https://opennet.ru/openforum/vsluhforumID6/20313.html Здравствуйте уважаемые гуру cisco.<br><br>Я настроил с одним провайдером канал PPPoE. Спустя неделю, они обнаруживают, что другие их клиенты пытаются авторизоваться на нашем маршрутизаторе, в док-во чего приводят лог:<br><br>=================<br>23:34:07.960724 00:16:47:9a:45:38 &gt; 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 78: PPPoE PADS [Service-Name] [AC-Cookie 0x36A34744D55F9F09CC51C77486DB986C] [AC-System-Error "AC: Cannot open PPPoE session."]<br>23:34:07.961467 00:16:47:9a:45:38 &gt; 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 78: PPPoE PADS [Service-Name] [AC-Cookie 0x36A34744D55F9F09CC51C77486DB986C] [AC-System-Error "AC: Cannot open PPPoE session."]<br>23:34:13.195092 00:16:47:9a:45:38 &gt; 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 98: PPPoE PADS [Service-Name] [Host-Uniq 0x00000001] [AC-Name "2811-cr1"] [AC-Cookie 0x6AE3CD656CBB35958512B6E6C14813C5][&#124;pppoe]<br>23:34:14.936473 00:16:47:9a:45:38 &gt; 15:74:49:4d:f9:2c, ethertype PPPoE D (0x8863), length 102: PPPoE PADS [Host-Uniq 0x001CF0 https://opennet.ru/openforum/vsluhforumID6/20313.html#7 Tue, 12 Jan 2010 09:16:42 GMT &gt;&gt;Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению <br>&gt;&gt;ну допустим отдельный влан с pppoe наверняка скопом в один все <br>&gt;&gt;забросили, то что отключить легче чем разобраться - 100% :)) <br>&gt;<br>&gt;Я щас посмотрел повнимательнее, оказывается они к нам в последнюю милю прокидывают <br>&gt;транк с нативным VLAN для нас, всяки bpdu валятся, аж у <br>&gt;меня спанингтри их порт гасил, во дятлы! <br><br>Это типичный пример хомяка(домового провайдера)<br><br>&gt;Куда вообще их безопасники мотрят, если они у них вообще есть. <br><br>восновном безопасников на сети нет:) в редких ISP они присутствуют<br><br>а вообще в некоторых провах включение автоматизировано, нажал кнопку и всё заработало у определённого клиента на определённой железке. но енто редкость. <br> https://opennet.ru/openforum/vsluhforumID6/20313.html#6 Tue, 12 Jan 2010 08:18:20 GMT &gt;Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению <br>&gt;ну допустим отдельный влан с pppoe наверняка скопом в один все <br>&gt;забросили, то что отключить легче чем разобраться - 100% :)) <br><br>Я щас посмотрел повнимательнее, оказывается они к нам в последнюю милю прокидывают транк с нативным VLAN для нас, всяки bpdu валятся, аж у меня спанингтри их порт гасил, во дятлы!<br>Куда вообще их безопасники мотрят, если они у них вообще есть.<br> https://opennet.ru/openforum/vsluhforumID6/20313.html#5 Tue, 12 Jan 2010 07:27:08 GMT &gt;&gt;1.оператору пофигу, он не отвечает за пароли клиента. <br>&gt;&gt;2.гораздо проще согласно договору заблокировать вам порт(читаем приложения) <br>&gt;<br>&gt;Вы, видимо, тоже представитель какого-нить провайдера. :) <br><br>Провайдеры ленивые - исключение ну 10%, вместо того что-то каждому юзерскому включению ну допустим отдельный влан с pppoe наверняка скопом в один все забросили, то что отключить легче чем разобраться - 100% :))<br> https://opennet.ru/openforum/vsluhforumID6/20313.html#4 Tue, 12 Jan 2010 06:01:00 GMT &gt;1.оператору пофигу, он не отвечает за пароли клиента. <br>&gt;2.гораздо проще согласно договору заблокировать вам порт(читаем приложения) <br><br>Вы, видимо, тоже представитель какого-нить провайдера. :)<br> https://opennet.ru/openforum/vsluhforumID6/20313.html#3 Mon, 11 Jan 2010 18:31:29 GMT &gt;&gt;вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это <br>&gt;&gt;у них умеет), но правильно чтобы вы настроили как надо. <br>&gt;<br>&gt;1. Неужели это не дыра в их безопасности? <br>&gt;Ведь любой из их клиентов может прикинуться ppp-сервером и перехватывать на себя <br>&gt;авторизацию клиентов. <br>&gt;2. Разве разбираться с каждым клиентом и просить удалить созданные автоматически строчки <br>&gt;в их конфигах проще, чем настроить у себя фильтрацию? <br><br>1.оператору пофигу, он не отвечает за пароли клиента.<br>2.гораздо проще согласно договору заблокировать вам порт(читаем приложения)<br><br> https://opennet.ru/openforum/vsluhforumID6/20313.html#2 Mon, 11 Jan 2010 15:09:14 GMT &gt;вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это <br>&gt;у них умеет), но правильно чтобы вы настроили как надо. <br><br>1. Неужели это не дыра в их безопасности?<br>Ведь любой из их клиентов может прикинуться ppp-сервером и перехватывать на себя авторизацию клиентов. <br>2. Разве разбираться с каждым клиентом и просить удалить созданные автоматически строчки в их конфигах проще, чем настроить у себя фильтрацию?<br> https://opennet.ru/openforum/vsluhforumID6/20313.html#1 Mon, 11 Jan 2010 14:51:18 GMT &gt;[оверквотинг удален]<br>&gt;route-map internet-vlan12 permit 10 <br>&gt; match ip address nat-fe-0-0.20-in <br>&gt;! <br>&gt;================ <br>&gt;Я прибил строчку bba-group pppoe global которая была создана автоматически при конфигурировании <br>&gt;pppoe и их клиенты перестали пытаться авторизоваться у нас. <br>&gt;Внимание вопрос: <br>&gt;<br>&gt;нормальна ли такая ситуация вообще, и мог бы проавайдер сам у себя <br>&gt;выполнить какие-либо настройки, чтобы её не допустить? <br><br>вообщето могбы(мак фильтр на коммутаторе с запретом типа пакета если коммутатор это у них умеет), но правильно чтобы вы настроили как надо.<br>