User Tools
использовать_чужой_ip_адрес_в_сети
Differences
This shows you the differences between two versions of the page.
| Both sides previous revision Previous revision Next revision | Previous revision | ||
|
использовать_чужой_ip_адрес_в_сети [2026/04/29 10:10] val [Черновик] |
использовать_чужой_ip_адрес_в_сети [2026/05/15 20:18] (current) val [Шаг 1. Что у нас есть, для начала] |
||
|---|---|---|---|
| Line 19: | Line 19: | ||
| ===== Шаг 1. Что у нас есть, для начала ===== | ===== Шаг 1. Что у нас есть, для начала ===== | ||
| - | * [[Сети Cisco и Linux у Вас дома]] (убрать маршрут в LAN на gate.isp.un) | + | * [[Сети Cisco и Linux у Вас дома]] (cisco router, cisco switch, [[https://val.bmstu.ru/unix/img/My%20Documents/ubuntu_26.04_01.ova|Ubuntu 26]] server, win10 clientN + [[Chrome]]) |
| - | ===== Черновик ===== | + | ===== Шаг 2. Подготовка к новому сценарию ===== |
| + | |||
| + | * Убираем маршрут в LAN на gate.isp.un или можно его выключить и подключить cisco router через "мост" с ip адресом через домашний dhcp/static адрес | ||
| + | * Добавляем NAT на Cisco Router | ||
| - | Сценарий: | ||
| + | ===== Шаг 3. Настраиваем авторизованный доступ в Интернет через Captive Portal ===== | ||
| - | * Добавляем linux client1, устанавливаем arp-scan, добавляем [[Настройка сети в Linux#Использование NetworkManager]] (для демонстрации PPPoE и EAP подключений) | + | * Добавляем "злоумышленника" - [[https://val.bmstu.ru/unix/img/My%20Documents/lin%20client1%20deb13.ova|lin client1 deb13.ova]], устанавливаем arp-scan, добавляем [[Настройка сети в Linux#Использование NetworkManager]] (понадобится после "перевоспитания" для настроек PPPoE и EAP подключений) |
| * [[Сервис FreeRADIUS]] на server | * [[Сервис FreeRADIUS]] на server | ||
| * Заменяем Cisco Router на [[Сервис Captive Portal#pfSense]] c Captive Portal, [[Пакет OpenSSL#Создание самоподписанного сертификата]] wild сертификата, импортируем на windows (на linux не обязательно он будет "подделывать" адрес), открываем доступ в инет для server | * Заменяем Cisco Router на [[Сервис Captive Portal#pfSense]] c Captive Portal, [[Пакет OpenSSL#Создание самоподписанного сертификата]] wild сертификата, импортируем на windows (на linux не обязательно он будет "подделывать" адрес), открываем доступ в инет для server | ||
| Line 40: | Line 43: | ||
| * Хорошая новость для сетей WiFi, заменяем switch на hub, подмена IP/MAC перестает работать, причина - [[Утилиты для тестирования сети#tcpdump]] tcpflags rst. Плохая новость - может и работать, Windows10 "видит" чужой трафик, но, в отличии от linux, не отправляет rst пакеты, что не мешает использовать ее IP/MAC | * Хорошая новость для сетей WiFi, заменяем switch на hub, подмена IP/MAC перестает работать, причина - [[Утилиты для тестирования сети#tcpdump]] tcpflags rst. Плохая новость - может и работать, Windows10 "видит" чужой трафик, но, в отличии от linux, не отправляет rst пакеты, что не мешает использовать ее IP/MAC | ||
| + | |||
| + | ===== Шаг 3. Настраиваем авторизованный доступ в Интернет через PPPoE ===== | ||
| * Возвращаем "проводную сеть" (cisco switch) | * Возвращаем "проводную сеть" (cisco switch) | ||
| Line 46: | Line 51: | ||
| * Пробуем подделать IP на lin client1 | * Пробуем подделать IP на lin client1 | ||
| - | * Возвращаем "wifi", [[Оборудование уровня 3 Cisco Router]] с NAT, настраиваем [[Оборудование уровня 2 Cisco Catalyst]] с 802.1х, добавляем в DNS и клиенты raduis | + | ===== Шаг 4. Настраиваем авторизованный доступ в LAN через 802.1х ===== |
| - | сервера | + | |
| + | * Возвращаем "wifi", [[Оборудование уровня 3 Cisco Router]] с NAT, настраиваем [[Оборудование уровня 2 Cisco Catalyst]] с 802.1х, добавляем в DNS и клиенты raduis сервера | ||
| + | |||
| + | ===== Черновик ===== | ||
| * не попало в сценарий DHCP [[Сервис DHCP#Сообщение от клиента, что кто-то уже занял IP]] | * не попало в сценарий DHCP [[Сервис DHCP#Сообщение от клиента, что кто-то уже занял IP]] | ||
| Line 59: | Line 67: | ||
| interface FastEthernet1/0 | interface FastEthernet1/0 | ||
| description connection to LAN | description connection to LAN | ||
| - | ip address 192.168.13.1 255.255.255.0 | + | ip address 192.168.15.1 255.255.255.0 |
| no shutdown | no shutdown | ||
| ! | ! | ||
| interface FastEthernet1/1 | interface FastEthernet1/1 | ||
| description connection to ISP | description connection to ISP | ||
| - | ip address 172.16.1.13 255.255.255.0 | + | ip address 172.16.1.15 255.255.255.0 |
| no shutdown | no shutdown | ||
| ip route 0.0.0.0 0.0.0.0 172.16.1.254 | ip route 0.0.0.0 0.0.0.0 172.16.1.254 | ||
| - | ip dhcp excluded-address 192.168.13.1 192.168.13.100 | + | ip dhcp excluded-address 192.168.15.1 192.168.15.100 |
| - | ip dhcp excluded-address 192.168.13.110 192.168.13.254 | + | ip dhcp excluded-address 192.168.15.110 192.168.15.254 |
| ip dhcp pool LAN | ip dhcp pool LAN | ||
| - | network 192.168.13.0 255.255.255.0 | + | network 192.168.15.0 255.255.255.0 |
| - | default-router 192.168.13.1 | + | default-router 192.168.15.1 |
| - | dns-server 192.168.13.10 | + | dns-server 192.168.15.10 |
| - | domain-name corp13.un | + | domain-name corp15.un |
| lease 0 10 0 | lease 0 10 0 | ||
| ip access-list standard ACL_NAT | ip access-list standard ACL_NAT | ||
| - | permit 192.168.13.0 0.0.0.255 | + | permit 192.168.15.0 0.0.0.255 |
| deny any | deny any | ||
| Line 94: | Line 102: | ||
| ==== Switch ==== | ==== Switch ==== | ||
| <code> | <code> | ||
| + | hostname switch | ||
| + | |||
| + | interface VLAN1 | ||
| + | ip address 192.168.15.3 255.255.255.0 | ||
| + | |||
| + | no ip domain lookup | ||
| + | ip host server 192.168.15.10 | ||
| + | |||
| + | aaa new-model | ||
| + | aaa authentication login CONSOLE none | ||
| + | aaa authorization exec CONSOLE none | ||
| + | enable secret cisco | ||
| + | |||
| + | aaa authorization console | ||
| + | line con 0 | ||
| + | login authentication CONSOLE | ||
| + | authorization exec CONSOLE | ||
| + | privilege level 15 | ||
| + | |||
| + | radius-server host server auth-port 1812 acct-port 1813 | ||
| + | |||
| + | radius-server key testing123 | ||
| + | |||
| + | aaa authentication login default group radius enable | ||
| + | aaa authentication dot1x default group radius | ||
| </code> | </code> | ||
использовать_чужой_ip_адрес_в_сети.1777446635.txt.gz · Last modified: 2026/04/29 10:10 by val
Page Tools
Except where otherwise noted, content on this wiki is licensed under the following license: CC Attribution-Share Alike 4.0 International
