Clonar MAC ajuda alguma coisa?

[1929]

Amigo, eu tenho a rede com cripto WPA2, uso hotspot e kit cliente.
Não seleciono a opção "clonar mac" no ap cliente. Assim, quando ele está conectado o mac que aparece para mim, é o mac do ap.
Só que alguém me disse que tinha que clonar o mac para assim entrar no servidor o mac da placa de rede do cliente.
Mas qual é a vantagem disso?

[MaxAdriano]

bah, eu naum vi vantage disso, eu deixo o mac dos aps mesmo...

[jodrix]

Amigo, eu tenho a rede com cripto WPA2, uso hotspot e kit cliente.
Não seleciono a opção "clonar mac" no ap cliente. Assim, quando ele está conectado o mac que aparece para mim, é o mac do ap.
Só que alguém me disse que tinha que clonar o mac para assim entrar no servidor o mac da placa de rede do cliente.
Mas qual é a vantagem disso?

Vantagem nenhuma, na verdade a opção pra "clonar o mac" serve mais pra invasão do que pra ajudar, pq se vc tem hotspot sem cripto é so alguem entrar com scaner e descobrir um mac e pronto o cara clona e tá dentro. Quanto clonar a placa de rede do cliente só se estiver em bridge pq em modo cliente a NAT não deixa passar. Ou seja só se clona a interface wan não a lan.

abraços

[1929]

Vantagem nenhuma, na verdade a opção pra "clonar o mac" serve mais pra invasão do que pra ajudar, pq se vc tem hotspot sem cripto é so alguem entrar com scaner e descobrir um mac e pronto o cara clona e tá dentro. Quanto clonar a placa de rede do cliente só se estiver em bridge pq em modo cliente a NAT não deixa passar. Ou seja só se clona a interface wan não a lan.

abraços

Jodrix, os APs nos clientes estão modo bridge e cliente e comunicação entre clientes desativados.
Tentei usar aquele outro modo, como cliente isp mas não funcionou. Daí ficou tudo assim mesmo.

[jodrix]

Jodrix, os APs nos clientes estão modo bridge e cliente e comunicação entre clientes desativados.
Tentei usar aquele outro modo, como cliente isp mas não funcionou. Daí ficou tudo assim mesmo.

Amigo, aqui so uso modo cliente ISP , em modo bridge é complicado, deixa muitas brechas de segurança, sem contar o nivel de broadcast que vai nas nuvens, talvez seja por isso que os cluster estão com latencia Alta.... como postou no topico Minicelulas+swicth .....outro detalhe é que desse modo (bridge) teoricamente o isolamente de clientes nao funciona....

[1929]

Amigo, aqui so uso modo cliente ISP , em modo bridge é complicado, deixa muitas brechas de segurança, sem contar o nivel de broadcast que vai nas nuvens, talvez seja por isso que os cluster estão com latencia Alta.... como postou no topico Minicelulas+swicth .....outro detalhe é que desse modo (bridge) teoricamente o isolamente de clientes nao funciona....

Jodrix, como eu não estava conseguindo navegar como cliente isp, fui novamente para a bancada.
Depois de muito tentar descobri como fazer navegar.
O cabo de rede tive que colocar na porta WAN e não na LAN.
Mas daí complicou, pois uso o kit com uma placa Krazer com porta POE. E uso uma fonte que já tem dois conectores rj45, um poe e outro lan. E aí não navega apesar de conectado, pois uma das portas Lan é poe também.
Quando passo para bridge, as portas lan e wan ficam uma bridge e por isso navega.
Mas em cliente isp as lan e wan não ficam em bridge.

Editanto: Esquece tudo que escrevi ai em cima. Eu pensei que tinha trocado para cliente isp e navegado mas não. Estava mesmo em bridge. Continuo sem navegar em cliente isp mesmo colocando o cabo na porta wan.

[debeijer]

Jodrix, como eu não estava conseguindo navegar como cliente isp, fui novamente para a bancada.
Depois de muito tentar descobri como fazer navegar.
O cabo de rede tive que colocar na porta WAN e não na LAN.
Mas daí complicou, pois uso o kit com uma placa Krazer com porta POE. E uso uma fonte que já tem dois conectores rj45, um poe e outro lan. E aí não navega apesar de conectado, pois uma das portas Lan é poe também.
Quando passo para bridge, as portas lan e wan ficam uma bridge e por isso navega.
Mas em cliente isp as lan e wan não ficam em bridge.

Editanto: Esquece tudo que escrevi ai em cima. Eu pensei que tinha trocado para cliente isp e navegado mas não. Estava mesmo em bridge. Continuo sem navegar em cliente isp mesmo colocando o cabo na porta wan.

Opa, em modo isp só navega se vc colocar um ip navegável no rádio e fazendo nat pra baixo pela LAN.

Ex:
Server Gateway(10.1.1.3/30)-AP-BRIDGE(172.0.0.1)-ISP(10.1.1.2/30)-Clientes(192.168.76.76)

Cheguei a usar essa topologia aqui há um tempo atrás para teste e funcionou... mas o controle de banda nesses rádios nunca prestaram.

[debeijer]

Amigo, eu tenho a rede com cripto WPA2, uso hotspot e kit cliente.
Não seleciono a opção "clonar mac" no ap cliente. Assim, quando ele está conectado o mac que aparece para mim, é o mac do ap.
Só que alguém me disse que tinha que clonar o mac para assim entrar no servidor o mac da placa de rede do cliente.
Mas qual é a vantagem disso?

Amigo, use a opção "clonar mac" não. A não ser que seja realmente necessário.

Já vi isso dar bronca, por exemplo:
Coloca o ap no cliente e clona o mac. começa a ter problemas, troca o ap e clona o mac de novo, não funciona, troca o ap e clona o mac de novo. Identificasse que o problema era no repetidor para este cliente normaliza o problema.... Porém temos 3 rádios configurados com omesmo mac address. Se seus técnicos quando forem ativar outros clientes não retirarem essa opção, vais ter 3 macs iguais na rede, teus switchs vão começar a endoidar (tabela arp)e o pior se seu controle de banda for apenas por mac, vais ter 3 velocidades diferentes para o mesmo mac, dae seu server gateway tbm vai endoidar!


aqui eu deixo estes rádinhos todos como wds-brige repassando o mac dos clientes. mas quando é um cliente só, uma casa por exemplo, eu deixo como cliente mesmoe cadastro o mac do ap!

[jodrix]

Aqui uso assim:

Modo Operação: cliente https://under-linux.org/attachment.p...1&d=1283635858

https://under-linux.org/attachment.p...1&d=1283635858

https://under-linux.org/attachment.p...1&d=1283635858

https://under-linux.org/attachment.p...1&d=1283635858

[debeijer]

opa amigo,

nessa sua topologia,

quais faixas são navegaveis?

a 192.168.2.x ou a 192.168.5.x?

abraços

[1929]

Funcionou Jodrix.

Agora só ficou faltando o acesso remoto, apesar de que está marcado acesso remoto pela wan e ping na wan.

[1929]

Amigo, use a opção "clonar mac" não. A não ser que seja realmente necessário.

Já vi isso dar bronca, por exemplo:
Coloca o ap no cliente e clona o mac. começa a ter problemas, troca o ap e clona o mac de novo, não funciona, troca o ap e clona o mac de novo. Identificasse que o problema era no repetidor para este cliente normaliza o problema.... Porém temos 3 rádios configurados com omesmo mac address. Se seus técnicos quando forem ativar outros clientes não retirarem essa opção, vais ter 3 macs iguais na rede, teus switchs vão começar a endoidar (tabela arp)e o pior se seu controle de banda for apenas por mac, vais ter 3 velocidades diferentes para o mesmo mac, dae seu server gateway tbm vai endoidar!


aqui eu deixo estes rádinhos todos como wds-brige repassando o mac dos clientes. mas quando é um cliente só, uma casa por exemplo, eu deixo como cliente mesmoe cadastro o mac do ap!

Com os comentários de vocês, me convenci que clonar mac, só em situações muito inusitadas.
Bom este alerta sobre ter vários macs numa situação exposta por voce. Uso hotspot e tenho os perfis para várias velocidades.

E além disso fiz o controle de banda também no AP. E fiz um teste de banda. Dei uma velocidade mais alta no MK e uma menor no AP. Testei e não passa mais do que está cadastrado no AP. Assim, fica o controle no servidor só de reserva para algum caso de necessidade especial.

Agora me chamou a atenção a configuração de usar wds-bridge em praticamente todos os clientes.
Sempre ouvi dizer que não se deve ter muitos wds na rede pois sobrecarrega o servidor.

Depois que resolver a questão do acesso remoto, vou começar a trocar todos para cliente isp.

[jodrix]

opa amigo,

nessa sua topologia,

quais faixas são navegaveis?

a 192.168.2.x ou a 192.168.5.x?

abraços

Amigo, vamos lá... com o radio em cliente ISP a faixa navegavel é:

192.168.2.x é a faixa com NAT do AP-cliente > Micro cliente
ex: conf. maq cliente
ip 192.168.2.10/24
gt 192.168.2.1 (radio ap-cliente)
dns (pode ser o seu serverdns ou entao seu AP MK "se configurado")

já modo bridge....

192.168.5.x -e a faixa do seu AP MK nesse caso o radio-cliente fica em modo bridge (não recomendo, gera muito broadcast e a rede fica vulneralvel)
ex: conf. maq cliente
ip 192.168.5.10/24
gt 192.168.5.1 (AP MK)
dns (pode ser o seu serverdns ou entao seu AP MK "se configurado")

[jodrix]

Funcionou Jodrix.

Agora só ficou faltando o acesso remoto, apesar de que está marcado acesso remoto pela wan e ping na wan.

Para fazer acesso remoto no radio do cliente cria um ip valido no AP MK (IP > Address) e depois usa a seguinte regra:

/ip firewall nat
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=\
200.x.x.x dst-port=8989 protocol=tcp to-addresses=192.168.5.33 \
to-ports=80

OBS: Nesse caso o Radio-cliente esta em 192.168.5.33
200.x.x.x = IP valido
abre o navegador e digita h ttp://200.x.x.x:8989
por questoes de segurança uso a porta 8989....pode ser qualquer uma....

[1929]

Para fazer acesso remoto no radio do cliente cria um ip valido no AP MK (IP > Address) e depois usa a seguinte regra:

/ip firewall nat
add action=dst-nat chain=dstnat comment="" disabled=no dst-address=\
200.x.x.x dst-port=8989 protocol=tcp to-addresses=192.168.5.33 \
to-ports=80

OBS: Nesse caso o Radio-cliente esta em 192.168.5.33
200.x.x.x = IP valido
abre o navegador e digita h ttp://200.x.x.x:8989
por questoes de segurança uso a porta 8989....pode ser qualquer uma....

Vou fazer isso, lá no MK depois do feriado. Não pretendo ir lá antes, heheheh!!!. Felizmente não tenho ainda chamado de manutençao. Passei a chave e se tudo correr bem, só terça.

Eu tinha testado só em bancada aqui em casa, criei uma rede usando 3 Aprouter, sendo que um eu deixei como Ap e os outros dois como cliente isp. E nesta rede de teste é que eu não consegui o acesso remoto. E neste caso, como poderei fazer? não bastaria só marcar o acesso remoto? ou posso fazer um script semelhante e adicionar no aprouter?

[1929]

Então, Jodrix, não cheguei a fazer a regra no MK, pois infelizmente não deu para passar a chave e voltar só terça.
Com aquele temporal de segunda de tarde, depois tivemos que rever algumas instalações. Mas hoje já deixamos tudo contornado.
Muito granizo aí na tua terra? Aqui pegou alguns lugares com pedras graúdas.

Mas voltando ao acesso remoto. Nesta rede de teste só com Aprouter, não deveria fazer o acesso remoto?

[jodrix]

Muito granizo aí na tua terra? Aqui pegou alguns lugares com pedras graúdas.

Kkkkkkk pior é que tinha ido viajar visitar parentes, e na volta peguei tudo na estrada, parecia que ia rebentar o parabriza, o susto foi grande, aqui algumas pedras quase do tamanho de laranjas pequenas, mas Deus e grande e sabe o que faz, e graças a ele nenhum dano material.

Mas voltando ao acesso remoto. Nesta rede de teste só com Aprouter, não deveria fazer o acesso remoto?

Creio que sim embora nunca tenha feito, mas tenta em firewall > Port Forwarding. Uso assim pra repassar portas de ips valido direto nos servidores dos clientes, por exemplo :
https://under-linux.org/attachment.p...1&d=1252460916