Forum Debian Users Gang

redelek · 2012-07-04 08:59:26

Witam,

Od wczoraj walczę z takim problemem na debianie. Chodzi mi o to , że osoby bez zarejestrowanego adresu MAC dostaną adres z 10.0.19.1, a normalni pracownicy 10.0.4.1.
To narazie na virtualnych maszynach testuję. Przy wyłączonych opcjach deny unknown-clients; dhcp działa poprawnie.
Moja konfiguracja wygląda tak

/etc/network/interfaces
auto eth0

Kod:

iface eth0 inet dhcp
    
auto eth2
iface eth2 inet static
 address 10.0.4.1
 netmask 255.255.255.0
        post-up iptables-restore < /etc/iptables.up.rules

auto eth2:0
iface eth2:0 inet static
 address 10.0.19.1
 netmask 255.255.255.0

Dhcp chciałem skonfigurować by słuchał na interfejscach eth2 i eth2:0. Niestety nie podoba mu się interfejs eth2:0 i dostaje komunikat że go ignoruje
Konfiguracja dhcp wygląda tak

Kod:

shared-network intralan{
subnet 10.0.4.0 netmask 255.255.255.0 {
        option routers 10.0.4.1;
        option subnet-mask 255.255.255.0;
        option domain-name-servers 8.8.8.8 , 8.8.4.4;
        option domain-name "intra.pl";
        option ntp-servers 10.0.4.1;
        option netbios-name-servers 10.0.4.1;
        range 10.0.4.50 10.0.4.254;
        deny unknown-clients;
        } 
subnet 10.0.19.0 netmask 255.255.255.0 {
        option routers 10.0.19.1;
        option subnet-mask 255.255.255.0;
        option domain-name-servers 10.0.19.1;
        option domain-name "intra.pl";
        option netbios-name-servers 10.0.19.1;
        range 10.0.19.10 10.0.19.40;
        allow unknown-clients;
        }
}

Teraz problem jest w tym, że testowy windows nie może pobrać IP a w logach widać komunikat

Kod:

Jul  4 08:55:11 serwer dhcpd: DHCPDISCOVER from 08:00:27:df:e2:e1 via eth2: unknown client
Jul  4 08:55:18 serwer dhcpd: DHCPDISCOVER from 08:00:27:df:e2:e1 via eth2: unknown client
Jul  4 08:55:34 serwer dhcpd: DHCPDISCOVER from 08:00:27:df:e2:e1 via eth2: unknown client

czyli wykonuje pierwszą sekcję a druga ? Czy można to jakoś zrobić ? chciałbym dla nieznanych klientów przyciąć maksymalnie poruszanie się po sieci i internecie.

Dzięki za info

Jacekalex · 2012-07-04 12:46:11

Do tego celu lepiej weź nie samo dhcp, ale pppoe + radius.
Wtedy odfrunie do krainy wiecznych facepalmów problem pacjenta, który przynosi z domu prywatnego lapka i musi mieć dostęp do firmowej sieci, jak również rozmaitych smartfomów, tabletow i innych śmieci, które ludzie przynoszą w plecakach i kieszeniach.
Przy dhcp ciężko nad takim bajzlem zapanować, a pppoe daje też możliwość pymitywnego (ale jednak) szyfrowania transmisji (mppe).

Na stronach mikrotika masz niezłe przykłady konfiguracji.

Ostatnio edytowany przez Jacekalex (2012-07-05 01:35:22)

redelek · 2012-07-04 12:59:09

ale to co w ogóle DHCP olać ? czy do DHCP zastosować to co Ty podałeś ?

Jacekalex · 2012-07-04 13:15:09

W Radiusie masz autoryzację i możliwość podpięcia statycznie adresu IP do użytkownika zweryfikowanego przy pomocy hasła, lub nawet klucza kryptograficznego.

To jest stosowane powszechnie przy dostępie wifi.
Da się też bez Radiusa, jednak Radius może trzymać wsio w bazie SQL albo LDAP,
i uwierzytelniać też np Sambę, ftp, pocztę, jabbera, vpn (np strongswan - ipsec), czy dowolną inną usługę przez bibliotekę pam_radius.so

Tu masz podstawowe przykłady: pppoe:
http://zibik.jogger.pl/2007/03/18/serwer-pppoe-na-gentoo/
http://dug.net.pl/drukuj/73/konfiguracja_prostego_serwera_pppoe/
http://stary.dug.net.pl/texty/pppoe.pdf
Radius:
http://wiki.mikrotik.com/wiki/Manual:RADIUS_Client
http://rpc.one.pl/index.php/lista-artykulow/34-open … i-pod-openwrt
http://www.eduroam.pl/Dokumentacja/freeradius2-1.0.pdf

Nie proponowałbym takiej jazdy, gdyby nie lapki, tablety i smartfony, które ludzie czasem przynoszą do biura, i potem jest miauczenie: jak się podłączyć?
Bo trochę roboty z konfiguracją jest...

Pozdrawiam

Ostatnio edytowany przez Jacekalex (2012-07-04 13:47:49)

redelek · 2012-07-04 13:24:15

dzięki zaczynam czytać

Jacekalex · 2012-07-04 15:51:28

Jena uwaga do lektury:
jedna maszyna, i jeden serwer, jak radius, mysql czy dhcp, to pojedynczy punkt awarii.
Jeśli jedna usługa zaelży od takiego punktu, to jeszcze czasami można wytrzymać.
Jeśli chciałbyś na radiusie i sqlu powiesić pół biura, to awaria może być końcem świata w biurowej rzeczywiści.
A o robotę zbyt łatwo nie jest... ;P

Dlatego Mysql i Postgresql mają replikację, i lepiej mieć 2 serwer z takimi Sqlami i radiusami, na wypadek, gdyby jeden zdechł.
W dodatku ja bym zrobił 2 serwery z różnymi systemami operacyjnymi - 2 różne Linuxy, i nie aktualizował obu w jednej chwili.

Do tego klient radiusa może mieć w konfigu 2 różne nasy (radiusy), jest też np ucarp - jak w tym przykładzie:
http://xn.pinkhamster.net/blog/tech/mail/high-avail … n_debian.html

Pozdrawiam
;-)

bobycob · 2012-07-04 23:39:35

Dodam, że eth2:0 z punktu widzenia dhcp to nie jest osobny interfejs - podobnie jak dla systemu.
Zobacz wynik polecenia ip add show - jest to tylko dodatkowy adres ip na międzymordziu eth2 z nazwą eth2:0 - równie dobrze może nazywać się zosia ;).

Błąd polega na zdefiniowaniu zakresu adresów dynamicznych "range" w podsieci, która przecież ma otrzymywać tylko adresy IP przypisane statycznie z definicji w dhcp.

Wtedy odpuszczasz sobie polecenia typu:
deny/allow unknown-clients;

Demon dhcp patrzy po twoim pliku i widzi, że ma krzyknąć deny - więc krzyczy deny, a że dalej jest allow to już za późno ;).
Te polecenia nie mają sensu skoro z definicji i tak masz znać wszystkie dozwolone mac adresy więc zrobisz im statyczne wpisy w dhcp.

Ostatnio edytowany przez bobycob (2012-07-04 23:43:43)

redelek · 2012-07-05 11:19:46

@babycob, wiem ale chodziło mi o to że jeśli ktoś przywlecze maszynę z niezarejestrowanym mac to dostane ip z puli 19. Adresy z tej puli nie widziały by naszej sieci a dojście do internetu było by mocno ograniczone i poblokowane np. tylko porty 80 i 443 a reszta sio. Jak wiadomo ludzie przynoszą coraz więcej zabawek i chciałbym ograniczyć ich obecność w sieci.
Niestety nie wyeliminuję tego bo jak mam zabronić przynoszenia prywatnych telefonów czy laptopów. Problem w tym, że ludzie przynoszą prywatne lapki bo w firmie szybciej się ściągają filmy np z chomikuj.pl , a tym samym zarzynają łącze, a zanim ja go znajdę to mam chwilowy dyskomfort w sieci.

W firmie mam 70 maszyn stacjonarnych i kilka laptopów gniazdek sieciowych jest zawsze więcej w pokoju i wszystkie działają, bo jak jest problem to ludki sami się przepinają na inne gniazdka, ale niestety wykorzystują je do swoich urządzeń. Myślałem by ograniczyć w switch-ach po mac adresach ale to głupiego robota jak dla mnie(wolę automatyzację).

Dzięki za info będę kombinował.

Ostatnio edytowany przez redelek (2012-07-05 11:21:25)

Jacekalex · 2012-07-05 15:24:56

Na zarzynanie łącza masz w pppoe taką magiczną funkcję, która każdemu pacjentowi pozwoli przypisać nie tylko regułki firewalla i routingu, ale również regułki tc - i praktycznie dowolnie ustawić pasmo i dozwoloną liczbę połączeń.

Zainteresuj się skryptami ip-up i ip-down dla pppoe, a jeśli każdy użyszkodnik ma mieć trochę inne parametry, to można to zrobić, używając w skryptach ip-up i ip-down atrybutów przekazanych przez radiusa.

ip-up i ip-down to zwykłe skrypty powłoki, które pppd odpala po zalogowaniu/wylogowaniu pacjenta.
rp-pppoe z resztą ma kilka własnych, które możesz sobie pooglądać:

Kod:

root  # ls -l /etc/ppp/ip-up.d
razem 12
-rw-r--r-- 1 root root 1122 04-04 03:19 30-wins.sh
-rw-r--r-- 1 root root 1221 04-04 03:19 40-dns.sh
-rw-r--r-- 1 root root  292 04-04 03:19 50-initd.sh

root  # ls -l /etc/ppp/ip-down.d
razem 12
-rw-r--r-- 1 root root 618 04-04 03:19 30-wins.sh
-rw-r--r-- 1 root root 628 04-04 03:19 40-dns.sh
-rw-r--r-- 1 root root 291 04-04 03:19 50-initd.sh

root  #

A atrubuty z radiusa?
RTFM:

Kod:

man pppd-radattr

http://www.digipedia.pl/man/doc/view/pppd-radattr.8/

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2012-07-05 22:04:37)

gindek · 2012-07-05 19:38:25

aaa offtop jak diabli , sorry , nie linczujcie mnie zardzewialym prętem.

ale mam takie pytanie, da sie na forum dodac temat do "ulubionych", tz. w takie miejsce zebym mogl do niego wrocic i poczytac kiedys w przyszlosci bez zbednego szukania ( co jak tematy w ktorych sie wypowiedziales, napisales posta, prawde mowiac miedzy innymi dlatego to pisze ).

nie znam, nie widze takiego mechanizmu, a prawde mówiąc przydał by się ( jeszcze z opcją dodania komentarza do danego tematu ).
moge dodac do zakładek w przegladarce, ale te zmieniam co kilka miesiecy, linki na dysku w pliku trzymac ... hmm jest to meczace tez to przerabiałem, a na forum na wieki dodac cos do interesujacych teamtów mysle ze takie mechanizm byl by dobry.

[edit[
pls nie przenoscie tematu do innego dzialu, postu ( mojego ) , bo mi info gdize pisałem zniknie .

Ostatnio edytowany przez gindek (2012-07-05 19:38:59)

BiExi · 2012-07-05 20:19:25

redelek więc tak
1 - efekt przydzielania adresów dla komputerów "obcych" uzyskasz przez usunięcie range z 1 klasy adresów w dhcp i ofc dopisaniu wszystkich "znanych" IP do wskazanej klasy.
2 - goście z "obcymi" komputerami mają dostęp do twojej sieci fizycznie, owszem możesz odseparować część us·ług ale i tak jak ktoś jest sprytny to sobie da radę.
3 - stosowanie PPPoE w biurze mija się trochę z celem chyba że ktoś lubi biegać i klikać połącz bo Pani księgowej rozłączyło się połączenie z koncentratorem. albo zapomniała loginu i hasła :P

Zastosowanie odpowiedniej konfiguracji jest zależne od tego jaki poziom bezpieczeństwa chcesz osiągnąć albo jakie aspekty działania sieci są tutaj najważniejsze.

Jacekalex · 2012-07-05 22:01:46

połącz bo Pani księgowej rozłączyło się połączenie z koncentratorem. albo zapomniała loginu i hasła :P

Ja w ostatniej robocie miałem bieganie po każdej wizycie sprzątaczki, bo zawsze jakąś wtyczkę wyciagnęła czy poluzowała ścierką albo mopem. ;)

Zapomnianie hasła i loginu też nie jest zbyt groźne, jeśli da się jedno i drugie zapamiętać w systemie, spośród horrorów typu XP, VIsta, 7 żaden ostatnio takich haseł nie gubi.

Za to śmiecia z netu łapią ciągle, co przy regulaminie, w którym nie mogę obciąć tych kompów przez Comodo Defense+, daje nieźle w kość.
Bo standardowe oprogramowanie, jakie tam zastalem jest takie sobie, a jego skuteczność jest.........

Na szczęscie ostatnio jest ktoś, kto lubi biegać, także ja moglem odpocząć :D

Poza tym Radius ma filtrowanie mac-adresu, i jeśli da się to zastosować w pppoe, to pacjentom ze znanymi mac-adresami dajemy hasło domyślne, innym

Kod:

head -c99 /dev/urandom

albo pacjentów bez mac-adresu wysyłamy do Pana Administratora po certyfikat ssl. :D

Generalnie pppoe jest diablenie elastyczne, a Radius i tak się przyda, jakby kierownik administracji potrzebował VPN'u z domu.

Dlatego polubiłem takie straszne rozwiązanie. ;)

Ostatnio edytowany przez Jacekalex (2012-07-05 22:10:46)

Forum Debian Users Gang

Ogłoszenie

#1 2012-07-04 08:59:26

redelek - Członek DUG

dhcp dwie sieci dla gości i uzytkowników

Kod:

Kod:

Kod:

#2 2012-07-04 12:46:11

Jacekalex - Podobno człowiek...;)

Re: dhcp dwie sieci dla gości i uzytkowników

#3 2012-07-04 12:59:09

redelek - Członek DUG

Re: dhcp dwie sieci dla gości i uzytkowników

#4 2012-07-04 13:15:09

Jacekalex - Podobno człowiek...;)

Re: dhcp dwie sieci dla gości i uzytkowników

#5 2012-07-04 13:24:15

redelek - Członek DUG

Re: dhcp dwie sieci dla gości i uzytkowników

#6 2012-07-04 15:51:28

Jacekalex - Podobno człowiek...;)

Re: dhcp dwie sieci dla gości i uzytkowników

#7 2012-07-04 23:39:35

bobycob - Członek z Ramienia

Re: dhcp dwie sieci dla gości i uzytkowników

#8 2012-07-05 11:19:46

redelek - Członek DUG

Re: dhcp dwie sieci dla gości i uzytkowników

#9 2012-07-05 15:24:56

Jacekalex - Podobno człowiek...;)

Re: dhcp dwie sieci dla gości i uzytkowników

Kod:

Kod:

#10 2012-07-05 19:38:25

gindek - Zubr, bydle na etacie.

Re: dhcp dwie sieci dla gości i uzytkowników

#11 2012-07-05 20:19:25

BiExi - matka przelozona

Re: dhcp dwie sieci dla gości i uzytkowników

#12 2012-07-05 22:01:46

Jacekalex - Podobno człowiek...;)

Re: dhcp dwie sieci dla gości i uzytkowników

Kod:

Stopka forum