Провайдер блокирует роутер

Обсуждение ПО и его настройки
Lord3D
Сообщения: 44
Зарегистрирован: 04 окт 2012, 12:39

vqd писал(а):Я вот к стати все думаю. Как бы вылавливать нехороших людей которые ставят роутер и начинают перепродавать услугу соседям например. Пока чего то ничего дельного в голову не пришло


Раньше на безлимитных тарифах все провайдеры ставили лимиты сессий. Сейчас это не модно...
Сейчас борются в основном юридически - подобными пунктами договора:
Оператор оставляет за собой право снизить скорость для абонента при превышении комфортной величины расхода входящего трафика.

А дальше просто смотрят на сводную таблицу типа "Топ-100 трафик". Это помогает бороться с "бизнесменами" :)
Ну а если просто раздавать инет паре бабушек с "Одноклассниками" или другу в гараж беспроводным мостом - фиг кто узнает.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Ну про ограничение кол-ва сессий я уже думал. Мол группу риска туда запихать.


Есть интересная задача и бюджет? http://mikrotik.site
Lord3D
Сообщения: 44
Зарегистрирован: 04 окт 2012, 12:39

В частном секторе, где стоимость подключения исчисляется сотнями евро, скинуться и поставить один роутер на три соседних участка - обычное дело. А в наше время отличить одно домохозяйство с большой семьёй от трех небольших семей по количеству трафика практически невозможно.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

vqd писал(а):Я вот к стати все думаю. Как бы вылавливать нехороших людей которые ставят роутер и начинают перепродавать услугу соседям например. Пока чего то ничего дельного в голову не пришло

Если браться за это дело, то тут есть только 2-3 варианта:
1. Самый жесткий, искусственно снижать TTL до единицы, иногда попадается такой вариант у провайдеров-жадин. От них бегут при первой же возможности.
2. Просто попробовать контролировать TTL, не позволяя им отличаться от заданных значений более чем на 1. Там у Linux вроде бы TTL=64, у Windows TTL=128

Код: Выделить всё

/ip firewall mangle
add action=add-src-to-address-list chain=prerouting in-interface=ether1  ttl=equal:63   address-list=router_user
add action=add-src-to-address-list chain=prerouting in-iinterface=ether1 ttl=equal:127  address-list=router_user

3. Попробовать ограничить количество одновременных сессий. Вопли, конечно будут, но при жестких политиках они есть всегда...
4. Пробовать анализировать трафик, но тут средствами Микротика не обойтись...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
QUWERTY
Сообщения: 47
Зарегистрирован: 16 сен 2012, 19:30

podarok66 писал(а):Так, давайте-ка попробуем совет от наших украинских коллег:
И наоборот, можно спрятать вашу сеть от фильтра TTL провайдера.

Код: Выделить всё

/ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes 

Это правило поднимите на самый верх.

Спасибо завтра попробую ваш вариант и отпишусь.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Ну есть способ ещё, правда его эффективность зависит от уровня грамотности конечного пользователя, но судя по моей сети, эта грамотность катастрофически стремиться к нулю :-(
Сканить сеть на наличие открытого порта 80 и делать простой запрос на него, пытаясь получить страничку. Если ответ придёт типа:

Код: Выделить всё

HTTP/1.0 401 Unauthorized
Server: httpd
Date: Wed, 17 Sep 2014 11:37:01 GMT
WWW-Authenticate: Basic realm="WL500gpv2"
Content-Type: text/html
Connection: close

<HTML><HEAD><TITLE>401 Unauthorized</TITLE></HEAD>
<BODY BGCOLOR="#cc9999"><H4>401 Unauthorized</H4>
Authorization required.
</BODY></HTML>

то тут даже модель роутера указана :)


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
plin2s
Сообщения: 417
Зарегистрирован: 26 сен 2012, 16:17
Контактная информация:

И никто даже не вспомнил про определение устройства/производителя по MAC адресу. Хотя тут все варианты получаются просто на уровне паранойи.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

plin2s, кстати да, более реальный способ определить роутер...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Lord3D
Сообщения: 44
Зарегистрирован: 04 окт 2012, 12:39

plin2s писал(а):И никто даже не вспомнил про определение устройства/производителя по MAC адресу. Хотя тут все варианты получаются просто на уровне паранойи.

Я думал об этом, но отличить роутер ASUS от мат. платы ASUS, сетевые карты TP-Link/D-Link/Zyxel от роутеров того же производителя не так просто. Да и клонирование MAC с рабочей станции никто не отменял.


Аватара пользователя
pubuser
Сообщения: 62
Зарегистрирован: 14 мар 2014, 18:14

Я так понял инет приходит по оптике прямо в дом, и микрот с SFP портом юзаем? А роутер какой, от ростелекома, GPON Huawei 8245 или подобный? Так не удивляйтесь что инет не работает, станционное оборудование имеет привязку этого GPON роутера и вы никакую другую железку не авторизуете. Ставим мостом этот хуавей и за ним подключаем что угодно, любой роутер, хоть с PPPoE хоть DHCP. В Казахии это обычное дело, никто даже и не пытается не то что микрот подключить - аналогичный GPON роутер уже не работает если его установить у соседа.


Ответить