DHCP no Mikrotik: todo cuidado é pouco!!!

[MarceloGOIAS]

Bom dia amigos,

para minha surpresa hoje de manhã ao fazer uma espécie de auditoria em meu provedor descobri vários usuários burlando o controle de banda. Levei um susto, pois clientes que tem apenas 200k de banda estavam navegando e baixando arquivos a mais de 1 megabit de velocidade. Por algum motivo os danados ou algum programa que os mesmos estão utilizando descobriram que utilizando o endereço liberado pelo servidor DHCP pode ser usado para navegar e, assim, saindo do controle de banda do Queues do Mikrotik.

Depois do susto pensei em controlar os usuários também pelos endereços DHCP, porém como são muitos clientes daria um "trabalhão" para configurar todos novamente. Solução: desativei o DHCP Server e estou aguardando para ver a reação desses clientes e para ver se os mesmos continuarão navegando. Aqui uso PPPoE. Quero vê a cara de pau deles reclamarem!

Mas fica o alerta: muito cuidado com DCHP Server do Mikrotik!!!

[marcelomg]

??????????????
No PPPoe o controle da banda não é pelo login? ou vc ta fazendo pelo queues? ai da zica...

[MarceloGOIAS]

Desculpe,

eu que não entendi a sua pergunta colega. Não preciso de ajuda, já solucionei o problema. Aliás, atualmente conheço muito bem o Mikrotik. Eu fiz apenas um alerta a todos: "Muito cuidado com o DHCP no Mikrotik". De qualquer forma obrigado. E você? Precisa de ajuda?

[Gosulator]

o que eu entendi é que os clientes não discam o pppoe, e conseguem navegar do mesmo jeito. E como a regra de limite de velocidade está setada baseando-se no ip dado pelo pppoe server, os caras navegam sem limite nenhum de velocidade. Aconteceu o mesmo aqui, descobri por acaso quando estava instalando em um cliente. Mas resolvi rápido. Infelizmente já faz algum tempo e não lembro o que fiz para corrigir o problema.

[MarceloGOIAS]

Bem,
aqui estava tudo configurado para somente navegar quem discasse o PPPoE. Mas para a minha surpresa esses clientes estavam conseguindo navegar sem discar, pois estavam utilizando o endereço fornecido pelo DHCP em vez do endereço IP fornecido pelo PPPoE. Eu ativei o DHCP Server por que muitos clientes ficavam ligando dizendo que a sua conexão estava com problema, pois aparecia a mensagem de aviso de problemas de conexão por que a placa PCI não pegava um IP (aquele velho conhecido símbolo de exclamação em cima do computador do lado direito, embaixo).

[sergio]

Mas dessa forma tem haver problemas mesmo... PPPoE e DHCP na mesma rede?? Isso não é problema do Mikrotik e sim configuração mal feita.

[MarceloGOIAS]

Mas dessa forma tem haver problemas mesmo... PPPoE e DHCP na mesma rede?? Isso não é problema do Mikrotik e sim configuração mal feita.

E onde está escrito que DHCP e PPPoE não podem funcionar na mesma rede? Além disso abri este tópico apenas com o intuito de ajudar. Eu percebi que havia um problema e o corrigi. Muitos não conseguiriam resolvê-lo.

[marcelomg]

E onde está escrito que DHCP e PPPoE não podem funcionar na mesma rede? Além disso abri este tópico apenas com o intuito de ajudar. Eu percebi que havia um problema e o corrigi. Muitos não conseguiriam resolvê-lo.

O Sergio não falou isso (na minha interpretação), mas até agora vc só comentou e não mostrou a solução.
Respondendo sua pergunta, não, não preciso de sua ajuda até pq minha rede está redondinha, mas se vc precisar de juda com o dhcp é só falar, ops... escrever!! hehehe

[gsiena]

Trecho de texto retirado do manual oficial do Mikrotik, sessão PPPOE
http://www.mikrotik.com/testdocs/ros...face/pppoe.php

Security issue: do not assign an IP address to the interface you will be receiving the PPPoE requests on
Tradução: Questão de segurança: Não atribua um endereço IP à interface que receberá as requisições PPPOE.

Aqui faço assim: Sigo a dica acima, de nao atribuir endereço IP na interface do servidor PPPOE, habilito o DHCP, mas dando ips em uma faixa nada a ver com a que uso, só pra nao ter akela famosa lentidão pra iniciar o windows XP, depois crio a conexão pppoe no cliente, essa sim dará os ips certos ao conectar. Nunca tive qualquer tipo de problemas com "espertinhos"

Espero ter coloborado...

[EdilsonLSouza]

Mas dessa forma tem haver problemas mesmo... PPPoE e DHCP na mesma rede?? Isso não é problema do Mikrotik e sim configuração mal feita.

Concordo plenamente, e acrescento estamos trocando idéias independendo de se estar pedindo ajuda ou não.

[MarceloGOIAS]

O problema é que o Sérgio foi muito agressivo em sua resposta. Conforme resposta do colega acima foi o que eu pensei... "independente de estar pedindo ajuda ou não". Se a rede do MarceloMG estiver configurada conforme as grosseiras respostas deve ser uma droga.

[sergio]

O problema é que o Sérgio foi muito agressivo em sua resposta. Conforme resposta do colega acima foi o que eu pensei... "independente de estar pedindo ajuda ou não". Se a rede do MarceloMG estiver configurada conforme as grosseiras respostas deve ser uma droga.

Mas como deveria responder??? O título do tópico menciona falha no Mikrotik, quando a falha foi causado por uma configuração mal feita... Falar a verdade, de maneira curta e grossa é agressividade?

Desculpe então, na próxima não comento nada e deixo que todos os outros que leiam o post achem realmente o Mikrotik um barco furado em questão de segurança.

[2KILLER2]

Esse problema do xp com "!" na placa de rede pode ser resolvido atribuindo uma faixa de ip ficticia manualmente, ou um AP Client com dhcp ativo na rede.

[MarceloGOIAS]

Mas como deveria responder??? O título do tópico menciona falha no Mikrotik, quando a falha foi causado por uma configuração mal feita... Falar a verdade, de maneira curta e grossa é agressividade?

Desculpe então, na próxima não comento nada e deixo que todos os outros que leiam o post achem realmente o Mikrotik um barco furado em questão de segurança.

Prezado Sérgio,
Você se precipitou na resposta! No título não está escrito falha no Mikrotik. Está escrito que se deve tomar cuidado com DHCP no Mikrotik. Por favor, leia novamente.

[MarceloGOIAS]

Trecho de texto retirado do manual oficial do Mikrotik, sessão PPPOE
http://www.mikrotik.com/testdocs/ros...face/pppoe.php

Security issue: do not assign an IP address to the interface you will be receiving the PPPoE requests on
Tradução: Questão de segurança: Não atribua um endereço IP à interface que receberá as requisições PPPOE.

Aqui faço assim: Sigo a dica acima, de nao atribuir endereço IP na interface do servidor PPPOE, habilito o DHCP, mas dando ips em uma faixa nada a ver com a que uso, só pra nao ter akela famosa lentidão pra iniciar o windows XP, depois crio a conexão pppoe no cliente, essa sim dará os ips certos ao conectar. Nunca tive qualquer tipo de problemas com "espertinhos"

Espero ter coloborado...

Certo amigo,
obrigado por sua útil e educada contribuição.
Quando abri esse tópico pensava apenas em contribuir também. Mas parece que alguns não leram o tópico todo; ou seja, em nenhum momento eu escrevi que há falhas no Mikrotik; segundo, a solução Marcelomg está lá na abertura. Pode desativar o DHCP ou fazer configurações manuais. Quanto a atribuir uma faixa fictícia de IP também pode ser perigoso. Vai lá que algum espertinho descobre essa faixa de IP e consiga alguma coisa. Lembrem-se (como todos devem saber): em se tratando de sistemas nenhum é 100% seguro. De vez em quando são necessárias verificações rotineiras como eu fiz para evitar surpresas.

Obrigado a todos pelo interesse e colaboração.

[infantefox]

Bom dia amigos,

para minha surpresa hoje de manhã ao fazer uma espécie de auditoria em meu provedor descobri vários usuários burlando o controle de banda. Levei um susto, pois clientes que tem apenas 200k de banda estavam navegando e baixando arquivos a mais de 1 megabit de velocidade. Por algum motivo os danados ou algum programa que os mesmos estão utilizando descobriram que utilizando o endereço liberado pelo servidor DHCP pode ser usado para navegar e, assim, saindo do controle de banda do Queues do Mikrotik.

Depois do susto pensei em controlar os usuários também pelos endereços DHCP, porém como são muitos clientes daria um "trabalhão" para configurar todos novamente. Solução: desativei o DHCP Server e estou aguardando para ver a reação desses clientes e para ver se os mesmos continuarão navegando. Aqui uso PPPoE. Quero vê a cara de pau deles reclamarem!

Mas fica o alerta: muito cuidado com DCHP Server do Mikrotik!!!

Espero que minha resposta resolva este post...

Amigo vc pode até deixar o DHCP server na sua rede mais para isso vc tem que criar uma regrinha no seu firewall para bloquear o acesso da rede externa ao seu web-proxy (porta 8080) caso vc esteja usando.

De qualquer forma eu aconselho vc Criar um DHCP server com outra faixa que nao seja a faixa que o POOL do seu Pppoe esteje trabalhando. Assim mesmo que um "Suposto cliente" esteje tentando entrar na sua rede, terá seu ip atribuído por DHCP mais ele nao conseguirá navegar. Aqui na minha rede eu uso um DHCP inválido ex: 128.0.0.1/24

Segue a regra. Modifique conforme sua necessidade...

/ip firewall filter

add chain=input in-interface=ether3 dst-address=0.0.0.0/0 protocol=tcp \
dst-port=8080 action=drop comment="drop para clientes externos TESTE" \
disabled=no

[MarceloGOIAS]

Certo,

mas essa regra aí é para o Web Proxy. Estamos falando de DHCP (server). Qual é a ligação dessa regra aí com DHCP?

[sergio]

Prezado Sérgio,
Você se precipitou na resposta! No título não está escrito falha no Mikrotik. Está escrito que se deve tomar cuidado com DHCP no Mikrotik. Por favor, leia novamente.

Ok MarceloGOIAS, não vou polemizar mais do que é necessário. Apenas mostrei meu ponto de vista de maneira simples e concisa.

[infantefox]

Certo,

mas essa regra aí é para o Web Proxy. Estamos falando de DHCP (server). Qual é a ligação dessa regra aí com DHCP?

Caro MarceloGOIAS, essa regra impede que os usuarios externos que nao estao cadastrados no seu secrets do ppoe naveguem em sua rede, bloqueando assim seu acesso ao seu web-proxy, ou seja, se vc colocar um dhcp server na sua rede e o cliente apontar a antena pra sua rede obviamente ele vai pegar toda a configuração necessária para navegar, ex IP. GATEWAY, DNS, porém implementando essa regra o "cliente externo" (que nao esta cadastrado no secrets) nao tem acesso ao seu WEB-PROXY sendo assim não navega.
Espero ter ajudado

[MarceloGOIAS]

Obrigado,

mas sempre tive essa regra regra no Web Proxy, mas não adiantou nada.