Differences

This shows you the differences between two versions of the page.

--- использовать_чужой_ip_адрес_в_сети [2026/05/17 14:04]
val [Switch]
+++ использовать_чужой_ip_адрес_в_сети [2026/06/01 12:52] (current)
val [Запись вебинара]
@@ Line 13: / Line 13: @@
 ===== Запись вебинара =====
-  * Ютуб:
+  * Ютуб: https://youtu.be/Fsev_5-ZlMU
+  * Вк: https://vkvideo.ru/video-2190892_456239501
+  * Рутуб: https://rutube.ru/video/private/10471ceadda188e86c047f6fdd1e7dec/
-  * Тэги: ACD, IP, MAC, ARP, RFC5227, Captive portal, PPPoE, 802.1x, EAP
+  * Тэги: Linux, pfSense, Cisco, ACD, TCP, IP, MAC, ARP, RFC5227, Captive portal, NetworkManager, PPPoE, 802.1x, EAP
 ===== Шаг 1. Что у нас есть, для начала =====
@@ Line 21: / Line 23: @@
   * [[Сети Cisco и Linux у Вас дома]] (cisco router, cisco switch, [[https://val.bmstu.ru/unix/img/My%20Documents/ubuntu_26.04_01.ova|Ubuntu 26]] server, win10 clientN + [[Chrome]])
-===== Шаг 2. Подготовка к новому сценарию =====
+===== Шаг 2. Настраиваем авторизованный доступ в Интернет через Captive Portal =====
-  * Убираем маршрут в LAN на gate.isp.un или можно его выключить и подключить cisco router через "мост" с ip адресом через домашний dhcp/static адрес
+  * Добавляем "злоумышленника" - [[https://val.bmstu.ru/unix/img/My%20Documents/lin%20client1%20deb13.ova|lin client1 deb13.ova]]
-  * Добавляем NAT на Cisco Router
+  * подключаемся к его [[Оборудование уровня 3 Cisco Router#Настройка DHCP сервиса|ip]], устанавливаем [[Настройка сети в Linux#Команды для диагностики|arp-scan]]
+  * добавляем [[Настройка сети в Linux#Использование NetworkManager]] вместо ifupdown (понадобится после "перевоспитания" для настроек PPPoE и EAP подключений)
+  * Разворачиваем [[Сервис FreeRADIUS]] на server (пока только установить)
-===== Шаг 3. Настраиваем авторизованный доступ в Интернет через Captive Portal =====
+  * Заменяем Cisco Router на [[Сервис Captive Portal#pfSense]] c Captive Portal
+  * импортируем сертификат на windows (на linux не обязательно, он будет "подделывать" адрес), открываем доступ в инет для server
-  * Добавляем "злоумышленника" - [[https://val.bmstu.ru/unix/img/My%20Documents/lin%20client1%20deb13.ova|lin client1 deb13.ova]], подключаемся к его [[Оборудование уровня 3 Cisco Router#Настройка DHCP сервиса|ip]], устанавливаем [[Настройка сети в Linux#Команды для диагностики|arp-scan]], ??? может когда подменим адрес? добавляем [[Настройка сети в Linux#Использование NetworkManager]] (понадобится после "перевоспитания" для настроек PPPoE и EAP подключений)
-  * [[Сервис FreeRADIUS]] на server
-  * Заменяем Cisco Router на [[Сервис Captive Portal#pfSense]] c Captive Portal, [[Пакет OpenSSL#Создание самоподписанного сертификата]] wild сертификата, импортируем на windows (на linux не обязательно он будет "подделывать" адрес), открываем доступ в инет для server
   * Подключемся к Internet через win win clientN
   * Разворачиваем [[Сервис arpwatch]] на server
   * На client1, используя [[Настройка сети в Linux#Команды для диагностики]], выясняем IP/MAC clientN
-  * С помощью [[Настройка сети в Linux#Настройка параметров с использованием утилиты ip]] подменяем IP (dhcpcd остановится автоматически, можно не отключать [[Настройка сети в Linux#Динамическая настройка ip параметров]])
+  * С помощью [[Настройка сети в Linux#Настройка параметров с использованием утилиты ip]] подменяем IP
   * Смотрим журналы [[Сервис arpwatch]] и [[Сервис Captive Portal#pfSense]]
@@ Line 46: / Line 48: @@
   * "Ужасаемся", скачивая [[Утилита Wireshark]] на win clientN (может прерываться, см [[Утилиты для тестирования сети#tcpdump]] tcpflags rst) и, "серфя" интернет или добавляя [[Настройка сети в Linux#Использование NetworkManager]] (пока не настраиваем) на lin client1
-  * Хорошая новость для сетей WiFi, заменяем switch на hub, подмена IP/MAC работает значительно хуже, причина - [[Утилиты для тестирования сети#tcpdump]] tcpflags rst "долетают" гораздо чаще. Плохая новость - Windows10 "видит" чужой трафик, но, в отличии от linux, не отправляет rst пакеты, что позволяет продолжать использовать ее IP/MAC, а так же параллельно работать с одним MAC/IP нескольким windows компьютерам, можно проверить, добавить win client2, у клона будет тот же MAC, получит тот же IP
+  * Хорошая новость для сетей WiFi, заменяем switch на hub, подмена IP/MAC работает значительно хуже, причина - [[Утилиты для тестирования сети#tcpdump]] tcpflags rst "долетают" гораздо чаще.
+  * Плохая новость - Windows10 "видит" чужой трафик, но, в отличии от linux, не отправляет rst пакеты, что позволяет продолжать использовать ее IP/MAC, а так же параллельно работать с одним MAC/IP нескольким windows компьютерам, можно проверить, добавить win client2, у клона будет тот же MAC, получит тот же IP
 ===== Шаг 3. Настраиваем авторизованный доступ в Интернет через PPPoE =====
-  * выключаем pfSense и все client
+  * Выключаем pfSense и все client
   * Возвращаем "проводную сеть" (удалаем hub, включаем cisco switch)
-  * Заменяем pfSense на linux gate ([[https://val.bmstu.ru/unix/img/My%20Documents/debian_13.1_64_02.ova|Debian 13]]) с dhcp и [[Сервис NAT]] для server
+  * Заменяем pfSense на linux gate ([[https://val.bmstu.ru/unix/img/My%20Documents/debian_13.1_64_02.ova|Debian 13]])
-  * [[Сервис PPPoE]]
+  * Настраиваем DHCP и [[Сервис NAT]] для server (убираем маршрут в LAN на gate.isp.un)
+  * Настраиваем  [[Сервис PPPoE]]
   * Пробуем подделать IP на lin client1, можно попробовать взять адрес из сети 192.168.100+X/24
-  * Нстраисаем PPPoE подключение lin client1
+  * Нстраиваем PPPoE подключение lin client1
 ===== Шаг 4. Настраиваем авторизованный доступ в LAN через 802.1х =====
+  * [[https://youtu.be/b57UNjEQ7fA|Использование Microsoft AD для 802.1x]] ([[https://rutube.ru/video/3a22617aedc09ee23d2f216bef79d64a/|RuTube]])
   * Выключаем gate и все client
-  * Возвращаем "wifi", [[Оборудование уровня 3 Cisco Router]] с NAT,
+  * Возвращаем "wifi", [[Оборудование уровня 3 Cisco Router]] с NAT
-  * Настраиваем базово [[Оборудование уровня 2 Cisco Catalyst]] добавляем switch в DNS
+  * добавляем switch в DNS
-  * Добавляем switch в клиенты [[Сервис FreeRADIUS]], настраиваем поддержку [[Сервис FreeRADIUS#EAP]] в FreeRADIUS
+  * Добавляем switch в клиенты [[Сервис FreeRADIUS]],
-  * Включаем radius, 802.1х на switch портах клиентов
+  * Настраиваем [[Оборудование уровня 2 Cisco Catalyst]] и [[AAA]], тестируем через telnet
+<code>
+root@server:~# scp wild.crt student@192.168.15.1NN:
+</code>
+  * Настраиваем поддержку [[Сервис FreeRADIUS#EAP]] в FreeRADIUS
+  * [[Оборудование уровня 2 Cisco Catalyst#Настройка 802.1x]] на switch портах клиентов
+  * Показать необходимость импорта сертификата на win client2 (заодно, можно добавить пользователя student в radius)
 ===== Вопросы? =====
@@ Line 154: / Line 166: @@
 aaa authentication dot1x default group radius
 </code>
+  * [[Оборудование уровня 2 Cisco Catalyst#Настройка 802.1x]]

Методические материалы Лохтурова Вячеслава

User Tools

Site Tools

Differences

Page Tools