abills.net.ua

Столкнулся с интересным эффектом у нас в локалке, решил поделиться с общественностью

При определенных условиях в сети вполне возможна комфортная работа нескольких компьютеров с идентичными ИП и маками. Условия - следующие:
1) Свичи спокойно переваривают наличие одного мака на нескольких портах (реалтеки по этому критерию подходят)
2) Все машины (или все, кроме самой медленной - в роли которой может выступать китайский роутер) работают с включенным брандмауэром, который дропает "левые" входящие пакеты.

Итого - картина примерно следующая получается: одна из машин отправляет запрос на соединение, указывая как 2й конец один из верхних портов (который с большой вероятностью оказывается свободным). При этом все ответные пакеты от сервера - будут приходить на обе машины, и тут возможны 2 варианта:
1) 2-я машина с брандмауэром - пакет просто дропается.
2) 2я машина "тугодум" - отправляет в ответ error, но 1-я машина успела отправить пакет подтверждения намного раньше, сервер успел уже его получить и обработать, и ответы 2й машины игнорирует.

P.S. неплохо бы завести ветку по околосетевому флейму...

та на нормальных свичах и зеркальный порт организовать можно... и туда ваще усё валиться будет

ЗЫ: под линухом тоже можно... где-то так:

tc filter add dev eth0 parent 1: protocol all \
prio 10 u32 match u32 0 0 \
action mirred egress mirror dev eth1

не путать с egress redirect

Можно, но речь идет немного не об этом

тада не уловил сути... а зачем оно ваще?

Если локалка построена на "глупых" свичах без фиксации мака на порту - получаем вполне комфортную работу нескольких пользователей с одним и тем же ИП/маком в пределах сегмента.
Актуально для "dualaccess"-доступа (о "классической" авторизации по маку вообще молчу - ИМХО ее уже нигде не осталось).

P.S. А ведь ИМХО никто не помешает таким образом и одним GRE туннелем пользоваться - другое дело, что готовых решений AFAIK пока еще нет

с пппое думаю ваще не прокатит... там жеш ещё всякие куки и идентификаторы сессии имеются наскока помню...

root@zsh root> pppoe-discovery -I vlan4
Access-Concentrator: XXXXX
Got a cookie: 41 88 46 35 4c 0e 73 34 84 4a 4d bd bf 88 8d 2d
--------------------------------------------------
AC-Ethernet-Address: 00:90:1a:42:bb:cb
Access-Concentrator: YYYYY
Got a cookie: 8d ff 97 d7 7d 65 f5 2b ca 26 3e e3 78 33 ef f8
--------------------------------------------------
AC-Ethernet-Address: 00:90:1a:42:b6:02
Access-Concentrator: ZZZZZ
Got a cookie: 12 ef fb 6d f4 36 aa 17 8f c4 cc b5 d2 f4 5d 13
--------------------------------------------------
AC-Ethernet-Address: 00:90:1a:42:31:43

Но их-то можно перехватить Хотя - я в детали туннельных протоколов особо не вникал, но, думается, особой проблемы попользовать чужой некриптованный туннель не составит...

у меня 3 зверя 1 анлимом пользовались с pptp, при условии что в настройках биллинга стояло 1 соединение, соединение то и было одно, только они его разделяли на 3, скорость примерно по 1/3, и нормально, как они это делали я так и не понял, спалились они когда родитель купившего этот анлим пожаловался на скорость, и после этого, все 3 работают на вланахи друг друга не видят вообще, а выпатать у них, как они это сделали, не используя программ по раздачи трафика и прочего, я не смог.
можно было конечно старым дедовским способом, но меня ж могут посадить (

Эм... может было просто расшарено подключение средствами винды на машине, где поднимался vpn, а они просто шлюзы на него прописали? Что-то мне слабо верится в перехват, внедрение и получение трафика из чужого туннеля.

Я кстати тоже слышал вроде как от поддержки, что у кое-кого при работе 2 компов с одним ип+мак при установке впн соединения одном из них - на 2м вдруг волшебным образом появлялся инет - но вживую этого не видел и воспроизвести данную ситуацию не смог.

NiTr0 писал(а):Я кстати тоже слышал вроде как от поддержки, что у кое-кого при работе 2 компов с одним ип+мак при установке впн соединения одном из них - на 2м вдруг волшебным образом появлялся инет - но вживую этого не видел и воспроизвести данную ситуацию не смог.

да ну чушь... ну подумай сам... даже если дублированы ип/мак... даже если тупой свич дублирует фреймы в 2 порта... откуда сетевой стек 2-го тазика знает о наличии какого-то туннеля? кто инкапсулировать/декапсулировать в туннельный протокол-то будет???в лучшем/худшем случае с сеткой проблемы будут... какие именно навскидку сказать сложно...

Я-то понимаю Но то, что мне о подобном сообщали - факт. Хотя внятного ничего об этом тогда от поддержки не узнал - кроме того, что видели своими глазами как на 2 компах одновременно есть инет - при том что ВПН работает только на одном. Дома, ессно, тоже ничего аналогичного смоделировать не удалось.