Mac адрес от роутера к провайдеру

9715 / 2470 / 52

Регистрация: 06.03.2009

Сообщений: 8,500

Тема для теоретического и практического изучения вопроса,для формирования FAQ и MANUAL в ситуации когда провайдер выдает услуги на основании привязки к MAC адресу сетевого оборудования.
после заполнения тема будет прикреплена как важная.

1.Практические шаги
2.Теория (почему и как это выглядит)

Пожалуйста господа:

MAC-адрес — низкоуровневый адрес сетевого устройства. Прошивается в железо, должен быть уникальным.

А на сколько он действительно уникален?
48 бит (281 474 976 710 656 значений). В пределах одной сети обязан быть уникальным. Если две сетевые карты имеют одинаковый MAC-адрес — то одновременно в одной локальной сети они работать не смогут.

как определить MAC сетевой карты в Виндовс
Запустите консоль командой Cmd (либо Пуск\Программы\Стандартные\Командная строка), в ней дайте команду ipconfig /all

как можно изменить MAC адрес сетевой карты в виндовс?
http://sourceforge.net/projects/macspoof/ — можно попробовать так.

как определить MAC сетевой карты в *nix
запускаем консоль и вводим команду: ifconfig eth0

как подключить два и более компьютеров к интернет, если провайдер выдает услугу по MAC?
Приобрести роутер, желательно просмотреть мануал, есть ли поддержка на роутере функции «клонирования» MAC адреса, например как это выглядит на Zyxel P330W-EE (см.картинку)
1.Ручное внесение MAC,
2. клонирование MAC с определенного компьютера внутренней сети.
Или поставить на компьютер «зарегистрированный» у провайдера вторую сетевую карты и организовать на нем прокси сервер.

Миниатюры

11327 / 4299 / 443

Регистрация: 12.06.2008

Сообщений: 12,381

Можно в свойствах сетевой карты на вкладке «Дополнительно» указать вручную графу «Сетевой адрес». Хотя, я слышал истории, что для некоторых сетевых карт нельзя изменить MAC адрес, но я таких не встречал.

9715 / 2470 / 52

Регистрация: 06.03.2009

Сообщений: 8,500

это действительно так. Есть такие карты, точнее выпускались, но еще встречаются.

0 / 0 / 0

Регистрация: 19.09.2009

Сообщений: 6

7175 / 3234 / 81

Регистрация: 17.06.2009

Сообщений: 14,164

Там не 48 бит — а меньше. Есть например бит, обозначающий multicast. Так что уже 47 бит.

Нужно уточнить что обозначает фраза «вся сеть».
Вся сеть может состоять из нескольких подсетей.
Адрес должен быть уникальным в пределах физической подсети.
Но это еще не все.
Если есть роутер/switch, подключенный к двум подсетям, то адреса в этих подсетях должны быть уникальные одновременно для двух подсетей !
Иначе роутер/switch не сможет различить в какой из двух подсетей находится сетевая карта и алгоритмы работы роутера/switch дадут сбой.

9715 / 2470 / 52

Регистрация: 06.03.2009

Сообщений: 8,500

Скажу честно, ничего не понял, то есть если я в инете и в локалке, то есть в глобальной сети и в локальной, у меня должно быть на одном девайсе 2 MAC? Или если я в домашней сети и в локальной сети провайдера, то есть типа внутренней, то опять же MAC должен быть раздвоенный какой то?

11327 / 4299 / 443

Регистрация: 12.06.2008

Сообщений: 12,381

3077 / 531 / 11

Регистрация: 29.08.2008

Сообщений: 1,687

как определить MAC сетевой карты в *nix
запускаем консоль и вводим команду: ifconfig eth0

Изменение MAC-адреса в *nix системах требует прав root.

Linux

1) Отключаем интерфейс: «ifconfig eth0 down» или «ifdown eth0»
2) Изменяем MAC: «ifconfig eth0 hw ether 00:00:00:00:00:01»
3) Включаем интерфейс:»ifconfig eth0 up» или «ifup eth0»

FreeBSD

1) Отключаем интерфейс: «ifconfig xl0 down»
2) Изменяем MAC: «ifconfig xl0 link ether 00:00:00:00:00:01»
3) Включаем интерфейс:»ifconfig xl0 up»

В виндах всё несколько сложнее.

Windows 2000/XP
Узнать текущий MAC легко в консоли командой getmac. Для изменения же есть два пути — через реестр и через контрольную панель. Но сначала:
1) Зайдите в систему как Администратор.
2) Откройте Пуск-> Панель управления. Откройте «Сетевые подключения». Выделите нужный сетевой интерфейс, зайдите в его Свойства (правым кликом).
3) Сейчас Вы видите, какому устройству соответствует данный сетевой интерфейс. Теперь есть два пути:

А. Изменение через «Настройку»
а) Нажмите «Настроить», откройте закладку «Дополнительно».
б) В дополнительных свойствах выберите»Network Address» (или «Locally Administered Address».
в) Введите новый адрес в поле «Значение». Знак «-» при указании MAC не нужен.
г) Закройте окно. Теперь надо проверить. Откройте консоль через «Пуск-> Выполнить-> cmd». Выполните «ipconfig /all» Если MAC не сменился, меняeте через реестр.

Б. Через реестр.
а) Запускаем regedit: «Пуск-> Выполнить->regedt32». Обратите внимание: не «Regedit».
б) Открываем раздел «HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}»
в) Ищем наш подраздел. Подразделы описывают сетевые интерфейсы всех имеющихся сетевых адаптеров и отображаются в виде 4-х значных чисел 0000, 0001, 0002 и т.д. Не уходите в подключи Linkage и Ndi. По ключу 000x\»DriverDesc» находим нужный нам интерфейс. Он будет содержать имя сетевой карты.
г) Изменяем (добавляем, если нужно, тип данных — REG_SZ) ключ «NetworkAddress». Вводим новый адрес.
д) Не трогайте DriverDateData.
е) Отключаем, затем включаем сетевой интерфейс в окне «Сетевые подключения».

4) После изменений хорошо бы перегрузиться.

Windows 9x
Всё тоже самое, что и в случае Windows 2000/XP, но имя подраздела реестра «HKLM\System\CurrentControlSet\Services\Class\Net». Кроме того, перегрузка обязательна.

9715 / 2470 / 52

Регистрация: 06.03.2009

Сообщений: 8,500

сдается мне , что MAC адреса будут у каждого порта разные, просто тупо если девайс предусмотрен на подобную задачу, что они будут разные, без оговорок, а если не предусмотрен, то он и не будет роутерить шлюзом несколько сетей.

7175 / 3234 / 81

Регистрация: 17.06.2009

Сообщений: 14,164

Тут момент что должны быть различны MAC-адреса сетевых карт, а не самого роутера.
То что у роутера различны MAC-адреса на всех интерфейсах — это само собой.
Switch в такой ситуации с дубликатами MAC-адресов точно запутается.
Роутер может как работать, так и не работать, поэтому лучше не допускать такой ситуации.
Тут еще прикол в том, что умный роутер может отслеживать по MAC когда например комп перешел из одной подсети в другую — для отслеживания циклов в графе сети и других проблем.
Это слежение базируется на том что все MAC-ки всех компов подключенных к роутеру различны. На дубликат MAC-адреса умный роутер может плохо отреагировать — например заблокировать на 5 минут этот MAC.

Добавлено через 5 минут
Еще дополнительная информация про MAC-адрес: http://ru.wikipedia.org/wiki/MAC-адрес

9715 / 2470 / 52

Регистрация: 06.03.2009

Сообщений: 8,500

вики конечно хорошо, НО:

диагональное чтение рулит дома. Тут бы желательно информативно на уровне «языка простого общения», а завернуть про то что

"сточкизрениябанальнойэрудицииипарадоксальныхвозможностейневсякийиндивидуумспособенвоспринятьфактыпротиворечащиеегоумственномуифизическомуразвитию "

умельцев много.

0 / 0 / 0

Регистрация: 30.10.2009

Сообщений: 10

Практический вопрос — MAC и VPN через маршрутизатор, будут ли дружить?

Есть маршрутизатор с 2 WAN интерфейсами с адресами 10.1.*.* и 10.2.*.*, за которым во внутренней LAN сети (192.168.1.*) расположен прокси сервер. Авторизация пользователей из двух внешних сетей происходит на прокси по ip-адресу, но очень хочется привязать их к MAC-адресам. Но так как они сидят за маршрутизатором, то прокси не видит их MAC. Вопрос — при поднятии VPN-сервера во внутренней сети станет ли возможно авторизовать пользователя по MAC?

P.S. VPN через маршрутизатор планируется пропускать перенаправлением портов 1723 и 47.

7175 / 3234 / 81

Регистрация: 17.06.2009

Сообщений: 14,164

Интересное размещение proxy-сервера.

Выкинуть маршрутизатор. Поставить туда комп с 3-мя сетевыми картами. На него поставить proxy-сервер. Проверять IP-ники и если получится, то проверять MAC-адреса.

Можно еще сделать авторизацию через login/пароль.

Не совсем понятно зачем ходить на proxy-сервер снаружи ?
И зачем вообще proxy-сервер внутри — ему лучше дать реальный IP !
Опиши подробнее всю ситуацию, а не только твой вариант разрешения проблемы.

По какому MAC ? Насколько я понимаю для VPN-коннекта заводится пара дополнительных IP-адресов — для сервера и для клиента. Так вот — на сервере будет виден дополнительный IP-адрес клиента, но я очень не уверен что там будет виден MAC-адрес реальной сетевухи.
Тем более что для VPN-туннеля это все не обязательно.

Во-первых 47 — это GRE и это НЕ НОМЕР ПОРТА !
А раз это не номер порта, то мне даже стало интересно какими средствами ты собрался прокидывать протокол 47 через маршрутизатор

Вообщем как не крути, а придеться тебе менять структуру сети

Добавлено через 3 минуты
Если ты боишься что подделают IP-адрес и MAC-адрес одновременно.
Ну так это нетрудно. Труднее узнать на какой IP и какой MAC нужно сменить свой

Если тебе так хочется надежности: опять же поставь роутер. На него поставь IPSEC и гоняй траффик к proxy через IPSEC. Выдай каждому клиенту по отдельному сертификату. Вот это реально трудно преодолеть.

0 / 0 / 0

Регистрация: 30.10.2009

Сообщений: 10

Возможно ситуация не совсем стандартная ) Но менять структуру сети не самый лучший вариант.
Имеется 2 городские сети, дома 3 компьютера. Как оптимальное решение был поставлен маршрутизатор с 2 WAN портами — ASUS RX3042H, к нему прицеплена точка Wi-Fi и дома полная идиллия, и ноутбука и со смартфона и с любого компьютера всегда имеем доступ в сеть.
Но, с интернетом в нашем мухосранске беда, стоимость 1 МБ = 2-2,4 р., что у одного, что у другого провайдера. Единственная безлимитка — это 3G от МТС, вот ее мы и раскидываем на несколько человек. Дешего и сердито.
В результате прокси-сервер пришлось размещать именно во внутренней сети, дабы не ломать домашнюю сеть, отсюда и серые адреса…
В качестве прокси был выбран TrafficInspector, клиенты прописали в качестве прокси у себя в броузерах внешние ip маршрутизатора, а маршрутизатор в свою очередь делает редирект на прокси — все работает, все счастливы. Но web в TrafficInspektor полная засада, заходя на www-сервер, пользователь так как он ломится через прокси определяется с ip-адресом сервера, со всеми вытекающими отсюда… Таким образом было огромное желание привязать всех по маку, но как я уже понял мак можно получить исключительно в пределах одной сети.
Кстати даже если выкинуть маршрутизатор, то MAC клиентов тоже не получить, так как они сидят в других подсетях провайдера ((( Вот и возникла идея цепляться по VPN, думал, что все оказываются в одной сети, хоть и виртуальной и может получится получить mac.
А по поводу проброски VPN через маршрутизатор, то это хоть и с танцами и с бубном, но решаемо, только с ограничением — одновременно только 1 тонель. Вобщем от ВПН пришлось отказаться.
Вот теперь сижу и думаю что сделать такого плохого чтобы всем стало хорошо ))

P.S. Спасибо за ответ )

7175 / 3234 / 81

Регистрация: 17.06.2009

Сообщений: 14,164

Ничего не понял.
Зачем именно нужна привязка по MAC-адресу ?
В любом раскладе все равно все клиенты proxy-сервера будут заходить на внешние www-сервера через один и тот же IP-адрес.

0 / 0 / 0

Регистрация: 30.10.2009

Сообщений: 10

Естественно на внешние адреса пользователи заходят с одним и тем же ip. Вопрос только в том как они заходят на внутреннюю страницу TrafficInspector для просмотра статистики и т.п. Проблема только в этой странице, заходя на нее пользователь определяется с ip сервера, то есть сразу имеет права администратора сервера, вот в этом то и проблема. Не получается никак заставить TrafficInspector брать реальный ip клиента и выдавать соответствующую страницу. Вот отсюда вся головная боль.
Во всем же остальном для внешнего траффика, повторюсь, все отлично. Здесь TrafficInspector нормально определяет ip клиента, корректно ведет по нему учет и т.д.
В итоге задача сводится к тому, каким хитрым образом идентифицировать пользователя при обращении к внутренней странице. Из всего вышесказанного, МАС отпадает, по логину/паролю тоже некрасиво, остается только ip. Таким образом клиент должен попасть на www-сервер TrafficInspector не указывая у себя в броузере прокси, то есть напрямую, но на его пути стоит маршрутизатор. Только не говорите опять, что нужно выкинуть маршрутизатор

7175 / 3234 / 81

Регистрация: 17.06.2009

Сообщений: 14,164

Ну наконец-то стало понятно в чем проблема.
С каким именно IP определяется пользователь ?
По идее пользователь должен получать доступ к странице TrafficInspector через его же proxy-сервер. А в этом случае IP-адрес должен быть 127.0.0.1 или внутренний IP-адрес компьютера где стоит TrafficInspector.

А что ты хочешь — ты создал кривующую схему использования proxy-сервера, а теперь просишь исправить косяки, которые сам же создал.

Все что я говорил остается в силе — вместо маршрутизатора поставить комп. И все будет работать

Пользователь может забыть сделать настройку и получить доступ к странице статистики через proxy. Так что это не вариант.

Еще можно заменить TrafficInspector на Kerio Winroute, UserGate.
Или попробовать настроить TrafficInspector, чтобы не считал обращения с адреса себя как админский вход. У Kerio например своя отдельная утилита для управления есть. Которая работает не через HTTP.

Добавлено через 1 минуту
inter, если ты это прочитаешь — выдели с поста #12 в отдельную тему !!!
Как мы разобрались это уже не имеет отношения к MAC-адресу

0 / 0 / 0

Регистрация: 30.10.2009

Сообщений: 10

Пользователь действительно определялся с IP компьютера на котором TrafficInspector. Например в UserGate такой проблемы не наблюдалось, все таки мне кажется это небольшая кривизна инспектора. В настоящее время проблема решена, пользователь отключает прокси и вводит внешний ip маршрутизатора, маршрутизатор перенаправляет запросы на порт 8081 серверу. Если клиент забыл выключить прокси, то он определяется как сервер, но клинт с ip сервера удален и пользователь не может авторизоваться Как говорится работает, главное ничего руками не трогать ))

А почему считаешь, что кривущую? Я же писал, что первоначально такой вариант был создан чтобы 2 городкские сети раздавать на 4 домашних компьютера, и эта задача до сих пор остается приоритетной, а для нее тихий маленький маршрутизатор с 2 WAN портами и от него Wi-Fi мне кажется гораздо предпочтительнее компьютера. Поставить компьютер конечно хочется, но только с целью иметь возможности подключения по VPN, это единственное что не реализовано, в остальном сервер полностью справляется со своей функцией — раскидывает интернет, держит ftp и сервер чата

Прежде чем прийти к инспектору, я перепробовал массу вариантов в том числе и вышеперечисленные. Kerio достаточно мощный продукт, но у него есть большой недостаток — нет в чистом виде привязки по ip. Про UserGate даже говорить не хочу, жутко кривой. Я им пользовался с версии 2.8, для того времени это был лучший вариант, но сейчас на 5 версии все в красивом фантике, а внутри… постоянные зависания, падения и не пойми что… Долгое время использовал CCProxy бесплатно и сердито, как прокси работает идеально, но конечно простоват. А вот TraffikInspector порадовал, и если бы не этот небольшой негативный момент, то твердая пятерка, кстати и стоит на порядок дешевле чем аналоги ))

7175 / 3234 / 81

Регистрация: 17.06.2009

Сообщений: 14,164

Не очень понял — привязка по ip К ЧЕМУ ?

Добавлено через 43 секунды
Берешь Linux/BSD, там есть squid. К нему прикручивается все что хочешь

417 / 285 / 3

Регистрация: 29.07.2009

Сообщений: 1,981

Также прога для изменения MAC-адреса в Windoes — SMAC

А меня наоборот огорчил.