-
complicado demais isso ai... to com o mesmo problema, e a cidade aki é interiorzão, todo mundo conhece todo mundo isso permite q um cara passe mac e ip pra outro cara q ele considera amigo... depois o proprio amigo começa a usar a internet no mesmo horário, derrubando assim o verdadeiro cliente, to usando agora 4 APs virtuais pra cada interface wireless, pra cada ap virtual eu criei uma criptografia diferente, coloquei um nome de AP esquisito, e ocultei o SSID... vi que tem como colocar senha por mac no access list do microtik, mas nao consegui fazer isso. Alguem já fez isso ai?
-
o problema do VPN em conexoes de rede sem fio é pq o ping tem q estar perfeito, e quando o sinal cai, o cliente ainda fica logado no servidor, e demora cerca de 3 min. pra cair no servidor, nesse período de queda o cliente nao consegue logar o vpn novamente, fica dando erro... muitos cliente reclamam pela demora pra conectar, devido ao problema optamos por deixar somente com criptografia e controle de mac, o controle de banda a gente faz no servidor... creio q se eu conseguir colocar criptografia por mac, vai ficar como se fosse o vpn, só q depois de salvar o profile na casa do cliente na vai ter mais o problema da senha salva na conexao vpn.
-
tem uma coisa q fiz aki q amenizou um pouco a pirataria: coloquei a SSID oculta e coloquei um nome nela q possuia caracteres invisíveis, a olho nu o cara pensa q é um espaço:
AP_01
Substitui o underline ( ___) por um caractere invisível, daqueles q vc precisa segurar alt+255, a olho nu sai como se fosse um espaço, mas é um caractere invisível, é uma pegadinha q ajuda bastante a complicar a pirataria.
-
Minhas Impressões
Pra quem leu o post todo viu algumas soluções legais, pppoe ajuda mais tem que ter criptografia, hotspot não é para servir como um serviço de segurança, wpa e wpa2 são essenciais e é legal a implementação do maia com wpa gerada pelo radius, e pelo que ele mostrou é bem leve também.
Mais fica uma duvida, e a função passthrough da guia eap??? Pelo que eu li ela permite que o radius gerencie as chaves, ai o mk serviria apenas de um relay para as chaves, está correto isso?
Meu medo com as conexões do tipo pppoe e l2tp e a tolerancia delas com a latencia, que em wireless as vezes acontece, dificil manter uma rede com latencia baixa, e se vc fica sussetivel a alguma fonte de interferencia e sua latencia sobe um pouco como fica? Gostaria de ter um feedback de quem trabalha com essas tecnologias. Meu medo nesse sentido é a conexão do cliente ficar caindo, caindo e caindo.
E vpn será que tem o mesmo problema que pppoe com latencia? Por que gerenciar um openvpn é fácinho.
Uma coisa, eu não vejo problema nenhum em trabalhar com bridge, desde que vc também tabralhe com vlan, bridge sem vlan igual zona na rede hehehehehee, e idem para dhcp, totalmente valido. Vlan é caro? Talvez, porém acho que vale o seu sono tranquilo a noite ehehehe
O interessante de ter uma rede bridge com vlans bem configuradas é que se alguém conseguir passar pela sua wpa e escanear sua rede ele vai ver apenas a porta do servidor, e ai ele não vai pegar nem macs nem ips nem nada. Estou correto? Se eu estiver falando alguma bobagem me corrijam. Fora que é mais fácil trabalhar com bridge e vlan, vc não vai precisar ficar fazendo relay dos serviços que quer disponibilizar para os clientes como tem que fazer numa rede toda roteada.
No meu ver o caminho mais simples é esse, wpa2 + radius, um hotspot para autenticar e gerenciar o controle de banda e outros serviços, brigde com vlans para isolar os clientes um dos outros, e um dhcp com mascara /32 só para dar uma redundancia na coisa e simplificar a configuração nos clientes, por que meu gerenciar ip fixo é um porre. O que vcs acham?
Ps. No radius vc pode fechar o cartão/antena que cada cliente pode conectar, assim minimiza bem o problema de alguém roubar login+senha+criptografia de um cliente. Porém para o problema do roubo da senha só certificando a maquina do cliente mesmo, que o maia disse e eu também acredito que se torna meio caro e inviavel.
-
No caso de hotspot, se colocarmos para que cada mac pegue 2 ips na hora que o kra que clonar o mac do outro e entrar, será que ele pegara outro ip ou o mesmo do mac clonado já que é para o hotspot gerar 2 ips?
Porque se ele pegar outo ip pedirá senha certo, dai o kra terá que saber a senha tbm.
Será que funciona?
Vou testar aqui amanha depois falo se funcionou.