Brisanet...... nosso concorrente aqui na região..... e funciona até bem esse L2TP deles.... já trabalhei com eles a muito tempo atras.....
Versão Imprimível
Estou acompanhando o post desde o começo, se a gente colocasse em dhcp server-networks-netmask/32,não seria mais dificil o "clonador" rastrear na rede ip e mac?
Voces acham que ajudaria em alguma coisa?
Caso seus switches nao sejam gerenciaveis:
Tente segmentar a rede em diversos roteadores, queira centralizar a rede vc pode usar pppoe, ou vpn mppe nos dois casos esses tipos de vpn se utilizam de algoritimos de seguranca que ja forma comprometidos.
Caso seu switch seja gerenciavel port-security resolve o problema.
Tente criar uma politica de acesso em seus switches limitando cada uma das portas de acesso de clientes em 1 mac e as portas de trunk em 100 macs, tente diminuir ao maximo o tamanho das vlans para que vc possa isolar quem esta snifando a rede.
Uma alternativa bem profissional:
Voces pode se utilizem de 802.1x que é uma tecnologia de critpografia entre cliente e gateway, de forma alternativa podem usar vpn para autenticar seus clientes.
Sinceramente esse é um problema tipico e que deve ser resolvido de forma definitiva seja qual for o metodo que voce adotar.
É o seguinte, hoje consegui entender uma função que tem no controle do mikrotik que é a funçao que fica em / ip hotspot servers, selecionando com dois cliques o nome do meu servidor de hotspot abrirá uma caixa onde tem a função addresses per MAC, onde por padrão vem designado o número 2 como sendo autorizado até 2 endereços por mac então ai que fazendo uns testes descobri que este controle é da limitação de endereço IP em cima de um único MAC, agora a dúvida:
Como e onde poderia fazer este mesmo controle mas com limite de conexões baseado no MAC?, ou seja, limitar a autenticação e navegação de apenas uma maquina utilizando um único MAC se alguém clonasse esse MAC o mikrotik já identificaria que já havendo um MAC com aquelas caracteristicas ele não permitiria o acesso de um segundo, existe algum script que possa ser colocado nos profiles de controle de velocidade em / ip hotspot users profile ou mesmo na sessão dos script? pois etive verificando que na 3ª aba dos profile é especifico para algum script.
RESUMINDO: precisamos de um controle de limite de conexão por mac e não por addresses.
Obrigado
PPTP (LAN-to-LAN)
Essa foi a solução que encontremos aqui na empresa.
1. Servidor_de_dados dos cliente (Radius+mysql).
2. Servidor_Gatware (freeradius+Radiuscliete+pptp)
3. Mikrotik (modo-bridge)
Exemplo:
Servidor_de_dados: recebe as solicitação dos outros servidores
Servidor_Gatware: recebe as solicitações dos clietes(login+seha+ip) e pergunta ao Servidor_de_dados se existe, confere..., libera login+senha+mac+banda+ip(tunel) para o Servidor_Gatware. depois de tudo isso o Servidor_Gatware autentica o cliente.
Auteticação é Instantâneo;
1 cliente por autenticação.