Как запретить PPPoE соединения в MikroTik RouterOS?

Обсуждение ПО и его настройки
Аватара пользователя
NikolaiN
Сообщения: 14
Зарегистрирован: 16 мар 2017, 19:11
Откуда: РК

Небольшая организация, около 100 локальных машин. Недавно установил на виртуальную машину MikroTik RouterOS 6.38. Настроил в качестве шлюза раздающего интернет, создал запрещающие правила, все работает нормально, но есть проблема. Если ушлый пользователь создает на локальной машине PPPoE соединение, то она начинает ходить в интернет не взирая ни на какие правила в фаерволе. Как можно в MikroTik RouterOS запретить такое?

P.S. О MikroTik RouterOS узнал буквально месяц назад, глубоких знаний по ней нет, так только нахватался верхов, пока все в процессе изучения.
Последний раз редактировалось NikolaiN 29 мар 2017, 08:36, всего редактировалось 1 раз.


DmNuts
Сообщения: 120
Зарегистрирован: 18 май 2016, 18:33
Откуда: Иркутск

Мало информации.
Для чего у вас в сети PPPoE сервер?
Какие ещё сетевые устройства есть?
Интернет раздаёт RouterOS?


Аватара пользователя
NikolaiN
Сообщения: 14
Зарегистрирован: 16 мар 2017, 19:11
Откуда: РК

PPPoE сервера - нет.
Интернет раздает RouterOS.
Суть проблемы в том, что если пользователь на локальной машине (которая получает интернет через RouterOS) создаст высокоскоростное соединение с использованием логина и пароля (PPPoE), то эта локальная машина начинает ходить в интернет невзирая на запрещающие правила созданные в RouterOS.

Есть "ушлые" пользователи, которые "тырят" в интернете логины/пароли (не в нашей организации), тем более что это очень просто, ребенок справится, и используют их на локальных машинах. Надо запретить им ходить в интернет в таком случае.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Запретили PPPoE, завтра они начнут использовать L2TP, PPTP и так далее.
Запретите и это, они начнут пользоваться SSTP, который вообще никак не отловить, так сказать, для этого и задумывался.

Все эти вещи запрещаются не на микротике, а политиками безопасности. С какого перепугу рядовой пользователь может создать сам сетевое подключение???
Всех в домен и политики, запрещения, снова политики.


Аватара пользователя
NikolaiN
Сообщения: 14
Зарегистрирован: 16 мар 2017, 19:11
Откуда: РК

gmx писал(а):Все эти вещи запрещаются не на микротике, а политиками безопасности. С какого перепугу рядовой пользователь может создать сам сетевое подключение???
Всех в домен и политики, запрещения, снова политики.


Значит силами микротика такое не сделать... Хорошо, спасибо за помощь. Будем думать в этом направлении.

P.S. Несколько лет назад делал такое, создавал домен, но потом отказался из-за некоторых неудобств. Это школа, на уроках есть темы по настройке той же винды, там надо показывать и давать возможность ученикам пробовать настраивать. Я потом поставил прогу управления классом, там просто и легко можно было запретить и разрешить "вольницу" на ученических машинах. Но теперь я не преподаю, ушел на техническую должность, и "админю" все сетку школы.


mex79
Сообщения: 26
Зарегистрирован: 22 мар 2017, 12:26

В школьных машинах лучше использовать загружаемый образ с ro раздела, захотел сохранить документ-сетевая шара. Главный плюс такого решения при включении опять чистая винда с настройками по умолчанию, единственное все это внедрять вряд ли кто будет. Был у меня как-то опыт с небольшим обслуживанием класса в пту, там не просто сборник вирусов, там полный писец и учителя с этим не борются.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Плевать на настройки винды. Учитель через проектор покажет. А ученикам обычного пользователя и все. Никакие новые подключения они не смогут сделать. И без домена можно обойтись.

Я тоже в небольшой школе админю. Как-то учителя не предъявляли претензии по поводу этого. Они находят, чем заниматься и без настроек винды. Ну и потом, замена обоев доступна и обычному пользователю.


Аватара пользователя
NikolaiN
Сообщения: 14
Зарегистрирован: 16 мар 2017, 19:11
Откуда: РК

Да, с учениками можно разобраться, проблем не будет. Тут с персоналом есть такая проблема, их надо тоже поприжать...

Это все решаемо различными способами, я просто хотел узнать есть ли в RouterOS возможность запрета PPPoE соединений с клиентских машин.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

NikolaiN писал(а):Это все решаемо различными способами, я просто хотел узнать есть ли в RouterOS возможность запрета PPPoE соединений с клиентских машин.

Я всё равно не понял или туплю: РРРоЕ - протокол широковещательный, даже если они создали подключение,
даже ввели логин и пароль действующий, вопрос?!! куда они подключаются? То есть пакет от клиент-РРРоЕ должен быть/может существовать в рамках L2-уровня..ТОЛЬКО!
И второе:
опять же, каждый туннельный протокол это набор - портов, протоколов и ещё чего либо. Значит так или иначе можно запретить подключения...главное посмотреть и про-анализировать.

P.S.
Может всё же не РРРоЕ, а РРТР ?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

PPPoE - это туннельный протокол, работающий на уровень ниже IP, а значит для работы не требующий определенные порты, поэтому "поймать" его обычными средствами невозможно.

Однако, микротик имеет очень интересный bridge filter, а нем на вкладке general в разделе MAC protocol есть MAC Protocol-num, где есть pppoe-discovery и есть pppoe-session. Можно попробовать его отловить при помощи этого фильтра. Но все соединения должны физически пройти через бридж микротика.
Сразу предупреждаю, сам этого никогда не делал и вообще не представляю, работает ли это или нет. Вам и карты в руки.

Изображение


Ответить