Sitat av
willosof
DirectConnect sitt system baserer seg stort sett på Mikrotik RouterBOARDs med retningsbestemte antenner på klientsiden. Gjerne slike antenner med plass til RB'ene inni, slik at det bare trengs ethernet inn til boksen (hvor man da injiserer PoE på innsiden).
Klienter har stort sett RB 711-5Hn-MMCX, RB112, RB411, RB750, RB133.
AP'er har stort sett RB433 eller x86 (da sansynligvis RouterOS installert på normale maskiner med minipci-porter e.l.)
Man ser også RB411 og RB433 på repeatere og sitelinker.
Som kunde får man da tilsendt ferdig konfigurerte bokser (evt at de logger seg inn i etterkant og confer opp det de trenger), slik at routeros er satt opp til å koble opp mot en PPPoE server. Så, alt ligger vel på samme Lag2-nett. Dette er nok også av praktiske årsaker, da man med Mikrotik administrerer over Mac-Telnet (evt winbox), som baserer seg på ren lag2-kommunikasjon, slik at man ikke behøver IP satt opp på enheten for å administrere.
RouterOS'ene ute hos kundene får navn (identity) ut i fra brukernavnet man har hos DC, som da også er brukernavnet man kobler opp mot PPPoE med. Dvs, antenna gjør stort sett det for deg, og NATer videre inn til kunden.
Har man fast IP, konfigurerer de antenna i bridgemode, slik at antenna og ethernetporten blir bridga. Da får man naturlig nok også all broadcast-trafikken til hele lag2nettet dems, og ergo neightbor-oversikt osv, over andre antenner som er i live osv for discovery (Mikrotik sin versjon av CDP). Man må da selv med en egen enhet på innsiden koble seg opp med PPPoE for å tilegne seg den faste IPen på innsiden.
Svakheter her, er da om en kunde med fast ip klarer å koble litt feil i nettverket sitt, slik at man også deler DHCP ut til DC sitt lag2, så vil andre kunder (også med fast ip), motta ip fra den andre kundens dhcpserver ;-P og selvfølgelig kommunisere direkte her.
Her må man huske at man kun betaler for den hastigheten man betaler for, og jeg tviler på at DC blir særlig fornøyde om du utnytter det åpne lag2-nettet til trafikk direkte mellom kunder. Dette vil jo med mindre DC struper hastigheten på ethernet-interfacet faktisk kunne makse ut hele trådløslinken. Ugunstig for resten av kundene i nærheten som er koblet mot samme antenner/path.
Og, til dere som spekulerer i om det er mulig å hente ut brukernavn/passord i config-fila til antenna, så må man naturligvis få logget seg inn på den før man kan få vite det. Det er intensjonelt gjort vanskelig på RouterBOARDS, og det nærmeste du eventuelt kan gjøre er vel å resette antenna og sette den opp med egen config. Men, da har du forsåvidt ikke internett heller :-)
Jæ. Det er det jeg orker å skrive i denne omgang :P
(hvorfor vet jeg så mye om det her? Jeg har både vært kunde av DC i noen år, samt at jeg jobber med Mikrotik/RouterOS og nettverk, inkludert at jeg har drift hos en haug med andre DC-kunder)
Til slutt, jeg har ingenting å gjøre med DirectConnect, og kan på ingen måte garantere for noe av informasjonen over :-)
Litt til:
Det stemmer vel forøvrig at de kjører 5ghz. Har aldri forsket noe særlig på akkurat det. Men om du vil prøve å finne login på et RB er det vel bare å koble til serieporten og/eller ethernet+mactelnet, og kode no lyssky greier til å bruteforce.
Tviler på du finner noe særlig interessant config som er verdt bryderiet. Men du kan jo alltids kjøpe deg ditt eget tilsvarende utstyr
Jeg selger! :-D
Her er det endel feilinformasjon (om DC gjør dette eller ikke vet ikke jeg).
I mikrotik er man ikke avhengig av å kjøre bridge inn til kunden for å levere fast IP. Man kan gjerne route et kundenett (internt) til en pppoe adresse (eksternt) som blir gateway for de interne IP addresser. Dette fikses av radius serveren som pppoe kobler til. Man legger da en ip på pppoe interfacet, og et subnet på et eller flere interne interface. Dette er således routet, og man har ingen lag2 forbindelse ut.
Videre er det fult mulig med mange teknologier for å bygge lag2 nett, uten kobling mellom kunder. Først er det vanlig å kjøre bridge filtrering. Denne kan man "dra" så langt at kun pppoe trafikk "kommer" igjennom. Videre kjører man ofte horizon å bridge interface. Dvs, man kjører kun trafikk innover mot "kjærnen" og ikke ut via andre interface I et stjerne nett. Det er også vanlig å kjøre uten default forward på wlan. DVS, man nå ikke andre klienter koblet til same sone.
Når det skal sies, er ikke største problemet med lag2 net dhcp, dette finnes det svært mange måer å stoppe, men det største problemet er at det finnes svært mange måtter å tulle til med, feks å loope nettet.
I dag går fler og fler over på MPLS og routede nett, med lag2 over dette via VPLS. Routingtabeller kan sendes direkte over med vrf.
Vil man "hacke" mikrotik, er dette svært enkelt, og det finnes utallige software for dette. Både med bruk av .backup filer, men også direkte tilgang på antennen. Ved bruk av seriekabel, kan alle enheter bootes via bootp, og man kan starte op pen eller annen Linux distro (eksempelvis openwrt). Her kan man hente ut filer, eksempelvis passordfilen, så kan man videre bruke forskjellige type software som finnes på nett for å hente ut/dekryptere dette.
Det er heller ikke vanlig å administrere over lag2, men det er MULIG å gjøre dette. Videre finnes det mange måter for administrasjon, SNMP, api etc.
Et lite fint bridge filter (hvor 10.0.0.0/8 er til management)
/ interface bridge {
:foreach x in=[ filter find ] do={ filter remove $x };
:foreach x in=[ port find dynamic=no ] do={ port remove $x };
:foreach x in=[ find ] do={ remove $x }
add name=bridge ageing-time=30m disabled=no
filter add chain=forward mac-protocol=ip ip-protocol=udp dst-address=255.255.255.255/32 comment="[udp], broadcast"
filter add chain=forward action=drop comment=default
:foreach i in=[ .. ethernet find ] do={ port add interface=$i bridge=bridge disabled=yes }
:foreach i in=[ .. wireless find ] do={ :if ( [ :typeof [ .. wireless info get $i pci-info ] ] = "str" && [ :find $ifpci [ .. wireless info get $i pci-info ] ] > 1 ) do={ port add interface=$i bridge=bridge disabled=yes } }
add name=bridge-filter interval=30s start-date=Jan/01/1970 start-time=00:01:00 disabled=no on-event={ / interface bridge filter { :foreach v in=[ :toarray [ / interface pppoe-client monitor pppoe once as-value ] ] do={ :if ( [
ick $v 0 [ :find $v "=" ] ] = "ac-mac" ) do={ :local acmac [ :tostr [
ick $v ( [ :find $v "=" ] + 1 ) [ :len $v ] ] ]; :local bport [ / interface bridge host get [ / interface bridge host find mac-address=$acmac ] on-interface ]; :foreach x in=[ find ] do={ remove $x }; add chain=forward action=drop in-interface="!$bport" out-interface="!$bport" comment="force-forward"; add chain=forward action=drop src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF comment="src-is-zero"; add chain=forward mac-protocol=34916 packet-type=other-host src-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 comment="[pppoe-session]"; add chain=forward mac-protocol=34915 src-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 packet-type=!multicast comment="[pppoe-discovery]"; add chain=forward mac-protocol=ip src-address=10.0.0.0/8 dst-address=10.0.0.0/8 packet-type=other-host src-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 comment="[ip], 10.0.0.0/8"; add chain=forward mac-protocol=arp arp-src-address=10.0.0.0/8 arp-dst-address=10.0.0.0/8 packet-type=!multicast src-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 comment="[arp], 10.0.0.0/8"; add chain=forward mac-protocol=ip ip-protocol=udp src-port=20561 src-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 dst-port=20561 dst-mac-address=00:00:00:00:00:00/01:00:00:00:00:00 dst-address=255.255.255.255/32 comment="[udp], mac-telnet"; add chain=forward action=log log-prefix=DEFAULT comment="default" disabled=yes; add chain=forward action=drop comment="default"; add chain=output action=drop src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF comment="src-is-zero"; add chain=output mac-protocol=1 802.3-sap=0xAA action=drop comment="[802.3], discovery"; :foreach s in=[ / system scheduler find name=bridge-filter ] do={ / system scheduler disable $s } } } } }
}
(fin fin endring av kode her I foumet)
