Russian Users MikroTik | Форум пользователей MikroTik

Небольшая организация, около 100 локальных машин. Недавно установил на виртуальную машину MikroTik RouterOS 6.38. Настроил в качестве шлюза раздающего интернет, создал запрещающие правила, все работает нормально, но есть проблема. Если ушлый пользователь создает на локальной машине PPPoE соединение, то она начинает ходить в интернет не взирая ни на какие правила в фаерволе. Как можно в MikroTik RouterOS запретить такое?

P.S. О MikroTik RouterOS узнал буквально месяц назад, глубоких знаний по ней нет, так только нахватался верхов, пока все в процессе изучения.

Мало информации.
Для чего у вас в сети PPPoE сервер?
Какие ещё сетевые устройства есть?
Интернет раздаёт RouterOS?

PPPoE сервера - нет.
Интернет раздает RouterOS.
Суть проблемы в том, что если пользователь на локальной машине (которая получает интернет через RouterOS) создаст высокоскоростное соединение с использованием логина и пароля (PPPoE), то эта локальная машина начинает ходить в интернет невзирая на запрещающие правила созданные в RouterOS.

Есть "ушлые" пользователи, которые "тырят" в интернете логины/пароли (не в нашей организации), тем более что это очень просто, ребенок справится, и используют их на локальных машинах. Надо запретить им ходить в интернет в таком случае.

Запретили PPPoE, завтра они начнут использовать L2TP, PPTP и так далее.
Запретите и это, они начнут пользоваться SSTP, который вообще никак не отловить, так сказать, для этого и задумывался.

Все эти вещи запрещаются не на микротике, а политиками безопасности. С какого перепугу рядовой пользователь может создать сам сетевое подключение???
Всех в домен и политики, запрещения, снова политики.

gmx писал(а):Все эти вещи запрещаются не на микротике, а политиками безопасности. С какого перепугу рядовой пользователь может создать сам сетевое подключение???
Всех в домен и политики, запрещения, снова политики.

Значит силами микротика такое не сделать... Хорошо, спасибо за помощь. Будем думать в этом направлении.

P.S. Несколько лет назад делал такое, создавал домен, но потом отказался из-за некоторых неудобств. Это школа, на уроках есть темы по настройке той же винды, там надо показывать и давать возможность ученикам пробовать настраивать. Я потом поставил прогу управления классом, там просто и легко можно было запретить и разрешить "вольницу" на ученических машинах. Но теперь я не преподаю, ушел на техническую должность, и "админю" все сетку школы.

В школьных машинах лучше использовать загружаемый образ с ro раздела, захотел сохранить документ-сетевая шара. Главный плюс такого решения при включении опять чистая винда с настройками по умолчанию, единственное все это внедрять вряд ли кто будет. Был у меня как-то опыт с небольшим обслуживанием класса в пту, там не просто сборник вирусов, там полный писец и учителя с этим не борются.

Плевать на настройки винды. Учитель через проектор покажет. А ученикам обычного пользователя и все. Никакие новые подключения они не смогут сделать. И без домена можно обойтись.

Я тоже в небольшой школе админю. Как-то учителя не предъявляли претензии по поводу этого. Они находят, чем заниматься и без настроек винды. Ну и потом, замена обоев доступна и обычному пользователю.

Да, с учениками можно разобраться, проблем не будет. Тут с персоналом есть такая проблема, их надо тоже поприжать...

Это все решаемо различными способами, я просто хотел узнать есть ли в RouterOS возможность запрета PPPoE соединений с клиентских машин.

NikolaiN писал(а):Это все решаемо различными способами, я просто хотел узнать есть ли в RouterOS возможность запрета PPPoE соединений с клиентских машин.

Я всё равно не понял или туплю: РРРоЕ - протокол широковещательный, даже если они создали подключение,
даже ввели логин и пароль действующий, вопрос?!! куда они подключаются? То есть пакет от клиент-РРРоЕ должен быть/может существовать в рамках L2-уровня..ТОЛЬКО!
И второе:
опять же, каждый туннельный протокол это набор - портов, протоколов и ещё чего либо. Значит так или иначе можно запретить подключения...главное посмотреть и про-анализировать.

P.S.
Может всё же не РРРоЕ, а РРТР ?

PPPoE - это туннельный протокол, работающий на уровень ниже IP, а значит для работы не требующий определенные порты, поэтому "поймать" его обычными средствами невозможно.

Однако, микротик имеет очень интересный bridge filter, а нем на вкладке general в разделе MAC protocol есть MAC Protocol-num, где есть pppoe-discovery и есть pppoe-session. Можно попробовать его отловить при помощи этого фильтра. Но все соединения должны физически пройти через бридж микротика.
Сразу предупреждаю, сам этого никогда не делал и вообще не представляю, работает ли это или нет. Вам и карты в руки.