Как запретить PPPoE соединения в MikroTik RouterOS?

Обсуждение ПО и его настройки
gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Vlad-2 писал(а):Может всё же не РРРоЕ, а РРТР ?



Я тоже так думаю, что-то вроде hidemy, hidemyass.
Весь смысл - обойти школьные блокировки.

Но ведь человек спрашивает про PPPoE, даже в заголовке БОЛЬШИМИ БУКВАМИ...
Вот и пытаюсь помочь... :-):


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Да я тоже готов помочь чем могу и/или познать новые горизонты уже известных протоколов....
Просто интересно....очень стало....

Кстати, ТС надо посоветовать, как говориться - что нельзя скрыть, надо явно выделить,
надо явно поставить ему на микротике локальный РРРоЕ - сервер с максимальным приоритетом,
со всеми возможными авторизациями и пусть все "хакеры" к нему подключаются сразу,
и он им будет выдавать какую то blackhole сетку...где нет жизни IP ;;-)))



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

Vlad-2 писал(а):надо явно поставить ему на микротике локальный РРРоЕ - сервер с максимальным приоритетом,со всеми возможными авторизациями и пусть все "хакеры" к нему подключаются сразу,и он им будет выдавать какую то blackhole сетку...где нет жизни IP

или завернуть например ан HotSpot / а там приткнуть типа станичку .
"Ваш компьютер заражон вирусом , срочно несите жидкие шоколадки админу"


mex79
Сообщения: 26
Зарегистрирован: 22 мар 2017, 12:26

Кстати, а почему бы не заворачивать все в проксю заодно лишний раз не пускать детишек в интернет без надобности?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да дело не в детишках. Дело в провайдере. Он прикрутил в школьному инету фильтрацию. Часто она очень жесткая и трудно обходимая, вот умные училки и поднимают на компах VPN и работают где хотят.
Кстати у меня очень жестко фильтруют, перехватывают DNS запросы и отправляют их в NetPolice. И VPN не спасет, обычно DNS запросы не шифруются.


Vladimir22
Сообщения: 561
Зарегистрирован: 09 дек 2012, 17:12

проще кажется открыть
80 порт
443
53 на всякий
ну что там еще надо по необходимости. все остальное закрыть .
вообще PPOE не должен был пролезть через NAT, странно это конечно. а так да в качестве заглушки можно свой PPOE поднять, и ловить все это.
Не думаю что всякие училки , смогут дома поставить VPN сервер , а тем более грамотно настроить.
скорей всего . это просто ихние же домашние аккаунты, которые с дома. при учете что живут они в на той же местности что и работает провайдер.
навряд ли провайдер , даст какие то свои аккаунты на лево .

а вообще. я бы например - вычислил таких. и сообщил бы руководству , порой такие меры самые действенные.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Vladimir22 писал(а):вообще PPOE не должен был пролезть через NAT, странно это конечно. .

Да я сразу удивился.
Ну вот, у меня дома стоит тестовый микротик 941, зашёл на него, он у меня в локальной сети (серая адресация, обычная /24, DHCP, шлюз автоматом),
полный NAT для всей сети, ничего не режу, и так далее, заходим в РРР и выбираем кнопку PPPoE Scan - и тишина, нету никаких РРРоЕ (BRAS'ов),
хотя у меня дома 3 провайдера (два Ростелекома и один местный) и все работают исключительно по РРРоЕ.

Отсюда у меня напросилась мысля - если РРРоЕ доступен деткам и он работает(со слов ТС), значит LAN и WAN сегмент где-то "соединили"....на уровне физики/портов/хабов и т.д.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Vladimir22 писал(а):проще кажется открыть
80 порт
443
53 на всякий
ну что там еще надо по необходимости. все остальное закрыть .

Есть у меня одно местечко, где админы сделали подобное. А мне нужен был туннель домой. Поставил там Микротик и поднял OVPN на 443 порту :-) Так и стоит всё уже года два. Работает...


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
NikolaiN
Сообщения: 14
Зарегистрирован: 16 мар 2017, 19:11
Откуда: РК

Vladimir22 писал(а):в качестве заглушки можно свой PPOE поднять, и ловить все это.
Не думаю что всякие училки , смогут дома поставить VPN сервер , а тем более грамотно настроить.
скорей всего . это просто ихние же домашние аккаунты, которые с дома. при учете что живут они в на той же местности что и работает провайдер.
навряд ли провайдер , даст какие то свои аккаунты на лево .


Значит можно поднять на микротики свой PPPoE сервер и ловить тех кто создаст соединение. Попробую такое сделать, как время будет.

Можно конечно и домашний аккаунт притащить в школу, но зачем свой тащить если чужой очень просто стырить. Есть прога, роутер-скан кажется называется, задаешь в ней диапазон айпи адресов своего провайдера (у нас это Мегалайн), прога сканит и находит роутеры с паролем по умолчанию, или очень простым паролем (а таких немало). А дальше все проще простого, заходишь по айпи на веб-морду модема и смотришь логин/пароль пользователя. Несколько минут и у вас уже есть чужая учетка. А провайдер что в школе, что у всех, один и тот же. Сельская местность, монополисты рулят... Все как у Генри Форда, "вы можете купить автомобиль любого цвета, при условии что он будет черным" :))


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

NikolaiN писал(а):Значит можно поднять на микротики свой PPPoE сервер и ловить тех кто создаст соединение. Попробую такое сделать, как время будет.

Рано Вам...
NikolaiN писал(а):Можно конечно и домашний аккаунт притащить в школу, но зачем свой тащить если чужой очень просто стырить. Есть прога, роутер-скан кажется называется, задаешь в ней диапазон айпи адресов своего провайдера (у нас это Мегалайн), прога сканит и находит роутеры с паролем по умолчанию, или очень простым паролем (а таких немало). А дальше все проще простого, заходишь по айпи на веб-морду модема и смотришь логин/пароль пользователя. Несколько минут и у вас уже есть чужая учетка. А провайдер что в школе, что у всех, один и тот же. Сельская местность, монополисты рулят... Все как у Генри Форда, "вы можете купить автомобиль любого цвета, при условии что он будет черным" :))

А вот тут Вас на словах можно и ловить!! :-) "сканер, IP адресация, зайти на удалённый роутер" -- объясните всё же, у Вас роутер делает свою задача - как отделение внешней сети(сети провайдера) от локальной сети школы или он там, как свитч работает и всё?
Я не отрицаю,зайти на удалённые роутеры можно и из под НАТа, но РРРоЕ не будет работать точно.

Отделите сети, сделайте внутреннюю сеть отдельно (адресация должна отличаться от адресации предоставленной провайдером),
отключите полный НАТ, ну и в самом деле как советовали, пару портов опишите и всё.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить