+ Responder ao Tópico



  1. #1

    Padrão CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    ola pessoal to com alguns problemas na minha rede e queria compartilhar o problema com vcs pra que derrepente quem ja teve o memso problema possa me ajudarprimeiro , minha configuração tenho um servidor mk para load balance onde entra os links , dele sai uma rede pra outr server mk onde os clientes logan e desse server mk onde entra os clientes , sai uma placa de rede que vai pra um switch 24 portas e desse switch entra 6 nanostations que estão em bridge, que é onde os clientes se conectam com suas antenas , e agora vai o problema,.... como ta todo mundo ligano no switch inclusive o mk, todo mund se encherga na rede pois o mk manda ips por dhcp, e otra coisa se um engraçadinho liga um gadio em gatway na rede , o memso começa a enviar ips pro switch tambem e assim da pau em todo mundo , entãoq ueria saber o que é mais viavel, fazer um server mk com varias placas de rede como e foce um switch ams colocando regras pra evitar os clientes se enchergarem e pra clientes que colocarem radios não enviarem ips pra rede ou comprar um switch gerenciavel?? tem um da 3com 24 portas mas é 1300 paus , sera que compença mais um pc? ja que teria processamento maior?

  2. #2

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    Coloca uma placa de rede no servidor saindo para um switch EXCLUSIVO para os nanos,crie uma rede exclusiva para eles e acione a função "client isolation".Espero que ajude .



  3. #3

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    da uma olhadinha nesse Switch
    ISPShop - Switch OT-2008SI-VN /UX

    ja daria uma bela ajuda...

  4. #4

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    /interface bridge filter
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no in-interface=Wireless 1 out-interface=wireless 2
    add action=drop chain=forward comment="" disabled=no in-interface= Wireless2 out-interface= Wireless 1

    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=udp mac-protocol=ip

    add action=drop chain=input comment=Bloqueia-DHCP-Externo disabled=no in-interface= Wireless1 ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward comment= Bloqueia-DHCP-Externo disabled=no in-interface= Wireless 1 ip-protocol=udp mac-protocol=ip src-port=67

    Substituir onde esta Wireless 1 e 2 pelos nomes de suas interface wireless. Lembrando que tem q fazer isso para todas as interfaces se forem 4 por exemplo tem que repetir o passo para bloquearem todas entre si para não ter mais comunicação alguma com o servidor.
    Este comando tem que ser adicionados nos mikrotiks que estao em bridge.



  5. #5

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    Putz meu amigo, essa de DHCP na rede é mortal, quando iniciamos tínhamos parte da rede em DHCP como era tudo em bridge, vira e mexe um cliente ligava o roteador dele interno na porta do nosso roteador em bridge dando ip para a rede inteira, bagunçando tudo e infernizando nossa vida. Partimos para o PPPoE e IPFixo para evitar esses problemas...

  6. #6

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    Citação Postado originalmente por mascaraapj Ver Post
    da uma olhadinha nesse Switch
    ISPShop - Switch OT-2008SI-VN /UX

    ja daria uma bela ajuda...
    Esse Switch que citei ele bloqueia comunicacao entre as portas.
    dessa forma, se o cliente do AP 1 ligar equipamento errado.. o erro vai ficar somente ali, nao ira passar para os demais.
    Se vc ativar no AP a isolacao de cliente, pronto, seus problemas acabaram.
    o cliente pode ligar o equipamento errado da forma como quiser, o problema ficara somente ali.



  7. #7

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    colega mas ai eu tenho que deixar os nanos comrouter? pois eles estão como bridge , pra pegar ips do MIKROTIK OS e essa rede esclusiva para eles que vc dis é uma faixa de ips interna neles?tipo nanostation 01 ip 192.168.10.1 nanostation 2 192.168.10.11 assim?

  8. #8

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    Citação Postado originalmente por rbrgamea Ver Post
    colega mas ai eu tenho que deixar os nanos comrouter? pois eles estão como bridge , pra pegar ips do MIKROTIK OS e essa rede esclusiva para eles que vc dis é uma faixa de ips interna neles?tipo nanostation 01 ip 192.168.10.1 nanostation 2 192.168.10.11 assim?
    como esta a estrutura atualmente?

    router mk - Switch comum - varios AP, cada um ligado em uma porta
    correto?

    pois entao, a estrutura iria continuar a mesma... so iria trocar esse Switch comum para Switch com vlan.
    dessa forma, quem estive-se conectado em uma porta nao iria enchergar a outra porta.



  9. #9

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    porque nao vc nao faz dhcp com mascara 32, assim eles nao se enchergam, a nao ser que coloquem o ip manual.
    usa PPOE ou hotspot.
    Alias vc tem Licença SCM propria, nao entao fique esperto pois a Anatel esta de olho nas SCM compartilhadas.

  10. #10

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    usar /32 vc encontrara alguns problemas com alguns S.O ou firmware de radios.. e mesmo isso, nao impede um cliente de enchergar o outro, de trocarem arquivos ou ate mesmo de espalhar DHCP na rede.
    Citação Postado originalmente por edmarmega Ver Post
    porque nao vc nao faz dhcp com mascara 32, assim eles nao se enchergam, a nao ser que coloquem o ip manual.
    usa PPOE ou hotspot.
    Alias vc tem Licença SCM propria, nao entao fique esperto pois a Anatel esta de olho nas SCM compartilhadas.



  11. #11

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    edmarmega tenho sim licença scm propria, paguei os miseros 9000,00 pra anatel rsrsrsr arrf, e usar mascara 32 da problema mesmo to penssando em usar o switch que o amigo mascaraapj falow apesar que ja liguei em todos os nanos a opção client isolation e ainda sim todos se enchergan , to penssano tb em fazer um pc como switch com mk os e fazer as regras de ip filter na bridge pra ver se funfa, alguem ja tentou e funcional sera?

  12. #12
    Avatar de renatocostas
    Ingresso
    Dec 2007
    Localização
    Av. Santos Dumont 119, centro -Montes Claros MG
    Posts
    288

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    se vc usar rb em suas torres pode fazer EoIP Tunnel ou MPLS, isolando os clientes em microregiões, evitando loop na rede toda e dhcp indesejado na rede toda, alem de poder aplicar os filtros de bridge.

    Att,

    Renato Costa.



  13. #13

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    Meu filtro de bridge uso assim:

    /interface bridge filter
    add action=accept chain=input comment="Aceitar Acesso por IP" disabled=no \
    dst-port=8291 ip-protocol=udp mac-protocol=ip
    add action=accept chain=input comment="Aceitar Acesso por MAC" disabled=no \
    dst-port=20561 ip-protocol=udp mac-protocol=ip
    add action=accept chain=input comment="Aceita Descoberta de Vizinhanca" \
    disabled=no dst-port=5678 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="Boqueia Pacotes entre Interfaces" \
    disabled=no in-interface=!rede out-interface=!rede
    add action=drop chain=input comment="Spanning Tree" disabled=yes \
    dst-mac-address=01:80:C2:00:00:00/FF:FF:FF:FF:FF:FF
    add action=drop arp-hardware-type=!1 arp-packet-type=!0x800 chain=forward \
    comment="Descartando ARP esp\FArios " disabled=no mac-protocol=arp


    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    in-interface=wlan2 ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward disabled=no in-interface=wlan2 ip-protocol=udp \
    mac-protocol=ip src-port=67


    add action=drop chain=input comment=Anti-DHCPServer-Externo disabled=no \
    in-interface=wlan1 ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward disabled=no in-interface=wlan1 ip-protocol=udp \
    mac-protocol=ip src-port=67

    add action=log chain=input comment="Block DHCP servers on 192.168.0.0/16" \
    disabled=no dst-address=255.255.255.255/32 ip-protocol=udp log-prefix=\
    "ALERT ROGUE DHCP (BLOCKED)" mac-protocol=ip src-address=192.168.0.0/16 \
    src-port=67-68

    add action=drop chain=input comment="Block DHCP servers on 192.168.0.0/16" \
    disabled=no dst-address=255.255.255.255/32 ip-protocol=udp mac-protocol=\
    ip src-address=192.168.0.0/16 src-port=67-68


    add action=drop chain=forward comment=Netbios disabled=yes dst-port=135-139 \
    ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward disabled=yes dst-port=135-139 ip-protocol=udp \
    mac-protocol=ip
    add action=drop chain=forward disabled=yes dst-port=445 ip-protocol=tcp \
    mac-protocol=ip
    add action=drop chain=forward disabled=yes dst-port=445 ip-protocol=udp \
    mac-protocol=ip

    Bloqueio de netbios eu nao uso ativo no filtro de bridge porque percebo que ao ativar os ping sobem muito, mesmo com processamento baixo na RB, entao prefiro usar as regras de netbios apenas no firewall e nao nos filtros de bridge.

  14. #14

    Padrão Re: CLIENTES SE ENXERGANDO NA REDE E CLIENTE ENVIANDO DHCP NA REDE E CONFLITANDO!!

    Citação Postado originalmente por pepeuo Ver Post
    /interface bridge filter
    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no in-interface=Wireless 1 out-interface=wireless 2
    add action=drop chain=forward comment="" disabled=no in-interface= Wireless2 out-interface= Wireless 1

    add action=drop chain=forward comment="" disabled=no dst-port=135-139 ip-protocol=udp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=tcp mac-protocol=ip
    add action=drop chain=forward comment="" disabled=no dst-port=445-449 ip-protocol=udp mac-protocol=ip

    add action=drop chain=input comment=Bloqueia-DHCP-Externo disabled=no in-interface= Wireless1 ip-protocol=udp mac-protocol=ip src-port=67
    add action=drop chain=forward comment= Bloqueia-DHCP-Externo disabled=no in-interface= Wireless 1 ip-protocol=udp mac-protocol=ip src-port=67

    Substituir onde esta Wireless 1 e 2 pelos nomes de suas interface wireless. Lembrando que tem q fazer isso para todas as interfaces se forem 4 por exemplo tem que repetir o passo para bloquearem todas entre si para não ter mais comunicação alguma com o servidor.
    Este comando tem que ser adicionados nos mikrotiks que estao em bridge.
    Olá Pepeuo,

    Tenho o mesmo problema e venho correndo atras para sanar, estou com um post parecido aberto (https://under-linux.org/f210/duvida-...avegam-144716/).

    No meu caso tenho cerca de 4 torres apenas com RB e o restante totaliza proximo de 20 torres que são de outros modelos de radios tudo em bridge, tudo esta concentrado apenas em um servidor RB1100, a minha questão é a seguinte, como tudo é gerenciado por um servidor então tenho apenas duas interfaces de rede, um recebo o link e outra é a gerencia dos clientes (ether2), ativando esse script para bloqueio da porta 67 (Servidores DHCP/Broadcast) afetaria por algum motivo requisições de clientes ja que tudo chega apenas em um local.

    Obs: utilizo HotSpot, minha rede NÂO esta ativado DHCP, é configurado radio a radio.


    Anderson