alguem sabe como eu acabo com esse problema de dhcp vindo de cliente

[conectinternet]

uso hotspot e a segue a foto

existe alguma regra para bloquear pois alguns clientes pegam o ip do roteador deste cliente e esses nao tem acesso a internet



solução mas quase impossivel vou tentar explicar( a minha rb fica na minha torre onde sai o link, acredito que se jogasse a rb dentro da rede cabeada os cliente pegaria o ip da mesma ) ai vem a complexidade o ponto A para o ponto B fica a 13 km

mas de carro sao 90 km sem contar que fica em um lugar de risco

existe alguma regra para colocar na rb

[sphreak]

Me parece ser problemas de configuração na antena do cliente que esta fornecendo Dhcp. O ip não é pra voltar do cliente pra sua rede. Verifique se a antena do cliente não está em Bridge, com um roteador doméstico ligado em baixo.... Nunca deixe antena cliente em modo bridge... e dor de cabeca certa...
Coloca em modo estação e muda a senha da antena pro cliente não mexer...

Posta sua estrutura pra melhor entendimento... qual a sequencia dasua rede? RB+Rocket com ubnt no cliente?
Você usa hotspot com autenticação no pc do cliente? Se usa livre-se disso!!!!!! Usa PPOE ou mac+ip list e seja muiiiito feliz!!!!

[conectinternet]

sim e nao pois a minha rede e cabeada

algum cliente trocou o cabo da porta wan e pois na lan isso acontece direto ja nao sei mas oque fazer

[sphreak]

So penso em uma maneira de nao ter esse problema. Mudar a autenticação para Ppoe amarrada a IP, dai quem não tiver a combinação Ppoe + IP nao navega mesmo... Com Ppoe da pra configurar tanto o Pc do cliente em Ppoe ligado direto a sua rede ou ainda permitir que o cliente tenha um roteador tambem autenticado Ppoe.
Isso não evita que um roteador espalhe ip na rede, mas permite so quem esteja autenticado a navegar.
Dica... se sua rede estiver na faixa 192.168.xxx.xxx ou 10.0.xxx.xxx, mude pra outra faixa.

Abraço

[fabianomoura]

tente clicar uma regra no firewall INPUT, vindo da interface wireless dando DROP na porta 67

[1929]

De vez em quando vejo acontecer isso com alguns poucos clientes.
O IP do cliente no registration muda do ip designado para ele ( não usamos DHCP) para o ip da lan da CPE que está na casa dele. CPE roteada então não deveria permitir isso, mas acaba acontecendo.
Como isso acontece sempre com os mesmos clientes então eu imagino que o problema seja causado pela CPE Station na casa do cliente. O cliente continua navegando normalmente.

[lenimax]

Acompanhado

[smith]

tente este tópico.
https://under-linux.org/showthread.php?t=154329

[islan]

Colega, use VLAN, coloque cada cliente em uma VLAN, se eu entendi corretamente seu problema, isso vai resolver

[sidfreire]

Ola amigo, tinha esse problema quando usava somente hotspot agora estou migrando para pppoe aos poucos, mas resolvi criando 2 regras basicas na aba IP BINDINGS
Adicione um com o ip de sua rede
Ex:
address: 192.168.10.0/24
Server : all
Type: regular
Em comment coloque range liberada
Os demais campos nao precisa preencher

Adicione a segunda regra
Address: 0.0.0.0/0
Server: all
Type: blocked
Comment: bloqueia ip fora da rede
Importante manter essa ultima sempre abaixo das demais blz

Aqui resolvi assim e faz mais de 1 ano que nao tenho problemas com ip retornando dos roteadores

Espero q te ajude
Att+

[JaniG]

Mas na ramificação da sua rede cabeada, tem switch comum? Se for isso, põe MK no lugar, e cada porta você configura para dar IP ao cliente X, Y, Z. Se ele mudar o cabo, o máximo que acontecerá é você receber um telefonema que a internet não está funconando, pois o dhcp deste roteador do cliente vai morrer na porta do MK. É como o outro colega falou, se fosse rádio, não por em bridge e deixar a estação largar IP, mesmo que o roteador venha dar outros IPs. Eu antigamente desativava a DHCP dos roteadores e espetava o cabo do radio em uma das portas lans do roteador. Uma vez desativado o DHCP deste, quem manda é o radio. E quando eu tinha cabeado , a re-redistribuição era via MK.

Se nada disso for interessante (digamos que tua rede cabeada é muito grande e tu não quer trocar por MKs onde precisa), concordo com o outro colega: PPoE. Mas vai ter algum trabalho ainda.

[chocobama]

Se sua rede é cabeada, use apenas switches Vlan em todos os nós. O DHCP irá chegar em seu concentrador. Você até pode dropar DHCP vindo da rede dos clientes, mas isto não resolve o problema. O mala do outro lado pode continuar navegando normalmente. Mas uma hora ele vai reclamar que tem internet em um celular e não tem no outro..... Se esta tudo em bridge tente acessar este roteador problemática e desligar o DCHP. O tipo de pessoa que liga a porta errada não faz ideia do que seja nome de usuário e senha e provavelmente deixou o padrão. Quando isto acontece eu entro no router, desligo DHCP e troco o SSID, algo do tipo "LEVAR PARA MANUTENCAO".

[1929]

Não vejo isso como problema de configuração do provedor. Eu ainda acho que é "furo" de firmware ou mesmo má qualidade de algum componente. Vejo isso acontecer em algumas poucas CPE Ubiquiti, e também em roteadores mais baratos. E são sempre os mesmos clientes.
Se a CPE que recebe o sinal está roteada e numa classe diferente de ip, nunca que deveria vazar o ip da lan da CPE para a rede do provedor, muito menos ip de roteador interno na casa do cliente.

[djpicapau]

So penso em uma maneira de nao ter esse problema. Mudar a autenticação para Ppoe amarrada a IP, dai quem não tiver a combinação Ppoe + IP nao navega mesmo... Com Ppoe da pra configurar tanto o Pc do cliente em Ppoe ligado direto a sua rede ou ainda permitir que o cliente tenha um roteador tambem autenticado Ppoe.
Isso não evita que um roteador espalhe ip na rede, mas permite so quem esteja autenticado a navegar.
Dica... se sua rede estiver na faixa 192.168.xxx.xxx ou 10.0.xxx.xxx, mude pra outra faixa.

Abraço

Acho que é a melhor forma.

[ronandopo]

Ola amigo, tinha esse problema quando usava somente hotspot agora estou migrando para pppoe aos poucos, mas resolvi criando 2 regras basicas na aba IP BINDINGS
Adicione um com o ip de sua rede
Ex:
address: 192.168.10.0/24
Server : all
Type: regular
Em comment coloque range liberada
Os demais campos nao precisa preencher

Adicione a segunda regra
Address: 0.0.0.0/0
Server: all
Type: blocked
Comment: bloqueia ip fora da rede
Importante manter essa ultima sempre abaixo das demais blz

Aqui resolvi assim e faz mais de 1 ano que nao tenho problemas com ip retornando dos roteadores

Espero q te ajude
Att+

Uso essa regra também e acabo o problema show de bola!!!!

[1929]

estava agora relendo todos os posts e pude ver que o que acontece comigo não é o que acontece com o autor do tópico.
No caso dele alguns clientes pegam o IP e Mac de um servidor desconhecido, no caso o roteador da rede do cliente...e daí não navegam.
Então está funcionando a amarração IP x MAC.
Eu uso hotspot e amarro Login x senha x ip x mac e funciona tanto quanto quem amarra por pppoe.
Tanto é que no tópico citado pelo @smith tem uma pessoa que relata o uso de ppoe e acontece a mesma coisa.
Então não deve estar na forma de autenticação. O uso de regras que simplesmente bloqueiem o IP "errado" creio que não resolva o problema, pois os clientes que ocorre isso continuarão sem navegar. Na verdade pelo log postado pelo autor do tópico o bloqueio já está ocorrendo, e isto é um sinal de que a autenticação hotspot está funcionando.
O problema é anterior ao hotspot ou se fosse pppoe idem, pois o cliente já chega com ip errado no servidor.
No meu caso o que acontece é diferente, pois o cliente certo autentica no hotspot corretamente, só que para alguns poucos clientes e são sempre os mesmos, o ip que chega no registration do mikrotik é o ip cadastrado mas que fica oscilando entre o ip cadastrado para o ip da lan da cpe station roteada que está na casa do cliente.
A impressão que passa é que há vazamento entre a porta lan e wan da CPE. Não é nada com o roteador interno do cliente. Mas não há bloqueio de navegação pois o cliente já está autenticado. Então não causa maiores problemas.

Não tenho a intenção de lavantar polêmica entre hotspot e pppoe mas é como diz o Wardner Maia, nem hotspot nem pppoe são garantia de segurança. Segurança é feita por medidas antes de se concretizar a autenticação. E no caso do tópico o hotspot do @conectinternet está cumprindo muito bem o papel de barrar assim como o pppoe também faria.

[chocobama]

estava agora relendo todos os posts e pude ver que o que acontece comigo não é o que acontece com o autor do tópico.
No caso dele alguns clientes pegam o IP e Mac de um servidor desconhecido, no caso o roteador da rede do cliente...e daí não navegam.
Então está funcionando a amarração IP x MAC.
Eu uso hotspot e amarro Login x senha x ip x mac e funciona tanto quanto quem amarra por pppoe.
Tanto é que no tópico citado pelo @smith tem uma pessoa que relata o uso de ppoe e acontece a mesma coisa.
Então não deve estar na forma de autenticação. O uso de regras que simplesmente bloqueiem o IP "errado" creio que não resolva o problema, pois os clientes que ocorre isso continuarão sem navegar. Na verdade pelo log postado pelo autor do tópico o bloqueio já está ocorrendo, e isto é um sinal de que a autenticação hotspot está funcionando.
O problema é anterior ao hotspot ou se fosse pppoe idem, pois o cliente já chega com ip errado no servidor.
No meu caso o que acontece é diferente, pois o cliente certo autentica no hotspot corretamente, só que para alguns poucos clientes e são sempre os mesmos, o ip que chega no registration do mikrotik é o ip cadastrado mas que fica oscilando entre o ip cadastrado para o ip da lan da cpe station roteada que está na casa do cliente.
A impressão que passa é que há vazamento entre a porta lan e wan da CPE. Não é nada com o roteador interno do cliente. Mas não há bloqueio de navegação pois o cliente já está autenticado. Então não causa maiores problemas.

Não tenho a intenção de lavantar polêmica entre hotspot e pppoe mas é como diz o Wardner Maia, nem hotspot nem pppoe são garantia de segurança. Segurança é feita por medidas antes de se concretizar a autenticação. E no caso do tópico o hotspot do @conectinternet está cumprindo muito bem o papel de barrar assim como o pppoe também faria.

Meu caro. Acredito que isso seja algum tipo de erro com o NAT do roteador cliente ou mesmo bug no mk. É como você fala, oscila entre os ips da lan e wan do cliente. É como se os ips fossem roteados sem o nat. Hora sim e hora não.
O caso específico do autor do tópico é que um cliente está distribuindo dhcp na rede dele. Mas só pega dhcp se os clientes estiverem na mesma bridge ou em switch comum. Ou ainda, se as opcoes cliente isolation no ubnt e default foward no mk estiverem respectivamente desabilitado e habilitado. Se usam rádio no cliente peçam para scanear a rede procurarando os vizinhos... Encontrando, tem problema potencial aí. Quando tiver dhcp vindo do cliente, os vizinhos que estão na mesma bridge poderão pegar ip deste dhcp, aí não tem regra que resolva. Pois a conexão nem vai chegar no autenticador. Só os logs de alerta, caso estejam programados.
O que percebi é que estão dando a mesma receita para dois problemas diferentes. Como se tudo fosse genérico.