Clientes com AP dando ips para o resto dos clientes

[welllinux]

Caros colegas, eu tive um problema muito loco na minha rede a algum tempo, era o seguinte, os clientes que tinha instalado placa PCI ou USB funcionavam beleza, entravam no provedor recebia um ip do DHCP e procedia normal a navegação, mas só que quando um dos clientes com AP entrava na rede ele começava a atribuir o IP para os outros que entravam, como se ele fosse o servidor DHCP da rede, vê se pode? Tive que colocar o meu servidor DHCP como estatico e dar IP 1 a 1 para os cliente na mão mesmo, só assim que eu consegui burlar esse problema, já tiveram esse problema? A configuração dos AP eram como Bridge.

[mktguaruja]

Amigo isso é somente desativar o dhcp server do rádio cliente.

[williambezerra]

Aconteceu isso comigo a 2 meses atrás. Olhe como descobri:

A maioria dos meus clientes são de placas PCI, pois como tem muita interferencia aqui na região, limitei o atendimento para no máximo a 1.500 metros, então clientes com Rádio, apenas quem compartilha a Internet, ou para 2 usuários que queiram pagar cada um a sua mensalidade no mesmo equipamento, sendo que o Radio fica em Bridge.
Os radios que costu,o utiliza são os Edimax 7209 com Ap Router e os Wr-254 da Ap Router. Não gosto dos tal de Air Live com Software Original, pois como uso HotSpot com DHCP, no Air LIve só funciona em Bridge, pois ele pega o IP direto do Servidor.

Então aconteceu uma coisa estranha, um cliente vindo de outro provedor tinha um AirLive, e ele queria receber o Sinal no Air Live e mandar para um Roteador D-Link Dl524 para ele usar no Notebook.
Então fui lá, deixei o AirLIve em Bridge, e configurei o Dlink para fornecer os IPs, pois sendo assim, o Airlive se conectava no Servidor Miktotik, e repassava o IP da Torre (20.20.0.X) para o Dlink, e então o Dlink passava o faixa de Ip para o Note e para o outro Computador (192.168.0.X).
Fiz a ligação assim:
O cabo de rede saia do AirLive na porta LAN1 e "entrava" na porta WAN do Dlink Dl524, e então transmitia via Wireless para o Notebook e via cabo para o outro PC.

Passaram se alguns dias, e começaram os problemas, clientes ligando dizendo que não estava acessando, ao chegar no local, eu verificava que o IP do PC estava em 192.168.0.X. Mas indo nas configurações de REDE o IP estava em Automático, tentava de todo o jeito e não resolvia, reinstalava o driver e voltava ao normal.
A mesma coisa aconteceu em outro cliente, e dai uma coisa curiosa aconteceu:
O Cliente disse assim:
"Hoje de manhã apareceu um Tal de "Toninho" pedindo permissão para compartilhar documentos, e ontem era uma tal de "Raissa".
Foi quando entrei para ver os clientes da mesma rede, e encontrei alguns clientes como se estivessesm compartilhando arquivos, mas sei que isso não era possível, pois já tinha tentado algum tempo atrás e nao dava, e dai liguei as coisas.
Esses clientes estavam com o Windows Seven instalados, e por isso o compartilhamento, mas dai me perguntei, e o porque do IP ???

Fui correndo na casa do cliente do AirLive + Dlink Dl-524, cheguei lá, o que ele tinha feito: Pegou o Cabo de rede que saía do Airlive e colocou em LAN do Dlink Dl-524, e isso estava ocasionando a "VOLTA" do IP para o servidor, mas como ele encontrava esses PCs na mesma rede, fornecia os IPs. Só foi arrumar os cabos e o problema foi solucionado, mas como disse antes, não gosto de Air Live, peguei um Ap Router e troquei, e não tive mais problemas.

Então o Seguinte:
Se vc usa HotSpot, ou tem algum cliente que possui Radios em Bridge, e que em alguns casos eles compartilham a Internet para Roteadores, e eles tem Windows Vista ou Seven, verifique, pois com certeza será ai o problema.
Pela experiencia que tive, posso afirmar com certeza que é isso, e já pensei em desativar o compartilhamento de arquivos em todos os clientes, mas como no XP não tem como os PC se Enxergarem na Rede, nunca me preocupei, mas agora com o Seven e Vista teve esse problema "ISOLADO" do caso dos Ap em Bridge + Roteadores, de uma pesquisada, e depois me diga se caso resolver para que possamos evitar certas configurações, OK ???

Até mais , espero ter ajudado . . .

[welllinux]

Valeu galera, obrigado Willian pela seu depoimento, acho que vai me ajudar muito pois 1 dos meus clientes tem um ambiente igual a esse que vc citou, inclusive o air live, vou fazer o reparo na quinta feira assim que tiver o resultado passo para galera, um abraço!!!

[olivionet]

Cara tem uns filtros que você pode adicionar no wireless que bloqueia compartilhamento e DHCP server dos clientes (se usar RB mikrotik).

***********************************************************************
# Filtros de bridge, bloqueia comunicação entre clientes
# Defina nas variaveis abaixo todas as interfaces wireless que atendem clientes
# Cuidado: Nao coloque nessas regras as interfaces wireless de link PTP

# Variavies, altere os nomes das interfaces que estao entre aspas conforme nescessario, caso tenha menos interfaces que nesse
# Script, basta comentar a linha que nao for utilizar. Esse script esta preparado para quatro interfaces.
:local if1 "wlan1";
:local if2 "wlan2";
:local if3 "wlan3";
:local if4 "wlan4";

# Nao altere nada daqui para baixo
/interface bridge filter
add action=drop chain=forward comment="Block invalid DHPC Servers" \
disabled=no in-interface=$if1 ip-protocol=udp mac-protocol=ip \
src-port=67
add action=drop chain=forward comment="" disabled=no in-interface=$if2 \
ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward comment="" disabled=no in-interface=$if3 \
ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward comment="" disabled=no in-interface=$if4 \
ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward comment="Block Relay" disabled=yes ip-protocol=\
tcp mac-protocol=ip src-port=135-139
add action=drop chain=forward comment="" disabled=yes ip-protocol=udp \
mac-protocol=ip src-port=135-139
add action=drop chain=forward comment="" disabled=yes dst-port=135-139 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes dst-port=135-139 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=tcp \
mac-protocol=ip src-port=445
add action=drop chain=forward comment="" disabled=yes dst-port=445 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=tcp \
mac-protocol=ip src-port=5355-5358
add action=drop chain=forward comment="" disabled=yes dst-port=5355-5358 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=udp \
mac-protocol=ip src-port=5355-5358
add action=drop chain=forward comment="" disabled=yes dst-port=5355-5358 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=udp \
mac-protocol=ip src-port=3702
add action=drop chain=forward comment="" disabled=yes dst-port=3702 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=udp \
mac-protocol=ip src-port=1900
add action=drop chain=forward comment="" disabled=yes dst-port=1900 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=tcp \
mac-protocol=ip src-port=2869
add action=drop chain=forward comment="" disabled=yes dst-port=2869 \
ip-protocol=tcp mac-protocol=ip

OBS.: NÃO POSTEI A FONTE POIS NÃO ME LEMBRO MAS PEGUEI AQUI NO FORUM !!

[mktguaruja]

Amigo a porta 67 que você usa para dhcp server, seu eu dropar ela na brigde, ou no servidor principal eu consigo inibir o funcionamento do DHCP server dos rádio dos clientes?

Cara tem uns filtros que você pode adicionar no wireless que bloqueia compartilhamento e DHCP server dos clientes (se usar RB mikrotik).

***********************************************************************
# Filtros de bridge, bloqueia comunicação entre clientes
# Defina nas variaveis abaixo todas as interfaces wireless que atendem clientes
# Cuidado: Nao coloque nessas regras as interfaces wireless de link PTP

# Variavies, altere os nomes das interfaces que estao entre aspas conforme nescessario, caso tenha menos interfaces que nesse
# Script, basta comentar a linha que nao for utilizar. Esse script esta preparado para quatro interfaces.
:local if1 "wlan1";
:local if2 "wlan2";
:local if3 "wlan3";
:local if4 "wlan4";

# Nao altere nada daqui para baixo
/interface bridge filter
add action=drop chain=forward comment="Block invalid DHPC Servers" \
disabled=no in-interface=$if1 ip-protocol=udp mac-protocol=ip \
src-port=67
add action=drop chain=forward comment="" disabled=no in-interface=$if2 \
ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward comment="" disabled=no in-interface=$if3 \
ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward comment="" disabled=no in-interface=$if4 \
ip-protocol=udp mac-protocol=ip src-port=67
add action=drop chain=forward comment="Block Relay" disabled=yes ip-protocol=\
tcp mac-protocol=ip src-port=135-139
add action=drop chain=forward comment="" disabled=yes ip-protocol=udp \
mac-protocol=ip src-port=135-139
add action=drop chain=forward comment="" disabled=yes dst-port=135-139 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes dst-port=135-139 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=tcp \
mac-protocol=ip src-port=445
add action=drop chain=forward comment="" disabled=yes dst-port=445 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=tcp \
mac-protocol=ip src-port=5355-5358
add action=drop chain=forward comment="" disabled=yes dst-port=5355-5358 \
ip-protocol=tcp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=udp \
mac-protocol=ip src-port=5355-5358
add action=drop chain=forward comment="" disabled=yes dst-port=5355-5358 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=udp \
mac-protocol=ip src-port=3702
add action=drop chain=forward comment="" disabled=yes dst-port=3702 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=udp \
mac-protocol=ip src-port=1900
add action=drop chain=forward comment="" disabled=yes dst-port=1900 \
ip-protocol=udp mac-protocol=ip
add action=drop chain=forward comment="" disabled=yes ip-protocol=tcp \
mac-protocol=ip src-port=2869
add action=drop chain=forward comment="" disabled=yes dst-port=2869 \
ip-protocol=tcp mac-protocol=ip

OBS.: NÃO POSTEI A FONTE POIS NÃO ME LEMBRO MAS PEGUEI AQUI NO FORUM !!

[olivionet]

Cara aqui só uso assim, antigamente os clientes fussava nos rádios ou então resetava dai vinha com o DHCP ativado e dai em diante alguns clientes pegava IP do dhcp do rádio do cara ou alguns pegava do meu, não sei qual critério...

Com essas regras não tive mais problemas, coloquei um rádio aqui na rede com o DHCP ativado, dai fico só vendo o filtro de bridge bloquear os DHCP !!

Pelo menos aqui funciona perfeito com esses filtros !!!

[Genis]

Caros colegas, eu tive um problema muito loco na minha rede a algum tempo, era o seguinte, os clientes que tinha instalado placa PCI ou USB funcionavam beleza, entravam no provedor recebia um ip do DHCP e procedia normal a navegação, mas só que quando um dos clientes com AP entrava na rede ele começava a atribuir o IP para os outros que entravam, como se ele fosse o servidor DHCP da rede, vê se pode? Tive que colocar o meu servidor DHCP como estatico e dar IP 1 a 1 para os cliente na mão mesmo, só assim que eu consegui burlar esse problema, já tiveram esse problema? A configuração dos AP eram como Bridge.

é só entrar no radio cliente e desativar o dhcp, isso ja resolve, em cliente que esta com o radio distribuindo o dhcp ele libera para outros clientes usar de graça, pois o mac do radio dele este liberado no sou servidor, acaba ficando lento o seu servidor, e sem saber porque, ai imagina se o amigo do seu cliente divulga para meia cidade.

[olivionet]

Essas regras é bom também que se tiver um espertinho que conectar na sua rede e ligar o DHCP do rádio dele por sacanagem o filtro bloqueia isso !!

[mktguaruja]

No caso seria a porta 67 UDP, pois as outra são netbios e atulização do windows que seria a 445.

Outra coisa se eu uso somente como brigde, eu posso colocar no servidor onde faço o controle de todos os clientes ou não ?

Essas regras é bom também que se tiver um espertinho que conectar na sua rede e ligar o DHCP do rádio dele por sacanagem o filtro bloqueia isso !!

[olivionet]

Cara de verdade não sei te dar certeza !!

Mas acredito que não porque como no script mesmo fala para não habilitar estas regras nas interfaces que faz PTP.

Então creio que ele deve bloquear somente interface <---> interface !!

Espero ter ajudado !!

[Luspmais]

Mas pq colocar os ap´s dos clientes em bridge ? Se usar no modo wisp e deixar a wan em cliente dchp e lan como servidor dchp acho que não dá esse retorno de ip´s.....

[ANDREOSOUTO]

Sem duvida essa é a solução cliente wisp resolve esse problema so tenho uma duviida nesse cliente wisp se ele deixa um cliente enxergar o outro na sua rede falo isso porque uso cliente wisp e da casa de um cliente entro no equipamento de outro cliente pelo ip atribuído pelo ip fixo isso é normal?????

[Genis]

Sem duvida essa é a solução cliente wisp resolve esse problema so tenho uma duviida nesse cliente wisp se ele deixa um cliente enxergar o outro na sua rede falo isso porque uso cliente wisp e da casa de um cliente entro no equipamento de outro cliente pelo ip atribuído pelo ip fixo isso é normal?????

claro que não, isso nunca pode acontecer, como vc esta distribuindo o IP para os seus clientes, os seus clientes tem que receber /32 assim só este ip se enchergar.

[ANDREOSOUTO]

Olá amigo desculpe-me so muito leigo nessa parte estou estudando ainda como faço na pratica esse /32 seria a mascara da rede no cliente certo no meu servidor que gerencia é um tplink RT480+ minha rede 192.168.3.1,255.255.255.0 dhcp disabilitado configuro ip fixo no cliente wan fixo tenho que mudar a mascara do cliente é isso para eles não se enxerga-se o acesso de todos é feito pela porta wan pelo ip atribuído por mim tipo 192.168.3.xxx cliente x dai da acesso a esse cliente deu pra entender valewww.

[Genis]

Olá amigo desculpe-me so muito leigo nessa parte estou estudando ainda como faço na pratica esse /32 seria a mascara da rede no cliente certo no meu servidor que gerencia é um tplink RT480+ minha rede 192.168.3.1,255.255.255.0 dhcp disabilitado configuro ip fixo no cliente wan fixo tenho que mudar a mascara do cliente é isso para eles não se enxerga-se o acesso de todos é feito pela porta wan pelo ip atribuído por mim tipo 192.168.3.xxx cliente x dai da acesso a esse cliente deu pra entender valewww.

é só configurar PPPoE assim todos os cliente pega o IP com a mascara 255.255.255.255, e lembrando que não tem mais que ir no seu cliente colocar IP nas placas de rede ou nos router´s dos seu clientes.

[naldo864]

é só configurar PPPoE assim todos os cliente pega o IP com a mascara 255.255.255.255, e lembrando que não tem mais que ir no seu cliente colocar IP nas placas de rede ou nos router´s dos seu clientes.

verdade com pppoe acaba a dor de cabeça .