Mikrotik PPPoE Server для чайников

Рейтинг
Оценка: 4.67Голосов: 9Комментарии: 10

В этой статье мы рассмотрим конфигурацию PPPoE Server в Mikrotik Router OS, на примере устройства Mikrotik RB951-2n.

Рис.1. Mikrotik RB951-2n включаем PPPoE Server

Чтобы получить работающий PPPoE Server в Mikrotik Router OS, достаточно его добавить в разделе PPP на вкладке PPPoE Server, указав интерфейс на котором он будет принимать запросы от клиентов.

Рис.2. Mikrotik Router OS список PPPoE Server

Рис.3. Назначение IP адреса клиенту

Рассмотрим пример неправильной настройки PPPoE Server.

Предположим у нас есть IP адрес интерфейса, смотрящего в локальную сеть 192.168.99.1, и подсеть 192.168.99.0/24. На рисунке 3, создаем учетную запись для клиента. После успешной авторизации клиенту будет назначен IP адрес 192.168.99.5.

Рис.4. Команда ping без авторизации

За нашим шлюзом расположен хост 10.0.0.254, он будет доступен клиентам после авторизации на PPPoE Server. Выполним команду ping к 10.0.0.254. Как видно на рисунке 4, хост 10.0.0.254 не доступен для неавторизированных клиентов.

Рис.5. Настройки PPPoE соединения

Рис.6. Команда ping после авторизации

После того как клиент авторизовался, для него стал доступен хост 10.0.0.254.

Рис.7. Ввод сетевых настроек вручную

Такая конфигурация PPPoE Server сводит на нет все преимущества безопасности, так как IP адреса назначаются клиентам из локальной подсети. Если злоумышленник введет себе IP адрес разрешенного клиента, то он получит доступ без всякой авторизации.

Рис.8. Параметры сетевого интерфейса злоумышленника

Рис.9. Проверка доступа без авторизации

На рисунке 9 видно, что злоумышленник получил доступ к хосту 10.0.0.254 путем ввода сетевых настроек и без прохождения авторизации на PPPoE Server.

Как правильно настроить PPPoE Server.

Рис.10. Правильное назначение IP адресов клиентам

Так как у нас локальная подсеть 192.168.99.0/24, то необходимо, чтобы  PPPoE Server назначал IP адреса авторизированным клиентам из другой подсети, например 172.16.15.0/24.

Рис.11. Новые настройки PPPoE соединения

После авторизации клиент получил IP адрес 172.16.15.2.

Рис.12. Команда ping авторизированного клиента

Авторизированный клиент получил доступ к хосту 10.0.0.254.

Рис.13. Новые сетевые настройки злоумышленника

Предположим, злоумышленник, каким-то образом узнал, какие IP адреса выдает клиентам PPPoE Server и ввел соответствующие сетевые настройки.

Рис.14. Отказ в доступе для злоумышленника

Даже если злоумышленник ввел сетевые настройки, из подсети выдаваемой PPPoE Server, хост 10.0.0.254 и даже подсеть 172.16.15.0/24 останутся для него недоступными.

Вас может заинтересовать

 

(Снят с производства)

Если Вы нашли ошибку в тексте, то выделите ее мышкой и нажмите Ctrl + Enter или нажмите здесь.

Сообщение об ошибке

Ошибка:

Ваш комментарий (не обязательно):

Да Отмена

Об авторе Evgenij_Rudchenko

Ник для комментариев: tx