Привет Всем
Используем для доступа в Интернет ВПН.
Но есть всякие недобросовестные товарищи открывают общий доступ на ВПН. В итоге один берёт безлим, второй помегабайт и экономят - нанося Мне убытки. И так процентов 40.

Вариантов решения вижу 2-е:
1.Перейти с ВПН на раздачи Инета по ИП.
И еще можно на пользователя раздавать сеть c маской /30 (255.255.255.252). Но это очень геморно.

Люди от незнания не смогут использовать чужей траффик.

2.Резать пакеты упровляемым оборудованием.

Можно ли такое сделать используя ACL на 3028/3526 и по какому признаку нужно отсекать?
Я так понял по TTL...?

не поможет. раздать интернет можно кучей различных способов. NAT, proxy, VPN+NAT и т.д.

_________________
LiveComm

Мда...Не радует. Но Я так понимаю, что можно отследить постоянный коннект между пользователями...

сниферить весь трафик в сети ? - не вариант. и то замучаетесь логи разбирать.
в сети постоянно кто-нибудь с кем-нибудь чем-то обменивается. если большая сеть, то это огромное кол-во пакетов.
хотя как метод борьбы можно написать какой-нить скрипт, быстренько проверяющий наличие прокси на стандартных портах и соответственно блочить за это. разумеется не всем пользователям это может понравиться... И с такими вещами скорее всего придется корректировать договор.
ибо я допустим порой проксю на домашнем компе юзаю с GPRS'а, если на последнем превышен лимит подключений.

_________________
LiveComm

Вариант, который может решить ваши проблемы:

Дано:
Подсети:
192.168.90.0/255.255.255.0
192.168.110.0/255.255.255.0
192.168.115.0/255.255.255.0

VPN сервер: 192.168.110.60
DNS сервера: 192.168.110.1 и 192.168.110.100
Сервер статистики: 192.168.110.20

Свичи на каждой подсети.

create access_profile ip destination_ip_mask 255.255.255.255 profile_id 10
config access_profile profile_id 10 add access_id 1 ip destination_ip 192.168.110.60 port 1-24 permit
config access_profile profile_id 10 add access_id 49 ip destination_ip 192.168.110.1 port 1-24 permit
config access_profile profile_id 10 add access_id 73 ip destination_ip 192.168.110.100 port 1-24 permit
config access_profile profile_id 10 add access_id * ip destination_ip 192.168.110.20 port 1-24 permit

create access_profile ip tcp dst_port_mask 0xFFFF profile_id 20
config access_profile profile_id 20 add access_id 1 ip tcp dst_port 1723 port 1-24 deny

create access_profile ip udp dst_port_mask 0xFFFF profile_id 21
config access_profile profile_id 20 add access_id 1 ip udp dst_port 53 port 1-24 deny

create access_profile ip destination_ip_mask 255.255.255.0 profile_id 30
config access_profile profile_id 30 add access_id 1 ip destination_ip 192.168.90.0 port 1-24 permit
config access_profile profile_id 30 add access_id 49 ip destination_ip 192.168.110.0 port 1-24 permit
config access_profile profile_id 30 add access_id 73 ip destination_ip 192.168.115.0 port 1-24 permit

create access_profile ip destination_ip_mask 0.0.0.0 profile_id 40
config access_profile profile_id 40 add access_id 1 ip destination_ip 0.0.0.0 port 1-24 deny

Может быть я что-либо с циферками и напутал, но по такой схеме я себе эту проблему решил

так помимо VPN Вы же еще и локалку предоставляете, вот они ею и пользуются для расшаривания ... если Вы готовы отказаться от локалки - ACL-ями открывайте доступ только к РРТР серверу и закрывайте доступ на все остальные адреса, как и показал ув. terrible ... кстати, если гонять весь трафик через РРТР сервер то и контролировать его можно, тут уж не расшаришь - сливая у анлимщика будешь себе нагонять входящий трафик ...


если юзеров не много - можно перейти на схему VLAN per customer и, дабы сэконмить адреса, анбиндить адрес шлюза на лупбек, а с юзерского VLAN пускать только юзерский IP адрес - так и с расшариванием разберетесь и отключать будете простым гашением интерфейса


можно и по TTL рубить пакеты, только это неверно, т.к. у честного юзера может и роутер стоять купленый им для обеспечения инетом своих потребителей (комп, ноут, наладонник, приставка и т.д. и т.п.) да и расшарить инет проксей можно ... по кол-ву коннектов рубить - не вариант, т.к. у честных юзеров торренты накроются ... в общем - либо закрытие локалки через ACL либо VLAN на юзера либо делайте расшаривание экономически невыгодным ...

_________________
с уважением, БП

тут, имхо, ничего не поможет, ибо, при желании, они могут и openvpn начать использовать.

ну почему же? если разрешить ACL-ями доступ только к РРТР серванту, то openvpn тут ну никаким боком не спасет, так же как и в случае если _весь_ трафик гонять через РРТР сервер, что равнозначно VLAN на юзера ...

_________________
с уважением, БП

Ещё вариянт (опять же если вы готовы отказаться от локалки): можно использовать traffic_segmentation, а АЦЛ "экономить" для более важных нужд.

кстати да, че-то я про Traffic Segmentation совсем забыл

_________________
с уважением, БП

не по теме форума ответ, но опыт показывает, что эффективно бороться с таким явлением можно только одним способом - коррекцией тарифной политики. расчитайте тарифы так, чтобы шарить безлимит на несколько человек было невыгодно (т.е. чтобы за чуть-чуть бОльшие деньги чем вскладчину можно было каждому взять свой, со всеми вытекающими преимуществами и удобствами), и эта проблема отпадёт сама собой.

Скажите если обычный пакет стоит 5$/мес с помегобайтом по 0.01$, а безлим 5Мбит 17$, то товарищи кооперируются и "экономят". Ввести платный траф между пользователями - нельзя.

Уменьшить цену - не можем, так как конкуренты давят. Резать траффик по количеству соеденений на http/https/proxy порты на безлимах?
Кто-нить сталкивался с данной проблемой?

Кто-нибудь вообще понял то что я написал выше?

Сначала скажу, что у Меня не будет ВПН-а
Во вторых расшарить можно всегда (наверное), только вот проблема в том, что бы умников как можно меньше было, которые могли бы это сделать.

понижать цену на безлим не можете, я так понимаю.
тогда выход следующий: поднимите цену обычного пакета до $10-12, но добавьте к нему гиг 5 бесплатного трафика (чтоб цена его получалась в разы меньше чем $0.01 за дополнительный). этим вы и уменьшите разрыв между абонплатами на лим и анлим (без потери привлекательности лима, ведь там 5 гиг "почти нашару"), что сделает нецелесообразным брать 1 анлим на несколько человек, и поднимете ARPU.
это, конечно, может вызвать отток части клиентов, которые не хотят платить 10-12 за обычный. но поверьте моему (да и не только) опыту - клиентов от которых месячный доход $5 абонплаты + $1 за трафик (а именно такие обычно и шарят анлимы) - нужно дарить конкурентам не задумываясь. и вам будет меньше головной боли, и оставшимся клиентам дышать легче.



резать что либо - это самый худший выход, потеряете клиентов с которыми не боролись.