• Казалось бы, что ответ очевидный, кто-то видел сообщения о конфликте IP адресов, кто-то даже знает про стандарт RFC 5227 (Address Conflict Detection) но, он НЕ верный. Даже ИИ (LLM на весну 2026 года) не верит, что это возможно. Тем важнее будет убедиться, что “защита по IP” это иллюзия и не нужно использовать такие решения

• Развернуть авторизованный доступ в интернет с использованием технологии Captive portal
• Убедиться, что есть способ обойти авторизацию и научиться фиксировать этот факт
• Настроить авторизованный доступ с использованием технологии EAP 802.1x

• Ютуб:

• Тэги: ACD, IP, MAC, ARP, RFC5227, Captive portal, 802.1x, EAP

• Сети Cisco и Linux у Вас дома (убрать маршрут в LAN на gate.isp.un)

Сценарий:

• Добавляем linux client1, устанавливаем arp-scan
• Сервис FreeRADIUS на server
• Заменяем Cisco Router на pfSense c Captive Portal, Создание самоподписанного сертификата wild сертификата, импортируем на windows (на linux не обязательно он будет “подделывать” адрес), открываем доступ в инет для server
• Подключемся к Internet через win win clientN
• Разворачиваем Сервис arpwatch на server

• На client1, используя Команды для диагностики, выясняем IP/MAC clientN и с помощью Настройка параметров с использованием утилиты ip отключаем dhcp, заменяем сначала IP, смотрим журналы на server и pfsense, а потом и MAC (добавляем dns в resolv.conf)
• Смотрим сообщения на server и Просмотр таблицы mac адресов Cisco Catalyst (записать вебинар про анализ журналов в zabbix)
• “Ужасаемся”, скачивая WireShark на win client и “серфя” интернет на lin client

• Хорошая новость для сетей WiFi, заменяем switch на hub, подмена IP/MAC перестает работать, причина - tcpdump tcpflags rst. Плохая новость - может и работать, Windows10 “видит” чужой трафик, но, в отличии от linux, не отправляет rst пакеты, что не мешает использовать ее IP/MAC

• Возвращаем “проводную сеть” (cisco switch)
• Заменяем pfSense на linux gate
• Сервис PPPoE
• Пробуем подделать IP на lin client1

• Возвращаем “wifi”, Оборудование уровня 3 Cisco Router с NAT, настраиваем 802.1х,

• не попало в сценарий DHCP Сообщение от клиента, что кто-то уже занял IP

hostname router

interface FastEthernet1/0
 description connection to LAN
 ip address 192.168.13.1 255.255.255.0
 no shutdown
!
interface FastEthernet1/1
 description connection to ISP
 ip address 172.16.1.13 255.255.255.0
 no shutdown
 
ip route 0.0.0.0 0.0.0.0 172.16.1.254

ip dhcp excluded-address 192.168.13.1 192.168.13.100
ip dhcp excluded-address 192.168.13.110 192.168.13.254

ip dhcp pool LAN
   network 192.168.13.0 255.255.255.0
   default-router 192.168.13.1
   dns-server 192.168.13.10
   domain-name corp13.un
   lease 0 10 0
   
ip access-list standard ACL_NAT
 permit 192.168.13.0 0.0.0.255
 deny any

ip nat inside source list ACL_NAT interface FastEthernet1/1 overload

interface FastEthernet1/0
 ip nat inside

interface FastEthernet1/1
 ip nat outside