Gostaria de saber como trabalham com relação ao radio nos clientes. Deixam em Bridge repassando o ip do servidor para o cliente ou deixam o radio com DHCP ativado fazendo nat no cliente?
Versão Imprimível
Gostaria de saber como trabalham com relação ao radio nos clientes. Deixam em Bridge repassando o ip do servidor para o cliente ou deixam o radio com DHCP ativado fazendo nat no cliente?
Olá Fernando como vai ... os dois métodos funcionam perfeitamente aqui no meu provedor eu sempre usei tudo em bridge e sempre funcionou bem quanto a desempenho e segurança abraços
nat sem duvidas é melhor
devido a isolar a rede nossa da rede do cliente... e assim, tendo menos problemas com virus em rede... entre outros.
PS: apartir do momento em que se faz nat, vc transforma seu servidor/radio/etc e tal em um roteador...
ou seja... recebe pacotes de um lado... processa esses pacotes, alterando-os de uma rede para outra... envia os pacotes pelo outro lado.
sendo assim, sempre que usarmos nat, temos que habilitar dhcp... senao o cliente nao vai receber ip algum.
Amigo, sem duvida nenhuma use NAT só use bridge quando tiver necessidade extrema, pois em bridge vc repassa todo o brodcast dos clientes para a rede, gerando assim trafego desnecessário. Sem contar que em NAT como os colegas postaram vc isola o cliente da rede, evitando assim propagação de virus, spams e outros males...
Isso que é legal no forum, cada um coloca sua opinião e defende seu ponto de vista.....Minha intenção foi rtealmente de colocar os prós e os contras.
Amigo, discordo apenas da ultima parte, VC pode usar NAT e definir os IPS estaticos (manualmente), pr exemplo aquele cliente gatonet que coloca a net e distribui pra todos os vizinhos, se deixar DHCP ativado vai facilitar a vida dele, aqui deixo sempre sem DHCP depois que conheco o cliente ai sim posso ativar remotamente para ele conectar mais pontos. E uso um mascaramento /248 para restringir os iPS diponiveis.Citação:
Postado originalmente por mascaraapj
sim, mas a forma como eu disse foi apenas para generalizar...Citação:
Postado originalmente por jodrix
e outra, vendemos o sinal de internet...
e nao o acesso a internet... (minha opiniao)
nao importa qtos computadores ele ira colocar... o sinal sera apenas 1.
por isso eu generalizei no dhcp... mas tanto faz fixo ou automatico.
Pra mim a melhor solução é utilizar Bridge, mas com alguns cuidados:
1º) A autenticação dos clientes é somente através de PPPOE;
2º) Configurei em todas as RB's para dropar TODOS os pacotes, exeto esses dois: 8864 (pppoe-session) e 8863 (pppoe-discovery) que servem para autenticar e trafegar pacotes PPPOE.
Dessa forma exigo pouco das minhas RB's e no Servidor possuo várias regras de Firewall para bloquear algumas portas.
sim mas no caso de usar dhcp , o promenri ip da nat que se logar autentica e todos navegam e no caso de bridge, como funciona sendo que o primeiro autentica e o outro ja não aceita pois não libera sessão, querendo ou não isso impossibilita de uso de 2 computadores, o ruim é que o cliente pega um ip seu .
Tava pensando em colocar no radio dhcop ativado apenas em um ip na lista do dhcp ......colocando de 192.168.2.100 a 192.168.2.100 será que ai ele distribui o 2.100 e se mais alguem tentar conectar não receberá mais ips.
To dizendo isso pois tinha um cliente que tinha o dhcp livre e esses dias por acaso passei em frente da casa do mesmo e vi o foi azul voando de uma casa para outra , o cara subiu , abriu a caixa hermetica , colocou mais um cabo de rede la e o vizinho usando numa boa.......penso que se eu tivesse em bridge ou com 1 ip no dhco só isso não aconteceria.
Citação:
Postado originalmente por FernandodeDeus
Hehehehehe não aconteceria mesmo !!! gatonet safado rsrsssss
Citação:
Postado originalmente por FernandodeDeus
Por Isso que faço restrição pela mascara nesse caso usaria /252 ... ou seja... so permite 2 hosts na subnet.
Pergunta para o pessoal que usa Bridge ...se algum espertinho usar um simples IPSCAN na rede ...o que acontecera?????
Ou ainda se o cara usar o "ARCAI" ???? ai ferra toda a rede???
vc tem contrato com ele nao tem?Citação:
Postado originalmente por FernandodeDeus
no seu contrato consta aquelas regras basicas que toda operadora tem: compartilhamento?
mande um aviso para ele... e veja se ele vai continuar...
se continuar, bloqueia ele.. eusheus
PS: o lance de colocar o dhcp ativado no equipamento... para ele enviar apenas 1 ip
nao bloqueia o fato dele poder colocar um outro ip manualmente.. uehsesuh
vc usa a mascara /252Citação:
Postado originalmente por jodrix
legal, eu tbm uso
mas temos um probleminha...
nada impede o cliente de colocar o mesmo ip manualmente
abrindo assim a mascara...
Não Precisa nem ir muito longe se o cara fizer um jumper no ap ou em algum hub-Switch com um cabo de rede com tudo em bridge ja ferra de verde e amarelo !! rsrsrsrs Esse é um dos problemas da bridge como não tem nenhum isolamento por um router ou outros se ferrar ferra geral!!Citação:
Postado originalmente por jodrix
NAT com dhcp ativado no radio cliente
Seguinte, a melhor solução é NAT com DHCP ativado, e com a opção de amarrar o MAC do PC do cliente no rádio, dificultando assim ele de ligar outros PCs...
Evidentemente, se ele tiver + conhecimento pode dar um jeito nisso, como por exemplo, colocando um roteador, e clonando o MAC do PC no roteador, mas já dificulta.
Como foi citado antes, se o cara começar a compartilhar seu acesso, bloqueia ele.
Só repetindo, é realmente mais eficiente e seguro o uso de NAT.
Tambem uso mask 252
com toda certeza NAT, independente de deixar o server dhcp ativo ou não, pois se deixar em bridge, como disseram acima, um cabo fazendo loop, um conector mal feito ou uma placa de rede defeituosa do cliente vai ferrar a sua rede.
Ah, deixo sempre o controle de banda ativo no radio, limitando um pouco acima da velocidade adquirida pelo cliente, assim, em caso de virus ou p2p, o trafego não chega até seu AP.
Detalhe, aqui não impedimos que o cliente compartilhe a conexão, desde que dentro do ambito de sua residencia ou empresa, isto está previsto em nosso contrato, registrado em cartorio, no caso citado acima, do cabo passando de uma casa a outra, da rompimento de contrato e multa recisória.
Assino embaixo, tb acho melhorCitação:
Postado originalmente por lipeiori
:rock:
Com certeza NAT..... deixa o cliente só lá dentro da redinha interna dele e pronto.... ele não vai ver sua rede e nem vai poder mandar lixo pra dentro de sua rede tambem..... até.
eu faco do mesmo jeito... nat com controle de banda ativado no cliente (pra evitar alguns desastres com virus)Citação:
Postado originalmente por luizrfabri
porem, mantenho todo um outro controle na central tbm.
e cada radio fica com um ip diferente ? qual ip colocam nos radios? aquele ip que vem todos iguais para acesso vcs trocam ?
Ta tudo em bridge(as RBs e as NS5 dos clientes), ta desmarcado foward nos cartoes, nos access list, tem filtro na bnridge impedindo comunicação entre interfaces. O sistema ta rodando com pico de 400 clientes simultaneos. Não tenho nenhum pedido de liberar porta nem nada... internet 100%, nao bloqueia porta nem nada, p2p sempre recebe porta aberta, satisfação completa. Pensei que nao ia aguentar, mas está funcionando redondo por enquanto. Tem a WPA2-aes que é fechada com a nanostation5 antes de instalar na casa do cliente, limita-se banda na nanostation mesmo, entao até agora nenhum cliente fez estrago na rede. Por segurança o gw fornece mask 252, e o gateway é parrudo, aproveita o gatewy mesmo do CMTS)sistema de cable modem.... fiz apenas uma bridge transparente WIRELESS para esse gateway, funcionando redondo até agora, apenas tenho um RB433ah que da uns picos de 100% processamento;
por segurança na manutenção cada tecnico vai até a residencia com notebook proprio caso precise entrar na nanostation
cada ns5 tem um ip da rede local(ja no cadastro cada cliente tem o proprio ip da sua nanostation)... o ip real(internet recebe dhcp)fica na placa de rede do cliente.
so recebe ip dhcp com o mac da placa de rede cadastrado no GW, batendo o numero do painel e torre e codigo do cliente(controle do recipiente)
Citação:
Postado originalmente por nandofer
num entendi....o cliente navega na maskara 252 do servidor ou naveca com o ip do nano local?
isso
outra coisa que acontece é que a nanostation tem uma senha somente leitura, que é passada para a equipe de suporte nivel 1 e nivel2.
As rb dos paineis, ptp e NS5 dos clientes sao tudo bridge transparente
Tem um engano... a mask é 255.255.252.0 (só essa observação, e nao foi definida por questao de segurança nao... eu me confundi, so queria dizer que mesmo bridge ninguem ta comunicando com ninguem em rede local...
um exemplo... se executar um ubnt discovery na casa de um cliente so acha a propria nanostation dele.
mas...Citação:
Postado originalmente por nandofer
vc ja parou para pensar...
q o cliente pode simplesmente ver qual o ip que ele pegou...
ai colocar esse ip manualmente, porem, com uma mascara mais aberta?
ai onde fica sua seguranca?
por isso eu sempre digo, use nat
se o firmware tiver controle de banda, use tbm
assim vc tera mais seguranca, e menos problema com seu GW
veja que o discovery gera um broadcast e nao precisa de ip, é como o search do winbox(discovery) e mesmo assim nao enxerga nada... tem filtro nas bridges e o foward do mk é como um isolation de um switch gerenciavel
ninguem enxerga ninguem, mas pode dar conflito de ip, que localizado, é elimidada qualquer entrada arp do gw sendo este fica sem conectividade...
ja clonei ip do gateway de outros clientes, a unica coisa é que fica sem funcionar e mas o que foi clonado navega normal
Citação:
Postado originalmente por mascaraapj
se nem por discovery consegue enxergar, outro ativo de rede, ou outro proprio cliente que esteja no mesmo painel ou em interfaces diferentes, vc acha que pode acontecer oq?
nem wireshark acho que nao vai pegar nada por causa dos bloqueios na camada 2, e por causa do foward desabiilitaddo... correto??? esse é o meu ponto de vista
rmao, to pensando em colocar tb o controle de banda no rado do cliente, porem tenho uns 100 clientes com o BURST ativado, As duas coisas nao trabalham juntas neh, ou existe alguma saida pra issu ?Citação:
Postado originalmente por luizrfabri
obs: "nao vendo busrt", vendo conexao, o burst to usando como um plus pro cliente.
deixe o controle de banda ativado no cliente ja configurado com o teto maximo que ele podera chegar...Citação:
Postado originalmente por mdcsp
vamos supor:
cliente contratou 300k
porem, vc eh bonzinho e da um burst a mais para ele, podendo chegar a 340k
levando em consideracao que o meio podera ter alguma perca...
configure o radio com cliente em uns 360k
assim, se ele tiver algum virus, ou algo do tipo... seu GW nao ira sofrer tanto por isso.
Nat no radio. A melhor forma de evitar o "gato" é controlando as conexões simultâneas. Assim ele faz até o cabeamento, porem vai dar pau. E o cliente vizinho acaba te contratando.
kkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkkk
to precisando de um cliente desse para ser meu funcionario
ja sao 830 instalados... esses ai sao os online simultaneos na wireless... ta bridge....:itsme:
Funciona maravilha do jeito q vc diz...mas um simples cliente p2p ferra a sua rede, virus então... para tudo, pois passa da rede do clinete batido e vai parar no te server, como a rb não suporta todo o trafego gerado.... travamento eminente, isso acontece mesmo q vc isole totalmente o cliente, pois vc não filtra nenhum trafego q sai do cliente para a sua rede.Citação:
Postado originalmente por nandofer
se num ta vendo 400online na foto e 6d de uptime... como vc pode afirmar que trava???... eu to passando pela pratica e a rb esta suportando. O provedor esta com 830 clientes(tudo bridge),,, se acha que se num tivesse funcionando sem panes eu iria estar tendo tempo ao menos pra postar isso aki... srrsrsrsrss afirmo que suporta todo o trafego. em bridge... filtro apenas de interfaces na bridge.:cool:Citação:
Postado originalmente por luizrfabri
Citação:
Postado originalmente por nandofer
Eu não disse q não funciona, o servidor obviamente suporta muito mais que isso, mas um cliente, apenas um cliente com o radio em bridge e com o pc infectado, vai disparar milhoes de requisições no seu AP e o CARTÃO do AP não vai suportar o trafego exigido por esse unico cliente e vai deixar a seua rede muito lenta, apenas naquele ap, o seu server vai continuar lindo maravilhoso com seus 800 clientes conectados.
Para que isso não aconteça, se faz controle na bridge. No caso de vírus e sem controle não fará diferença de se é Nat ou não no ap. Pois vai passar nas 2 formas.Citação:
Postado originalmente por luizrfabri
so uma duvida ? em toda sua rede so tem nano 5 instalados em todos os clientes ???
até micro com conficker ja apareceu, sem problemaas para a rede, não tem como inundar o painel, limite de banda é na interface de cada radio cliente.Citação:
Postado originalmente por luizrfabri
só tenho a te dizer que tem isolação de cada cliente e filtro na bridge que impede apenas a comunicacao entre clientes na rede wireless. Quase todo mundo usa ares, emule pega high id, vpn livre, a net é transparente, qtas requisiçoes udp tcp que quiserem,,, mtos "..." falavam... nao aguenta nao tem processamento,,, mas nao estou tendo problemas, so o detalhe que a banda jáé limitada na nanostation do cliente entao, se é 300k ou 600k ou o que for nao tem como sair mais do que isso, nem se pegar virus ou o que for nenhum painel ficou lento, apenas probleas isolados como sinal ruim(antena mal instalada e conector com problemas) OK?
AS RBs são bridge transparente e as nanostation tb... tudo vai diretamente no meu server(GW)
Muito Boa Discução ...Parabéns o Forum E Nós Provedores só temos a Ganhar Bom FInal de Semana a Todos !!!
Limitacao ja de cara na interface do radio do cliente nao eh bom... eh OTIMOCitação:
Postado originalmente por nandofer
mas eh sempre bom colocar uma senha da empresa, nao deixar o cliente ter controle... esses podem baguncar tudo fucando...
eu faco isso aqui, limito a banda e conexoes simultaneas, ja de cara no cliente
alem de colocar ip /32
tbm ativo a opcao de gerenciamento pela wan... assim, qdo precisa, eu acesso da central o radio do cliente e modifico o q for necessario.
Porem, sempre deixo nat ativado... como uma opcao a mais de seguranca.
enlace fechado em wap2 - pki+aes
PS: tbm faco o controle na central... por via das duvidas...
Configuração de Ap
1 Contrato ( o Ap será o cliente e não vai importar quem esta atras dele)
Wireless:
-Modo de operação: Cliente ISP
Avançado:
-Coloque 11 M
-Potencia 150 mw
Básico:
-Cliente
-Se quiser pode ser marcado repetidor universal ( não uso)
-Banda B
Tcp/Ip
-Ip da interface WAN : Será ip do cadastrado no servidor
-Ip da interface LAN : Pode deixar o ip default, não precisa alterar.
Mais de 1 Contrato ( o Ap não será o cliente e vai importar quem esta atras dele)
Wireless:
-Modo de operação: Bridge
Avançado:
-Coloque 11 M
-Potencia 150 mw
Básico:
-Cliente
-Se quiser pode ser marcado repetidor universal ( não uso)
-Banda B
Tcp/Ip
-Ip da interface WAN : Não terá funcionabilidade, fica inativo.
-Ip da interface LAN : Coloque um ip, este será usado para acesso.
caro amigoCitação:
Postado originalmente por interhome
pq quando coloco em modo ISP , eu n consigo ter acesso ao ap do cliente , eu sei q estou fazendo um nat , mais sera q tem uma configuração para eu ter acesso ao ap dele??
Se quer acessar de dentro da rede, ative o gerenciamento atraves da porta wan. Use o ip da wan.
Se estiver no cliente, use o ip da lan para acessar. Esse será o gateway do cliente.
Se for de fora da rede, use vpn.
Agora e em condominior quem atende ai, como trabalham e como fica a questão da energia eletrica usada nos equipamentos?
eu uso energia do proprio condominio... tendo em vista q a maioria dos equipamentos gasta em torno de 12v.Citação:
Postado originalmente por FernandodeDeus
logo... precisa-se de no minimo 5 para gastar o mesmo q uma lampada...
mesmo q 1 lampada fique ligada o mes inteiro... a conta nao ultrapassaria os 4R$
nenhum condominio ate hoje quis me cobrar esses 4R$... Hahaha
Aqui uso os 2 casos
1) Bridge quando tem mais de 1 cliente no mesmo AP, cada 1 recebe seu IP na placa Ethernet.
2) NAT quando tem somente 1 cliente e este cliente tem mais de 1 computador.
Nat facilita compartilhamento do acesso com outra pessoa, requerendo entao protecao adicional.
Bridge o cliente fica diretamente na rede, podendo inclusive, colocar IP errado na placa de rede e dar colisão.
Bom... diante de toda minha experiência na area posso afirmar com toda veracidade que o melhor é:
Resposta: Isso é relativo d++++!!! Os 2(dois) funcionam perfeitamente, depende da sua aplicação!
Abraços!!!
uso como roteador no cliente, configurando a wan na antena e dhcp nas portas para os clientes, tmbm defino um range de ip para que dê ip para no máximo 4pcs. funciona muito bem, inclusive alguns com pppoe na wan.