароля не хватает? Можно управляемый свич
  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "PPPoE на FreeBSD"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 07-Июн-04, 11:11  (MSK)
Вот черт помню читал что mpd как PPPOE сервер не работает, и не найду где, неужто ошибся
  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "PPPoE на FreeBSD"
Сообщение от Bushi Искать по авторуВ закладки(??) on 07-Июн-04, 11:17  (MSK)
>Вообще то в mpd было написано что пока не поддаерживается сервер pppoed
>на mpd.
Не нашел такой информации. А как связан mpd с даемоном pppoed?
>А зачем привязывать клиента к MAC пароля не хватает? Можно управляемый свич

Чтобы ограничить количество хостов, с которых можно использовать данную учетную запись. Свичи и так управляемые используются, но как это поможет реализации pppoe? Только группировать сети в vlans и использовать security mac на портах.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "PPPoE на FreeBSD"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 07-Июн-04, 11:24  (MSK)
mpd с pppoed никак.
был вопрос mpd как сервер pppoe
  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "PPPoE на FreeBSD"
Сообщение от A Clockwork Orange Искать по авторуВ закладки on 07-Июн-04, 11:36  (MSK)
Прошу прощения с 3.16
Implemented PPPoE server functionality
  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "PPPoE на FreeBSD"
Сообщение от Bushi Искать по авторуВ закладки(??) on 11-Июн-04, 19:21  (MSK)
Спасибо за ответы, будем разбираться. Хотя можно и плюнуть на привязку. Пусть пользователи следят за своими паролями сами (не делают же dial-up провайдеры привязку логинов к номерам телефонов :)

Но вот еще проблема. Сервис PPPoE должен иметь тег имени, по имени тэга клиент выбирает имя. Но что мешает злоумышленику поставить PPPoE-сервер с таким же именем в той же сети. Я попробовал поднять на двух машинах одновременно pppoed (freebsd) с одним именем, и клиент windows (raspppoe) мог присоединиться к серверу злоумышленника (обычно присоединение идет к серверу, у которого повыше быстродействие и он успевает быстрее запустить ppp). Таким образом злоумышленник может быстро собрать чужие пароли?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "PPPoE на FreeBSD"
Сообщение от Bushi Искать по авторуВ закладки(??) on 28-Июн-04, 11:04  (MSK)
> Таким образом злоумышленник может быстро собрать чужие пароли?

После установки пропатченного exppp получил необходимые возможности:
-получение MAC-адреса через атрибут Calling-Station-Id и ограничение логина с определенных MAC-адресов (через freeradius)
-задание лимитов трафика на сессию (теперь клиент никогда не уйдет в "минус")
-теперь ppp кидает сообщения Alive с нужной переодичностью
-можно заданавать три класса трафика (нетарифицируемый, локальный тарифицируемый и просто тарифицируемый)

Все пользователи со всеми необходимыми атрибутами (пароли, хеши, Framed-IP-Address, и т. д.) теперь у меня хранятся в OpenLDAP, в MySQL только статистика. Просто сказка.

Но вот проблема - как все таки быть с pppoe серверами-двойниками? Пока таких нету, но вдруг...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "PPPoE на FreeBSD"
Сообщение от Nikolay Искать по авторуВ закладки(??) on 28-Июн-04, 13:43  (MSK)
>> Таким образом злоумышленник может быстро собрать чужие пароли?

>Но вот проблема - как все таки быть с pppoe серверами-двойниками? Пока
>таких нету, но вдруг...
пользовать chap.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "PPPoE на FreeBSD"
Сообщение от Bushi Искать по авторуВ закладки(??) on 28-Июн-04, 14:51  (MSK)
> пользовать chap.

Это само собой. Но по умолчанию на клиентах с windwos стоит параметр политики безопасности "небезопаснтый пароль", то есть если сервер предложит chap - то windows согласится, но и на pap тоже согласится, всез пользователей заставить включить "безопастный пароль" нереально.


  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру