Подключение по ipoe активно что это
IPoE, а также Client-VLAN и DHCP Option 82
В этой статье я опишу что из себя представляет технология доступа в Интернет IPoE, которой на самом деле не существует. А также расскажу про схему Client-VLAN и про опцию 82 DHCP (DHCP Option 82), которые стали неотъемлемой частью этой несуществующей технологии. Все это, конечно же, с технической точки зрения и с примерами конфигов.
Существует множество технологий доступа в Интернет для конечных абонентов. В России особенно популярны две: PPTP и PPPoE. В обоих случаях создается PPP-туннель, производится аутентификация, и внутри туннеля ходит абонентский IP-трафик. Основное отличие этих протоколов – они работают на разных уровнях сетевой модели OSI. PPPoE работает на втором (канальном) уровне, добавляя специальные теги, идентифицирующие конкретный туннель, в Ethernet-фреймы. PPTP работает на третьем (сетевом) уровне, упаковывая IP-пакеты в GRE.
IPoE принципиально отличается от PPTP и PPPoE. Вообще этой технологии не существует. Нет RFC, нет никаких стандартов ее описывающих. Сам термин придуман, скорее всего, в России и является абстрактным. Означает он следующее: IP over Ethernet. Смысл именно такой, как и расшифровка – IP-трафик поверх Ethernet, грубо говоря, обычная локалка. Абоненту выдается в лучшем случае статический или динамический белый IP-адрес, в худшем случае серый IP с NAT. Контроль доступа в данном случае может осуществляется при помощи привязок IP-MAC на коммутаторах доступа или на BRAS или выделения VLAN на каждого абонента (так называемый Client-VLAN).
Client-VLAN
При использовании технологии Client-VLAN возникает проблема: как сэкономить IP-адреса? Ведь, если подумать, каждому клиенту надо выделять /30 подсеть. На самом деле проблема легко решаема. Привожу пример для маршрутизатора на базе Linux:
Подсеть 192.0.2.0/24 рекомендована IANA для использования в примерах.
Это классический Cisco’вский ip unnumbered в Linux’овой реализации. IP шлюза (192.0.2.1) вешается на loopback-интерфейс, делается unreachable для всей подсети, чтобы пакеты ходили только на хосты, для которых прописан роутинг. Далее поднимается VLAN и прописывается роутинг на конкретный хост (маска /32) с src шлюза. А можно сделать немного иначе (это лишний раз демонстрирует гибкость Linux):
Все эти варианты работают, можно выбрать тот, при котором интерфейсы отображаются наиболее удобным образом. Во всех случаях IP абонента – 192.0.2.101/24.
Proxy_arp
Еще одна проблема, с которой вы можете столкнуться – нет связи между абонентами в разных VLAN и с IP из одной подсети. Действительно, система абонента видит, что IP-адрес назначения в одной подсети с ней, и шлет ARP-запросы, чтобы определить MAC, но из этого ничего не выходит, т.к. они в разных VLAN. Для решения этой проблемы служит технология proxy_arp. Суть ее в том, что маршрутизатор при получении ARP-запросов с интерфейса будет проверять есть ли у него запрашиваемый IP на других интерфейсах. Если есть, то в ответ на ARP-запрос выдаст свой MAC. Таким образом, пакеты будут отправляться на маршрутизатор, который позаботится об их доставке. Включается proxy_arp для конкретного интерфейса следующим образом:
DHCP Option 82
192.168.0.1 – IP-адрес DHCP-сервера, доступного в управляющем VLAN.
Базовые настройки dhcp_local_relay:
И наконец приведу базовый конфиг для ISC’s DHCP с комментариями:
Технология IPoE: что это такое, отличие от PPPoE, настройка
Друзья, приветствую вас в очередной техностатье от WiFiGid про IPoE технологию! Технология уже давняя, но и сегодня активно применяется многими провайдерами. За не повсеместной распространенностью, в отличие от тех же PPPoE или Динамического IP, обзор получится несколько сжатым.
Если же вам чего-то не хватает, остались вопросы или есть чем поделиться – обязательно напишите комментарий к этой статье. Сайт живой, в ближайшее время постараемся ответить. Быть может именно ваш комментарий поможет будущим читателям этого материала!
Преимущества и недостатки технологии
Да, сразу с корабля на бал. Ну а чего Wi-Fi мять.
Что там с безопасностью?
В общем случае – с ней все нормально. О всех проблемах известно большинству провайдеров. Методы защиты применяются. О чем я?
В первом случае для подключения к ВАШЕЙ сети нужно заморочиться – врезаться в линию, поднять PPPoE сервер, перехватить логин и пароль, а уже потом авторизоваться и думать, как остатки интернета пробросить вам, чтобы вы ничего не заметили.
Второй случай проще – во многом достаточно просто врезаться в линию. И Ваш интернет в теории потекет у вашего соседа. Ну прямо как истории со взломанными Wi-Fi, только старо-советским способом. Конечно, так вряд ли кто-то будет заморачиваться, и ни один злой человек не захочет писать от вашего имени в интернете всякие гадости, но знать о возможной проблеме стоит.
О технологии
Согласен, не по порядку. Но большей части наших читателей и не нужно ничего знать об этой «технологии», которая на самом деле и не является как таковой технологией.
IPoE – IP over Ethernet
Если вдуматься в эту расшифровку (IP поверх Ethernet), получаем банальную локальную сеть (ну так почти и есть, т.е. соединение – DHCP из 90х годов). И вот эта банальность и сделала этот способ подключения популярным в свое время у нас. Ходят древние слухи, что саму идею придумали в России, отсюда у технологии и нет никакого стандарта RFC, т.е. технология и не является технологией, а некой додумкой энтузиастов.
Т.е. в том же PPPoE или PPTP весь трафик садится в PPP туннель, а здесь все идет в чистом виде локальной сети. Вот и главное отличие этой технологии от всех других. Отсюда ее вышеупомянутые преимущества и недостатки.
Доступ клиенты получают путем привязки MAC-адресов к портам коммутатора или сразу BRAS, а порой выделяют в отдельные VLAN на каждого клиента (и это уже приводит к изоляции клиентов).
Но все банальное не было бы таким эффектным здесь, пожалуй, без расширения DHCP – дополнительно используется Option 82. Эта «опция» позволяет назначать адреса конечным пользователям не только в привязке к их MAC-адресу (ведь пользователи могут менять свое оборудование, и тогда проблемы с перепривязкой лягут на техподдержку, особенно если нет веб-интерфейса), но и в зависимости от (грубо) коммутирующего оборудования провайдера.
Разница между PPPoE и IPoE
Так как на текущий день это две самые интересные технологии для пользователя, привожу сравнение:
| Критерий | PPPoE | IPoE |
|---|---|---|
| Контроль доступа и простота настройки | Логин и пароль уже привязаны к порту, необходимо вводить при каждом подключении логин и пароль. Обязательная настройка роутера или соединения. | Очень просто настраивается. Привязка устройства по MAC происходит автоматически без участия пользователя. При первичном заходе на любой сайт необходимо ввести логин и пароль для подтверждения привязки. Выполняется один раз до смены роутера. |
| Шифрование | Все данные попадают в PPP туннель | Нет |
| Скорость и пинг | За счет работы с шифрованием чуть ниже | Нет занижения |
| Цена для провайдера | Оборудование за счет контроля и мощностей на туннелирование будет дороже | Это простая локальная сеть – издержки снижаются |
| Цена для клиента | На высокоскоростных тарифных планах для расшифровки соединения старые роутеры могут подтормаживать (не в пример L2TP, но все же) | Работают табуретки из 90х – все летает |
Разница понятна? Тогда переходим к настройке.
Настройка IPoE
Друзья, это соединение было придумано для того, чтобы упростить жизнь всем пользователям (ну и разгрузить провайдера конечно же). Т.е. если вы подключаете свой компьютер-ноутбук напрямую без постороннего оборудования – ничего настраивать не нужно. При первом входе в интернет вам выкинется примерно такое окно:
Т.е. разово введете логин и пароль – и все. Но обычно у пользователей дома стоят роутеры, которые и дальше раздают интернет в вашей локальной сети (ведь у вас же не только один компьютер, но и телевизоры, телефоны, видеокамеры и прочая умная техника, пользующаяся интернетом).
Спешу успокоить – обычно достаточно просто подключить роутер, и на этом весь процесс настройки заканчивается (т.е. снова при первом входе в интернет нужно будет разово ввести логин и пароль, а дальше все будет работать уже автоматом).
Почему так происходит? Как правило, роутеры по умолчанию используют тип подключения «Динамический IP» (ну или DHCP), т.е. что и подразумевает автоматическое получение IP адреса. Обычно, мы, наоборот, входили в роутер, чтобы поменять эту настройку на ту же PPPoE, но по факту при этом типе соединения заходить никуда и не нужно.
Но порой роутерам все-таки нужно насильно задать этот режим. Как это сделать? Во-первых, узнайте точную модель своего роутера. Далее достаточно найти на нашем сайте или том же Ютубе инструкцию по его настройки, войти в веб-интерфейс и поставить этот тип подключения:
О провайдерах
Этот раздел как дополнение о работе провайдеров. Быть может, при необходимости и ваших просьбах будет пополняться. Вот список провайдеров, которые так или иначе были замечены в применении IPoE (пусть и не везде)
Некоторые провайдеры предоставляют своим пользователям возможность выбора – подключаться через PPPoE или IPoE. Эдакий выбор между приватностью и скоростью. У некоторых наоборот, выбор IPoE возможен только на определенных тарифах или регионах.
Проблема IPoE
В последнее время очень популярна стала технология IPoE. Популярна настолько, что некоторые провайдеры решились внедрить её в существующую сеть. И ведь действительно, на первый взгляд сплошные плюсы.
Приведу несколько плюсов на вскидку: в отличии, от PPPoE, не нужен дорогостоящий BRAS, не нужно тратиться на подсети внешних адресов, меньшая нагрузка на оборудование, за счет отсутствия тоннелей, нет необходимости гонять внутренний трафик через BRAS. Плюсов можно найти кучу, но, почему-то, мало кто задумался о минусах. На данную технологию даже нет RFC, не говоря уже о том, что многое дешевое оборудование, использующееся на доступе, не всегда корректно работает с options 82.
Самый главный минус, на мой взгляд – безопасность конечных пользователей.
Рассмотрим для примера metro ethernet сеть, в которой услуга предоставляется по технологии PPPoE (рис.1).
рис.1
Далее, на L3 коммутаторе агрегации, это собирается в C-Vlan вида 33290101, 33290102 итд.
В таком виде, это отправляется к BRAS. Причем, оборудование, которое стоит на канале между BRAS и роутером в кольце агрегации может и не поддерживать Q-in-Q.
При такой схеме, у каждого пользователя есть свой логин/пароль. И, даже если его украдет злоумышленник, то использовать он его сможет только с порта абонента. Если включится в другой порт, логин/пароль будет бесполезен.
Теперь, рассмотрим ситуацию, Когда пришел начальник Ибрагим Аврамович и сказал – я хочу IPoE (рис.2).
рис.2
Сказано – сделано. Вы перетрясли всю сеть. Сделали IPoE. В наиболее распространенном варианте, привязка будет идти к порту и маку коммутатора доступа. Завязали ваш dhcp сервер с биллингом, причем, вся завязка состоит в том, что биллинг отправляет куски конфига на dhcp сервер.
Поставили NAT! Теперь можно давать хомячкам серые адреса и натить, экономия же! Ибрагим Аврамович доволен, но замечает, что можно выдавать и белые адреса особо ретивым пользователям, за отдельную плату конечно.
Q-in-Q вы решили оставить, чтобы хоть как-то разделить пользователей.
Вы все сделали – вы молодец. От пользователей теперь не требуется вбивать логин и пароль, тех. поддержка забыла про ошибки 691. Ибрагим Аврамович выбирает новый Лексус. Вам дали прtмию 2048 рублей. Все счастливы.
Казалось бы, что может нарушить данную стройную идиллию? А нарушить её может схема, изображенная на рисунке 3.
рис.3
Пока, тетя Глаша и прочие жильцы на работе, Василий нагло врезается в кабель тети Глаши. Проводит кабель к себе домой. По 1,2,3,6 жиле, он будет сосать халявный интернет, а по оставшимся, он подключит тётю Глашу (что называется – по обратке), чтобы она ничего не заподозрила и не вызвала монтажника. Так как, никаких логин/паролей нет. Ничто не помешает Василию получить свой бесплатный интернет. А далее – дело техники. На роутере поднимается dhcp и NAT. Причем, при желании ip тете Глаше можно выдать из той же подсети, что использует провайдер, чтобы свести подозрения к минимуму. В случае, если серые ip выдаются не из пула, а существует жесткая привязка ip к порту, все ещё проще.
И так, Вася получил халявный интернет. Тетя Глаша ничего не заметила, только стала удивляться столь частым взломам любимых однакласников и – «картинкидолгогрузятся».
Послесловие:
Согласен, что некоторые делают ещё и привязку к mac адресу абонента. Но, господа, вы создаете себе геморрой. А если у хомячка нет локалки/роутера, а компьютера два, три итд? А если сгорела сетевая? Каждый раз звонить в тех/ поддержку и диктовать mac. И хорошо, если хомячек не впадет в панику, при слове mac. К тому же, Васе mac узнать не составляет труда, а подменить ещё проще.
К вопросу о СОРМЕ и кровавой Гэбне. Что мешает потомственному ваххабиту Ашоту прийти в любой подъезд, скрутить кабель, написать похабщины в интернете /накачать торрентов и скрыться не пойманным? Здесь не будет стопорных механизмов публичных wi-fi сетей.
На какое-то серьёзное исследование по безопасности естественно не претендую, но, на мой взгляд, есть повод задуматься.
Подключение по ipoe активно что это
Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)
Форум доступен по ссылке https://community.tp-link.com/ru
Просим Вас отнестись с пониманием к новому форуму, он находится в стадии доработки и в скором времени будет полностью завершен.
Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой «_RU».
Убедительная просьба не дублировать темы на старом/новом форуме.
Важная информация для пользователей БИЛАЙН (IPoE)
Важная информация для пользователей БИЛАЙН (IPoE)
Сообщение Victor_93 » 05 янв 2016, 09:15
Если БИЛАЙН в вашем городе перешел на IPOE. Для перенастройки роутера необходимо:
адрес веб-интерфейса: http://192.168.0.1
имя пользователя: admin
пароль: admin
Соединение Билайн на компьютере больше запускать не требуется.
Re: Важная информация для пользователей БИЛАЙН (IPoE)
Сообщение Victor_93 » 05 янв 2016, 15:51
Если вы поменяли пароль в личном кабинете БИЛАЙН:
Проверьте, что на компьютере отключено vpn-соединение Билайн
Через 5 минут интернет должен заработать
Re: Важная информация для пользователей БИЛАЙН (IPoE)
Сообщение Victor_93 » 03 сен 2016, 20:00
Чем привлекательна для подключения к интернету технология IPoE?
IPoE — это удобно и просто, а также дает пользователю дополнительные преимущества. Расскажем об IPoE подробно — в чем суть этого способа получения доступа к Сети, каковы плюсы и минусы такой технологии, как это работает с биллингом.
Что такое IPoE
О данной технологии стало известно в 2013 году. Протокол IPoE (аббревиатура от IP over Ethernet) создан с благой целью максимально упростить юзерам вход во Всемирную паутину. Включил компьютер или гаджет, открыл браузер и всё — можно серфить нужные сайты, без ввода логина с паролем.
Три способа реализовать такое подключение технически:
Заботясь о комфорте абонентов, большинство которых не желает (ленится, не умеет) выполнять настройку IPoE для своего устройства, провайдеры стараются обеспечить способ №2.
После этого настроенное нужным образом оборудование провайдера фиксирует MAC-адрес, выдает абоненту привязанный к нему IP-адрес, и в дальнейшем юзер входит в интернет свободно, не проходя каждый раз заново авторизацию, как при PPPoE.
В том и заключается между IPoE и PPPoE разница, что вторая технология, которая официально сертифицирована в RFC 2516, шифрует данные и защищает идентификатором отправителя, тем самым обеспечивая высочайшую безопасность; несертифицированный же протокол дает юзеру соединение с оборудованием провайдера без шифрования.
Много приятных плюсов и один жирный минус
Нетрудно понять, что такое IPoE подключение дает пользователю интернет гораздо бо´льшую скорость соединения с уменьшением ping и jitter. Это преимущество особенно важное для геймеров, любящих играть друг с другом онлайн, и бизнес-субъектов, чья деятельность требует качественной видеосвязи с партнерами и/либо потребителями товаров (услуг).
Другие плюсы данного протокола:
Один, но жирный минус IPoE связан с тем, что при использовании этого протокола соединение незашифрованное. Это позволяет нечистому на руку соседу абонента с помощью роутера и витой пары «врезаться» в кабель, которым добропорядочный интернет-юзер подключен к Сети. После этого злоумышленник получит возможность не только воровать чужую услугу, но и тайно распространять запрещенный законом контент.
Теоретически такой вор может также перехватывать чужие пароли к почтовым, финансовым и другим важным сервисам. Но практически это менее вероятно, так как администрация этих сервисов обеспечивает безопасность клиентов с помощью SSL-сертификатов и других средств.
Трудности провайдеров
Для провайдеров предоставление абонентам права выбора между двумя технологиями связано с серьезными затратами и техническими проблемами, так как возникает необходимость:
Выполнение этих задач требует не только обновления оборудования, но и применения новых IT-решений.
IPoE и биллинг
Предоставляя абонентам возможность применения IPoE, провайдеры предлагают им тарифы (пакеты) с безлимитным трафиком. Это избавляет поставщика услуг от необходимости вести учет трафика, потребляемого клиентом.
В этом случае на биллинге технология незашифрованного доступа в Сеть не отражается, сложных технических решений не требует. А клиенты и так предпочитают безлимит, когда объем потребляемого трафика не влияет на стоимость получаемой услуги.