# Rozmyślania o pppoe

## timor

Witam.

Ostatnio kilku userów w mojej sieci zaczęło robić przekręty ze zmianami mac'ów - podszywanie się pod innych userów, robienie bydła i udawanie greka...

Sieć to typowy nat (z jedna maszyną jako router i dwoma na usługi) i nie chciałem jakoś szczególnie utrudniać życia userom ale chyba będę zmuszony. Sprzęt, który mam nie pozwala na powiązanie typu port-mac, więc muszę to rozwiązać softwarowo. Czy jest w_ogóle jakiś skuteczny sposób śledzenia cwaniaków zmieniających mac'i? Szukanie flip-flop'ów się średnio opłaca ;/

Jednym z rozwiązań, które mi się nasunęło to wykorzystanie pppoe do autoryzacji w sieci. Po zastosowaniu pppoe zmiany mac'ów nie będą miały znaczenia. Ciekaw jednak jestem o ile może się zmienić obciążenie sieci (mam ok 800 maszyn w niej ~ w tym ok 500 w godzinach szczytu)? Na pewno enkapsulacja trochę CPU będzie zabierać, szczególnie gdybym chciał aby tunele pppoe były szyfrowane.

Ciekaw też jestem jak w przypadku pppoe można zapobiegać samodzielnej konfiguracji routerów przez userów i tworzenia podsieci?

Byłbym wdzięczny gdyby kilka osób mających doświadczenie z pppoe pomogło mi zdecydować czy to dobre rozwiązanie, ewentualnie nawróciło mnie na słuszną drogę  :Wink: 

--- Edytowane przez moderatora

Ort. s/wogóle/w ogóle/

Kurt Steiner

----------

## Kurt Steiner

ZTCW, na niektórych przełącznikach da się przypisać MACa do portu.  :Smile:  Zobacz może i u Ciebie da się to zrobić - koleś zmieni MACa, to straci sieć.  :Twisted Evil: 

----------

## timor

 *timor wrote:*   

> ... Sprzęt, który mam nie pozwala na powiązanie typu port-mac, więc muszę to rozwiązać softwarowo...

 Czytasz wybiórczo - widzisz literówki ale nie czytasz treści  :Very Happy: 

Switche, które mam to niezarządzalne d-linki (głównie des-1024d lub g), nie ma bata żeby to ustawić na nich ;/

----------

## Kurt Steiner

 *timor wrote:*   

>  *timor wrote:*   ... Sprzęt, który mam nie pozwala na powiązanie typu port-mac, więc muszę to rozwiązać softwarowo... Czytasz wybiórczo - widzisz literówki ale nie czytasz treści 
> 
> Switche, które mam to niezarządzalne d-linki (głównie des-1024d lub g), nie ma bata żeby to ustawić na nich ;/

 Ehh... moja wina, przyznaję i przepraszam.  :Smile: 

----------

## Yatmai

Chętnie poczytam o wydajności rozwiązania, bo sam myślę nad czymś takim, jednak chciałbym jeszcze zwrócić uwagę na inny problem - masz 800 kompów w sieci, przestawienie tego na PPPoE może być mooocno kłopotliwe (uwierzmy w bezkresną głupotę ludzi  :Wink:  )

----------

## dylon

 *Yatmai wrote:*   

> [...]PPPoE może być mooocno kłopotliwe [...]

 

Ludzie sa tak odporni na proste rozwiazania, ze w zasadzie nie obejdzie sie bez idoitoodpornego konfiguratora na cd (koniecznie z autorun) gdzie user wpisuje tylko login i haslo (koniecznie tez dwa razy zeby przy literowce nie upieral sie glupio ze zrobil wszystko dokladnie jak trzeba  :Very Happy: 

Co do wydajnosci, to na necie kraza opienie ze 500 tuneli spokojnie obsluzy jakis P4. 

Trzeba tylko pamietac ze:

1. pppoe musi "pracowac w trybie kernela" - nie wiem jak to inaczej nazwac  :Smile: 

2. Im wieksza predkosc dla userow, tym obciazenie maszyny wzrasta

3. Dla swietego spokoju warto koncentrator postawic na mikrotiku.

4. warto podzielic siec - mozna dac slabsze kompy na koncentratory + zmniejszy sie ilosc syfu latajacego w sieci + debile utrudniajacy zycie innym mniej namieszaja.

----------

## Yatmai

A te koncentratory miały by polegać na tej zasadzie, że na takiego kompa przypadało by powiedzmy 100 klientów którzy łączyli by się z nim przez PPPoE a dalej jakiś tunelik (or sth) na główny router/świat czy jakoś inaczej ?  :Smile: 

----------

## dylon

A po co sobie komplikowac zycie tunelami? Zwykly routing wystarczy. qos tez na nich i po sprawie.

W takim wypadku glowny router pracuje jako... router i tyle (no moze jeszcze np. dns) i wtedy nie musisz kupowac wypasionego kompa (quagga dziala ladnie tez na strych kompach)

[EDIT]

Dzisiejszy cytat z grupy news cyberbajt.siecibezprzewodowe:

[...]Mam terminator pppoe + htb hashe na jednej maszynie i nie widze 

problemow. IMB x220 2GB ramu ECC + 1,33 Tualatin. W szczycie trzyma 400 

sesji, obciazenie proca 25-30%.[...]

[/EDIT]

----------

## Yatmai

To mniej więcej coś takiego rozważamy w firmie. Tylko jak to wykonać po stronie klienta. Wypalić kilka tysięcy płytek (tych idiotoodpornych  :Wink:  ) będzie ciężko, podjechać osobiście to roku braknie...

----------

## Kurt Steiner

 *Yatmai wrote:*   

> To mniej więcej coś takiego rozważamy w firmie. Tylko jak to wykonać po stronie klienta. Wypalić kilka tysięcy płytek (tych idiotoodpornych  ) będzie ciężko, podjechać osobiście to roku braknie...

 Ja bym jednak radził unikać jakichkolwiek manewrów po stronie klientów. Zawsze się coś komuś zepsuje i będziecie mieć jedno wielkie urwanie głowy.  :Very Happy: 

----------

## timor

 *dylon wrote:*   

> 3. Dla swietego spokoju warto koncentrator postawic na mikrotiku.
> 
> 4. warto podzielic siec - mozna dac slabsze kompy na koncentratory + zmniejszy sie ilosc syfu latajacego w sieci + debile utrudniajacy zycie innym mniej namieszaja.

 Widzę, że dyskusja chwyciła  :Smile: 

Proszę wyjaśnij mi o co chodzi Ci z tymi koncentratorami i czym są mikrotiki - nie spotkałem się wcześniej z takim pojęciem.

Jeśli chodzi o rozdrabnianie sieci na jakieś słabsze komputerki itp to nie da się, nie mam takich maszyn które mógłbym wykorzystać.

Co do ruchu, który trzeba obsłużyć to przez jakieś 60% czasu w ciągu dnia ruch kształtuje się w okolicy ~ 0,5Gbit down/0,5gbit up.

Maszyna, która to ma obsłużyć to HP Proliant z CPU Intel(R) Xeon(TM) CPU 3.00GHz HT, oraz 512MB RAM. Na chwilę obecną czekam na drugie takie CPU i więcej RAM'u ale jest problem, żeby dostać ten sprzęt bo CPU jest na mPGA a pamięci to DDR1 333Mhz - i nie mogę tego kupić na allegro ;/

Co do userów to mam gotową bazę, ustawię odpowiednie przekierowania na squidzie i każdy dostanie tam swój login i hasło - przynajmniej na początku. Do tego kilka linków do wiki jak to ustawić i będzie spokój.

----------

## Bonk_pb

Masz radiowa siec, czy sam kabel?

Z pppoe pamietaj, ze im blizej koncentratora klient tym lepiej. U klientow jako lopatologiczny konfigurator mozesz uzyc programu kdlink (chyba nazwy nie przekrecilem).  Rozwiazanie z kilkoma koncentratorami i jednym/dwoma radiusami jest znacznie lepsze niz jeden centralny koncentrator. Szyfrowanie polaczenia - zapomnij, skup sie tylko na szyforwaniu inicjacji sesji.

----------

## timor

Głownie kabel (wifi jak do tej pory ustawiane jako access point'y), sieć obejmuje jeden budynek z masą kompów.

Szyfrowanie byłoby właśnie przydatne w tych sieciach wifi tak, żeby ewentualne próby nieuprawionych podłączeń były wycinane w zarodku.

----------

## Bonk_pb

 *timor wrote:*   

> Głownie kabel (wifi jak do tej pory ustawiane jako access point'y), sieć obejmuje jeden budynek z masą kompów.

 

Hmm... Przemysl dwa razy mozliwosc powolnej (lub szybkiej jak masz mozliwosci finansowe) migracji na switche zarzadzalne (MAC-based port authentication + RADIUS) nawet na tanich zarzadzalnych switach (uwazaj zeby sie w dot1x nie wpakowac). Moze to sie okazac tansze o wiele niz supportowanie klientow z pppoe. Zlota zasad im mniej ingerujesz w komputer klienta tym mniej masz problemow.

IMHO pppoe sie sprawdza bardzo dobrze przy radiowce, jak jestes szczesliwcem i masz kabel to lepsze sa zarzadzalne przelaczniki.

----------

## timor

Wymiana kilkudziesięciu switchy nie bardzo mi się uśmiecha ;/

----------

## Bonk_pb

 *timor wrote:*   

> Wymiana kilkudziesięciu switchy nie bardzo mi się uśmiecha ;/

 

Kilkadziesiat to nie kilkaset, wiec nie jest zle powiedzialby optymista   :Very Happy: 

Serio mowiac, to trzeba usiasc i policzyc, naprawde to sie moze okazac tansze niz support userow (zapomnieli hasla, zgubili program, ich windows nie dziala, kupili router ktory nie dziala z pppoe lub ma zle zaimplementowane pppoe, problemy z migracja, itp). Pomijam fakt, ze w wielu przypadkach switche daja wieksza kontrole (zalezy oczywiscie jakie switche).

----------

## bartmarian

przeszedłem migrację 200szt, co do MT to moim zdaniem bardzo miłe rozwiązanie,

podzieliłem sieć na kilkanaście podsieci (naście MT pppoe-server + radius),

w ten sposób przy okazji oszczędzam radio, nie lubię nat-u, IP trafi na

blokowaną listę(y) i tyle samo zabawy co z userem co zgubił

hasło pppoe (a właściwie więcej), odpadło mi utrzymywanie aktualnej bazy MAC-ów,

ktoś zmieni sprzęt i głowy mi nie zawraca (czyli wszędzie dobrze, gdzie nas nie ma  :Wink:  ),

jak nie zmienisz switchy na zarządzalne to w sumie musisz(?) użyć pppoe...

aha, migracja trwała 3 m-ce, ale za specjalnie się nie przykładałem do tego....

konta ludzi konfiguruję z LMS'a (+f-ry, niebawem płatności masowe) i to chyba tyle...

----------

## Yatmai

A tak propos radia, część klientów ma u nas karty wifi, część access pointy, niektórzy jeszcze jakieś przedwojenne planety 1966, a część jeszcze routery za APkami... Da się to okiełznać przy takim bałaganie ?

Karty można pewnie przełączyć na pppoe, ale zastanawia mnie taki AP, czy to on ma się wdzwaniać, czy bezpośrednio komputer za nim, a AP ma tylko wysyłać sygnał radiowy ?  :Smile: 

----------

## timor

 *Yatmai wrote:*   

> A tak propos radia, część klientów ma u nas karty wifi, część access pointy, niektórzy jeszcze jakieś przedwojenne planety 1966, a część jeszcze routery za APkami... Da się to okiełznać przy takim bałaganie ?
> 
> Karty można pewnie przełączyć na pppoe, ale zastanawia mnie taki AP, czy to on ma się wdzwaniać, czy bezpośrednio komputer za nim, a AP ma tylko wysyłać sygnał radiowy ? 

 Właśnie z tego co wiem to użycie pppoe pozwala okiełznać trochę ten bałagan przez ujednolicenie sposobu autoryzacji userów  :Wink: 

A ciekaw jestem czy jest jakiś sposób pozwalający wyciąć routery wpinane zamiast maszyn, muszę mieć listę wszystkich komputerów?

----------

## bartmarian

 *Yatmai wrote:*   

> A tak propos radia, część klientów ma u nas karty wifi, część access pointy, niektórzy jeszcze jakieś przedwojenne planety 1966, a część jeszcze routery za APkami... Da się to okiełznać przy takim bałaganie ?
> 
> Karty można pewnie przełączyć na pppoe, ale zastanawia mnie taki AP, czy to on ma się wdzwaniać, czy bezpośrednio komputer za nim, a AP ma tylko wysyłać sygnał radiowy ? 

 

Da się okiełznać, sam mam podobnie.

Nie karty przełączyć a skonfigurować połączenie pppoe, to działa niezależnie.

AP rzadko ma pppoe-client+nat, co w niczym nie przeszkadza.

Zaletą pppoe w wifi, jest brak dostępu a tym samym śmiecenia przez windows'y w szkielecie,

jeżeli koncentratory postawi się bezpośrednio na interfejsach radiowych, nie ma też problemu,

gdy windows-power-user włączy udostępnianie łącza nie na tej karcie co trzeba  :Smile: 

Wadą pppoe jest jest jego brak w 9x/2000, czasem winda zapomni jak ma się łączyć, tu pomocne

może być jednoczesne postawienie hotspot'a z instrukcją (który wcale nie musi udostępniać netu,

a tylko zawierać instrukcję konfiguracji połączenia, czego jednak do tej pory zrobić mi się nie chciało...).

--EDIT--

MT w połączeniu z radiusem (solo też, ale z radiusem+mysql wygodniej) może nadać kolejki dla user'a

"na dzień dobry", czyli znajomi z sąsiednich bloków nie wymienią się divx'ami zapychając bezlitośnie radio.

----------

## Yatmai

 *Quote:*   

> A ciekaw jestem czy jest jakiś sposób pozwalający wyciąć routery wpinane zamiast maszyn, muszę mieć listę wszystkich komputerów?

 

Nowe routery same w sobie obsługują PPPoE, więc raczej na podział łącza nic nie poradzisz (a przynajmniej nie samym wprowadzeniem ppp  :Wink:  )

 *Quote:*   

> Wadą pppoe jest jest jego brak w 9x/2000, czasem winda zapomni jak ma się łączyć, tu pomocne
> 
> może być jednoczesne postawienie hotspot'a z instrukcją (który wcale nie musi udostępniać netu,
> 
> a tylko zawierać instrukcję konfiguracji połączenia, czego jednak do tej pory zrobić mi się nie chciało...).
> ...

 

I tu jest cały pies pogrzebany... Przepiąć kilka tysięcy userów, przy czym niektórzy mają od-lat-nieformatowane-win98 to będzie masakra. Jak to szef ujął, najlepiej gdyby userowi pojawiło się tylko okienko "podaj login i hasło" i po zabawie.

----------

## timor

 *Yatmai wrote:*   

> Nowe routery same w sobie obsługują PPPoE, więc raczej na podział łącza nic nie poradzisz (a przynajmniej nie samym wprowadzeniem ppp  )

 Kurde, tak źle i tak nie dobrze ;/

Czy MK to takie łotewskie routery na linuxie?

----------

## Yatmai

 *timor wrote:*   

> Czy MK to takie łotewskie routery na linuxie?

 

Nie wiem czy łotweskie, ale tak. Mają tam RouterOS, którego nazwa sama wskazuje do czego służy  :Wink:  Bardzo zmyślne rozwiązanie - już w sobie ma obsługę przeróżnych protokołów, kolejek, metod autoryzacji, niemiej straaasznie brakuje mi w tym bash'a. Niby w winbox'ie jest wszystko ładnie poukładane i przedstawione, ale nie ma tej magii, a ichniejszy shell jest strasznie pokręcony  :Wink: 

----------

## timor

Niestety w mojej obecnej sytuacji nie jestem w stanie przeprowadzić całkowitej restrukturyzacji sieci, musiałby być ogłoszony przetarg itd... więc przy bardzo dobrym wietrze miałbym nowy sprzęt nie wcześniej niż za rok ;/

----------

## bartmarian

 *Yatmai wrote:*   

> ...a ichniejszy shell jest strasznie pokręcony 

 

jest, ale z niego można ustawić wszystko + możesz pisać skrypty, w zasadzie do obsługi

OS'a to w zupełności wystarcza... fakt, kadu itp nie doinstalujesz

----------

## Yatmai

Nie mówię o Kadu, ani tym bardziej ekg  :Wink: 

Owszem, jest to funkcjonalne i pozwala na łatwe pisanie skryptów, ale ciężko mi się z bash'a na to przestawić

----------

## timor

Z tego co mówicie to może być problem ze zrobieniem tego tak jak chcę ;/

Trzeba mi złożyć zamówienie na nowy serwer i zaczekać. A w między czasie wymieniać switche.

----------

## bartmarian

z tego co napisałeś na samym początku (zabawa userów) musisz po prostu coś zmienić,

mi o tyle rozwiązanie z MT się podoba, że sprzęt jest tani w porównaniu do jego możliwości

i prostoty konfiguracji (a z MT dude to po prostu bajeczka i konfiguracyjna i dla oka), switche

owszem, ale nie wiem jak z prostotą konfiguracji (w porównaniu z MT dude), ja raz trafiłem

gościa, co mi wysylał w sieć 10000 - 15000 pakietów/s - jeden blok siadł, ale reszta

pozostała nie tknięta...

----------

## Bonk_pb

 *timor wrote:*   

> Z tego co mówicie to może być problem ze zrobieniem tego tak jak chcę ;/
> 
> Trzeba mi złożyć zamówienie na nowy serwer i zaczekać. A w między czasie wymieniać switche.

 

Zmienic serwer i switche, hmm to na jakie rozwiazanie sie zdecydowales?

 *bartmarian wrote:*   

> (...ciach....) ja raz trafiłem
> 
> gościa, co mi wysylał w sieć 10000 - 15000 pakietów/s - jeden blok siadł, ale reszta
> 
> pozostała nie tknięta...

 

Hmm ustawiasz storm-control na switchu z akcja 'shutdown port'  + snmp trap, blok dalej dziala tylko jeden klient odlaczony.

Jednak to rozwiazanie tylko przy switchach w sieci czysto kablowej. Piszesz o MT, wiec pewnie masz siec radiowa, a to wtedy jedyne rozwiazanie ciac na MT  :Wink: 

----------

