Автор Тема: CISCO, фильтрация по MAC адресам?  (Прочитано 1233 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5629
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
CISCO, фильтрация по MAC адресам?
« : 03 Февраля 2015, 14:39:17 »
Суть в чем, имеется 1811, на ней EZVPN, авторизация пользователей локальная. Так вот, я хотел бы ограничить возможность VPN подключения с произвольных машин, предположительно по MAC, ну или ещё может как то можно? Что курить, куда смотреть? DHCP сервер локальной сети, казалось бы сделать белый список там, но нет, внутри мне нужно чтобы любая произвольная машина подключалась без проблем, получала адрес и т.д.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн VanDyke

  • Модератор
  • Ветеран
  • *****
  • Сообщений: 1800
  • Рейтинг: 73
  • Пол: Мужской
  • Network Warrior
    • Просмотр профиля
  • Откуда: Destination network unreachable
CISCO, фильтрация по MAC адресам?
« Ответ #1 : 03 Февраля 2015, 14:55:14 »
Triangle, если я правильно понял этот не сильно связный текст - нет, по маку нельзя фильтровать. впн-сервер не знает мак-адрес удаленного устройства, если его специально не передавать каким-то параметром.
Not as ultimate as 42, but pretty close...

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5629
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
CISCO, фильтрация по MAC адресам?
« Ответ #2 : 03 Февраля 2015, 15:30:18 »
Понял ты меня правильно, Я вот тоже как бы смотрел думал и понял что не покатит. Подумал, а что если поднимать свой сервер DHCP на cisco, но тоже вижу только возможность задавать статические связки и не более. Тоже не вариант, да и как заставить ему раздавать только внешним клиентам...


Updated: 03 February 2015, 16:21:25

Изначальная задача, дать подключаться к сети только доверенным машинам, а не с первой попавшейся.
« Последнее редактирование: 03 Февраля 2015, 16:21:25 от Triangle »
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн ds0m

  • Ветеран
  • *****
  • Сообщений: 1281
  • Рейтинг: 21
  • Пол: Мужской
    • ds0m.spb@gmail.com
    • Просмотр профиля
  • Откуда: DC
CISCO, фильтрация по MAC адресам?
« Ответ #3 : 03 Февраля 2015, 17:07:52 »
Triangle, доверенные это доменные машины или не только?
<root> помимо принципа "работает - не трогай", есть ещё один важный принцип - "бритва Оккама" - "не приумножай сущность сверх необходимости"
А спонсор этого поста - прививка от бешенства. Прививка от бешенства - не твоя, вот ты и бесишься.

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5629
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
CISCO, фильтрация по MAC адресам?
« Ответ #4 : 03 Февраля 2015, 17:37:56 »
Увы нет, не только доменные.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5629
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
CISCO, фильтрация по MAC адресам?
« Ответ #5 : 20 Ноября 2017, 08:29:57 »
Раскопав... и всё же ну неужели нельзя ограничить выдачу адреса  ip local pool.  :-[
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн sirarthur

  • Постоялец
  • ***
  • Сообщений: 499
  • Рейтинг: 4
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: sub-MSK
CISCO, фильтрация по MAC адресам?
« Ответ #6 : 20 Ноября 2017, 23:18:41 »
вопрос то в чем? BYOD одолел? 802.х не спасет?


Updated: 20 November 2017, 23:21:28

не?
https://www.cisco.com/en/US/docs/ios-xml/ios/sec_usr_8021x/configuration/15-0m/sec-vpn-ac-802-1x.html

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5629
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
CISCO, фильтрация по MAC адресам?
« Ответ #7 : 20 Ноября 2017, 23:27:12 »
Ну не совсем BYOD, но вроде того, в филиалах анархия сцуко... По сути я всё думаю над тем как ограничить возможность подключения RAS VPN. У меня сейчас по факту обнаружено вхождение с нескольких устройств которых быть не должно.   :o
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн sirarthur

  • Постоялец
  • ***
  • Сообщений: 499
  • Рейтинг: 4
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: sub-MSK
CISCO, фильтрация по MAC адресам?
« Ответ #8 : 20 Ноября 2017, 23:38:56 »
ну попробуй 802.х к впн прикрутить


Updated: 20 November 2017, 23:40:30

только как ты делить устройства будешь   :pardon:

Онлайн Triangle

  • Модераторы
  • Олдфаг
  • *****
  • Сообщений: 5629
  • Рейтинг: 38
  • Пол: Мужской
    • s.popov-skype
    • Просмотр профиля
  • Откуда: замкадыш
CISCO, фильтрация по MAC адресам?
« Ответ #9 : 21 Ноября 2017, 08:19:16 »
Что то мне кажется что вообще все эти затеи не имеют смысла. .х это конечно да, но опять же в отсутсвии домена и политик это превратится в необходимость постоянно подкручивать что то ручками дистанционо в юзерских машинах.
Сегодня я подумал и решил, что не надо. Я вчера доложил о ситуации, объяснил все риски и предложил заменить пароли на токены или запилить двухфакторник... Мне сказали нам не надо. Ну не верят они что в их дружном коллективе есть крысы.
Тетрис научил нас жизненно важному пониманию, успехи исчезают, ошибки накапливаются.

Оффлайн sirarthur

  • Постоялец
  • ***
  • Сообщений: 499
  • Рейтинг: 4
  • Пол: Мужской
    • Просмотр профиля
  • Откуда: sub-MSK
CISCO, фильтрация по MAC адресам?
« Ответ #10 : 21 Ноября 2017, 13:22:52 »
Ну не верят они что в их дружном коллективе есть крысы.


Комментарий модератора флуд
« Последнее редактирование: 22 Ноября 2017, 06:47:23 от FessAectan »