Tornar a Rede um pouco mais segura

[jeanfrank]

Boa tarde a todos

Atualmente trabalho com minhas rbs das torres interligadas por bridge com um servidor central com hotspot com amarração de usuario/senha/mac e nas 5 novas repetições que instalamos fizemos com criptografia/usuario/senha/mac.
Mas agora estou fasendo testes de bancada pra mudar de bridge pra rbs roteadas devo utilizar o OSPF e com isto devo alterar tambem a forma de cadastro de meus clientes, todos os meus clientes trabalham com AP em modo Client ISP onde configuro o IP da WAN com o da minha classe de nevegação do Server MK Ex: 10.10.10.5 e assim por diante.
Duvida: Como já tenho bastante cliente na rede todos com esta classe de ips na wan do radio em modo static gostaria de saber de vcs se seria interessante eu criar pools de ips da mesma classe pra todas as minhas repetições em vez de classes diferentes pra repetições diferentes a ideia é autenticar todos os clientes nas torres e com isto descentralizar o processo, e pra migração ficar o mais transparente possivel pra meus clientes pensei nisto o que acham ?

Ps: Não citei os outros detalhes de como vou fazer mas se alguem precisar de alguma dica é só falar.
Agradeço a todos antecipadamente

Abraço

[iverton]

Bom amigo!
vamos pensar pela parte do roteamento:
você terá vários pontos de acesso roteados certo, você terá um um protocolo de roteamento dinâmico(ospf), esse protocolo repassará todas as rotas de sua rede ok. ai quando você tentar acessar um cliente, por exemplo o ip 10.10.10.5 o protocolo ospf vai ter passado que a rota para ele é simplesmente todos seus pops, pois terá essa range 10.10.10.0 em todos os pops, ai não rola.
crie uma range para cada pop, quando o tiveres que acessar a rede 10.10.10.0, a rota será o o router do pop 1, quando tiver que acessar a rede 10.10.11.0 será pelo pop 2 e assim por diante. se não tiver esse distinção da rede dá zica, pois os pacotes irão se perder pelo mal uso do roteamento dinâmico.

[interhome]

Se tiveres apenas 1 saída para internet não use protocolo de roteamento. Teras apenas 1 rota default.
O protocolo de roteamento é valido quando se tem varias saidas (rotas) ou se tem interesse que os router conheçam todas as redes. Para que o anuncio não seja "static" usamos um protocolo de roteamento.
Que não deverá ser o caso.

[jeanfrank]

Iverton bom dia

Beleza tinha esquecido deste detalhe do roteamento dinamico e mesmos ips em todos os pops é mancada foi mal, acho que não vai ter jeito mesmo pra migrar os caras todos vou colocar no pop com mais clientes esta classe 10.10.10.0/24 e nas outras seguir o seu conselho ai vou migrando os caras devagar.

Devo começar hoje a testar este ospf tenho uma vaga ideia de como fazer andei pesquisando no wiki da mikrotik e vamos ver como fica, alias estive pensando em utilizar meus ips publicos que tenho da embratel uma /28 pra colocar nas rbs roteadas e cada pop ter seu ip publico. o que vc acha disto ?

obrigado pela atenção

[iverton]

Beleza tinha esquecido deste detalhe do roteamento dinamico e mesmos ips em todos os pops é mancada foi mal, acho que não vai ter jeito mesmo pra migrar os caras todos vou colocar no pop com mais clientes esta classe 10.10.10.0/24 e nas outras seguir o seu conselho ai vou migrando os caras devagar.

vá criando um range diferente por cada pop, eu em minha rede uso uma range por interface até pra ficar f´cail de saber de onde o cliente é, tipo range 10.10.10.1 é da interface ssid1 e assim por diante.

Devo começar hoje a testar este ospf tenho uma vaga ideia de como fazer andei pesquisando no wiki da mikrotik e vamos ver como fica

https://under-linux.org/f143/rede-ro...tml#post507127
https://under-linux.org/f97/material...e-ospf-141905/
isso resolve o teu problema de configuração do ospf.

alias estive pensando em utilizar meus ips publicos que tenho da embratel uma /28 pra colocar nas rbs roteadas e cada pop ter seu ip publico. o que vc acha disto ?

obrigado pela atenção

é bom para o acesso externo da tua rede, mas não esqueça de colocar seus serviços em portas fora do padrão e configurar bem seu firewall para evitar transtornos de quebras de segurança com acesso da grande rede.
Pra mim a maneira mais segura na minha opinião é colocar todo acesso para a sua rede sob vpn ou tunelamento ssh com o putty. fica show de bola.

[jeanfrank]

Opa Boa noite Iverton

Você poderia exemplificar esta parte onde vc comenta sobre o vpn ou tunelamento ssh com o putty

Ps: Já usei o putty diversas vezes pra acessar terminais linux

Obrigado mais uma vez pela ajuda

[iverton]

tunelamentos ssh com putty:
putty - fabiodias
acesso externo via vpn pptp:
https://under-linux.org/f143/acesso-...ancado-109686/

faça a adequação das regras a sua rede.
mais alguma dúvida poste aqui.

[jeanfrank]

Opa bom dia mais uma vez

Valeu ai pelo material e as dicas irei estudar todos os cenários ai reporto as conclusões

obrigado mais uma vez