TP-LINK Форум

Название темы: Будет ли функционал ограничения доступа к интернету для ip не арендовавших у dhcp?
Аппаратная версия устройства: ver 1
Провайдер: Ростелеком
Тип подключения: PPPoE
Описание проблемы: А как запретить выходить в интернет ip-адресам не арендованным у встроенного в dhcp-сервера?

Можно настроить PPPoE сервер и разрешить доступ в интернет только тем, кто установил pppoe-соединение

инструкция, включить Dial-up Access Only
http://www.tp-linkru.com/faq-410.html

Victor писал(а):Можно настроить PPPoE сервер и разрешить доступ в интернет только тем, кто установил pppoe-соединение

инструкция, включить Dial-up Access Only
http://www.tp-linkru.com/faq-410.html

идея гениальная. есть только одно "но"! у меня 48 портовые гигабитные коммутаторы. по сети гоняются тяжелые файлы, документы, 1с-ка и сип-телефония. и все это я должен ограничить гигабитным портом на шлюзе?) забавненько

Что означает ваш последний пост? Это всё одно целое повествование, или вырвано из какого-то другого форума?
Вопрос А как запретить выходить в интернет ip-адресам не арендованным у встроенного в dhcp-сервера?
Ответ дан.
Не подходит? Дайте детали по теме. Какой шлюз? Что забавненького? Соберитесь.

Goodwin писал(а):Что означает ваш последний пост? Это всё одно целое повествование, или вырвано из какого-то другого форума?
Вопрос А как запретить выходить в интернет ip-адресам не арендованным у встроенного в dhcp-сервера?
Ответ дан.
Не подходит? Дайте детали по теме. Какой шлюз? Что забавненького? Соберитесь.

объясню. даже попытаюсь не переходить на личности! коммутатор в офисе стоит гигабитный! каждому пользователю ПО ГИГАБИТНОМУ ПОРТУ!!!! в природе не существует дуал-акксес для офисных сетей (эта фича была в старые времена реализована для провайдерских сетей. сейчас она себя изживает!)!!!!! от слова ВООБЩЕ!!!!! вы предложили использовать маршрутизатор для пппое ... я согласился ... так как дуал акссес в природе нет вообще в офисе ... представил текущий трафик всех вместевзятыхпортов коммутатора через один гигабитный порт вашего 6120 по ппппое!!!! улыбнуло!!!!! выходит вы предложили грабли ... появляетесь тут раз в месяц ... и ждете нормальной реакции на ваше граблестроение? в любом маршрутизаторе есть ограничение на доступ к интернету для ип не арендовавших адрес у дхцп сервера на маршрутизаторе. у 6120 такого функционала нет!!!!! когда будет?


хотите я вам кинул лог изменений от одного известного производителя?

What's new in 6.40rc28 (2017-Jun-30 12:08:26):

*) console - fixed different command auto complete on ;
*) ethernet - fixed occasional broken interface order after reset/first boot;
*) export - added router model and serial number to configuration export;
*) export - fixed "/interface list" verbose export;
*) export - fixed "/ipv6 route" compact export;
*) export - fixed MPLS "dynamic-label-range" export;
*) export - fixed SNMP "src-address" for compact export;
*) fastpath - improved removing process of dynamic interface;
*) - removed nonexistent "wlan-led";
*) lte - added info command support for the Jaton LTE modem;
*) ppp - added initial support for ZTE K4203-Z;
*) ppp - added initial support for ZTE ME3630-E;
*) safe-mode - fixed session handling when Safe Mode is used on multiple sessions at the same time;
*) supout - fixed IPv6 firewall section;

Release 6.40rc25
2017-06-27
What's new in 6.40rc25 (2017-Jun-27 06:26):

*) - fixed MAC address assignment when hot plugging NIC on XenServer;
*) fastpath - fixed router rebooting itself (introduced in 6.40rc24);
*) firewall - added "none-dynamic" and "none-static" options for "address-list-timeout" parameter (CLI only);
*) firewall - removed unique address list name limit;
*) ipsec - do not deduct "dst-address" from "sa-dst-address" for "/0" policies;
*) lte - added support for Huawei E3531-6;
*) modem - fixed info command when it is executed at the same time as modem restarts/disconnects;
*) tile - fixed copying large amount of text over serial console;
*) trafficgen - added "lost-ratio" to statistics;
*) webfig - fixed wireless "scan-list" parameter not being saved after applying changes;

каждые три дня (максимум) фиксы или новые фичи!!!!!! а вы тут выеживаетесь с внедрением функционала который есть в каждом первом маршрутизаторе!!!!

НУЖНО БОЛЬШЕ БОЛЬШИХ БУКВ. А то не хватает. Может быть проблема не в устройстве, а в умении его настроить? У данного роутера есть несколько вариантов решения довольно тривиальной задачи - ограничить доступ в интернет для части штата. Можно как угодно настраивать: можно через dual access, можно через Firewall - Access Rules (например я бы для проверки указал пул айпи, которым хочу закрыть доступ, в качестве дестинейшн ip указал бы адрес шлюза провайдера - сработает же?), можно на коммутаторе поделить по VLANам. При чём тут выпуск обновлений (тем более когда в пример приводят прошивки с улучшением совместимости с 3g модемами), когда оно и так способно задачи поставленные решать. И если его настраивать не получается - никакие прошивки это не решат.

дуал акссес в офисе не существует. вариант с фаэрволом не поможет! причина проста. либо аренда адреса прошла корректно ... и ip выходит в интернет ... либо произошла подмена ip адреса ... в разрешенном диапазоне ... и опять таки компьютер выйдет в интернет!!! vlan тоже не могу понять чем вам поможет в ситуации

"пользователь выдернул шнур с соседней сетевой розетки .. прописал аренду руками ... и пользуется интернетом!"

правильно так: пользователь получил аренду ... либо ему сообщат что данную аренду получил уже другой пользователь на другом вилане(к примеру)! и интернет ему обломается!

я дико конечно извиняюсь ... я не знаю ваш левел в области сетевого оборудования ... как практический ... так и теоретический ... но он крайне низкий в области "назовем его СРАВНИТЕЛЬНОГО АНАЛИЗА С ДРУГИМИ ВЕНДОРАМИ". потуги нагородить грабли ... на вашем оборудовании когда у других это делается ПО ПРАВИЛЬНОМУ!!! и одной двумя галочками ... выглядят смешно!

причина проста. либо аренда адреса прошла корректно ... и ip выходит в интернет ... либо произошла подмена ip адреса ... в разрешенном диапазоне ...

Чтобы такой ерунды не происходило, нужно просто взять и нормально настроить устройство, навести порядок в адресации, закрепить MAC\IP для DHCP, закрепить IP - USER, закрепить USER - группа и НОРМАЛЬНО после этого администрировать подразделения бизнеса, задавать группа индивитуальные или общие на всех правила. Подмена IP с точки зрения роутера защищается в меню Anti ARP Spoofing (но ведь для этого нужно читать инструкцию и понимать, что такое ARP спуфинг). Я уже не говорю, что нормальная настройка- это когда доменная структура в компании (если клиентов под 100 человек), или же банальная настройка политик безопасности например на windows, ну или хотя бы пользовательские права для учёной записи, чтобы подменять ip было нельзя. Но ведь это надо разбираться, это сложно, гораздо проще винить отсутствие обновлений, которые бы по щелчку пальцев сделали бы всю работу за админа.

Если нет банального понимания, что это и как это работает, есть только практический опыт настройки другого роутера от другого вендора - с такими навыками далеко не уехать. А кто чего нагородил - вопрос ещё спорный.

каким образом анти арп-спуфинг поможет от подмены мака и статики?