PPPOE ou Hotspot

[Pupa]

olha eu prefiro mais mesmo o pppoe por causa da segurança
mais me diz uma coisa vc usao seus radios ai em brdige ?
ou ainda usao cliente com placa pci ?
por que qualquer firmware ai faiz discagem direta no radio

ai tem aquela velha historia dele compartilhar com seu vizinho seu acesso .
mais isso ai eh uma coisa que da pra controlar muito facilmente basta tomar alguns cuidado na hora da instalação


abraço

[MorpheusX]

Isso mesmo, fazer nat no radio do cliente, e na conf. do aparelho colocar o0 user e password, e no mkt fazer ele entregar o IP para o mac tal e user tal... seria isso?

Isso... +-
Como eu uso UBNT serie M5 tanto na torre como em clientes... O mikrotik fica como servidor mesmo... Na torre so as rockets... O bom disso e: mesmo se um clona-se o MAC todo dia muda a tabela de IP!!! Nunca o cliente vai pegar o mesmo IP!!!

No caso, infelizmente eu to usando bridge... Porque infelizmente, eu nao posso entrar no radio do cliente remotamente, apenas local, mas uso a rockets para ver o sinal do cliente e seu ccq!!!!

Em baixo tem mais...
(CONTINUA)

[MorpheusX]

Eu não acredito que tem gente que não usa assim. É por isso que da tanto dinheiro prestar consultoria para provedores.
Eu assino em baixo de tudo que o MorpheusX falou, 100% certo!!!!!

Assina um cheque para mim? heheheheh
Brincadeira... pode ser uma promissória em branco!!

Obrigado!!

[MorpheusX]

como falou, cada caso é um caso. aqui se eu colocar pppoe no radioe deixa o cliente a vontade, quando eu voltar na casa dele depois de 3 dias...tem uns 4 fios saindo de lá..o meu cliente vira meu concorrente.
aki eu vendo planos individuais. se eu colocar um discador no pc dele, ele compra um routerador e manda discar e vira meu concorrente. eu trabalho assim.
ai eu te pergunto: vc tem lá um SSID "WIRELESS" mac:10:20:30:40:50:60 wep2 com radius e os caramba a 4.
ei eu viro para a sua antena um painelzinho hyperlink 17 ou uma Grade mesmo. com o SSID "WIRELESS" mac:10:20:30:40:50:60 sem criptografia(aberta e com um hotspot com o meu tel, vendendo planos mais baratos q vc).
a onde o seu cliente vai conectar primeiro...?? na wep2 ou na aberta? o q iria fazer (sem me dar tiro ..hehehe)??

hahaahhaa eu faço isso AUHAUHAUHAUH
Mas com AP 2.4 aberto mesmo... Mas so pra propaganda... Ja que meu sistema todo e em 5.8!!!
Agora entendi o seu medo, ter um monte pendurado...
Eu ja tive esse medo sabia, ae dexei liberado, quer colocar 3 casa, se vira mano, coloque, mas se reclama que a internet ta lenta ou caiu, eu vou fazer vistoria, ahhh ta dividindo blz, nao tem problema, ta lento? vamos colocar mais link pra voce, voce paga quanto?? 50 reais por 150kbps? entao vamos colocar 300kbps por 100reais, ahh mais sao 3 casas, entao vamos colocar 450kbps por 150 reais... nao gostou? entao infelizmente vou ter que te ajudar com uma coisa!!!

Truques:
1 - Coloco no server DHCP do nanostation apenas para entregar 1 IP!!!

Mais ae o espertinho vai e coloca em outra maquina outro IP seguido!!! :/

2 - O que eu faço entro no nanostation, e mando travar o nano no IP do computador, pronto... acabou, agora so aquele computador vai poder logar... Olha a imagem a baixo:

[MorpheusX]

hahaahhaa eu faço isso AUHAUHAUHAUH
Mas com AP 2.4 aberto mesmo... Mas so pra propaganda... Ja que meu sistema todo e em 5.8!!!
Agora entendi o seu medo, ter um monte pendurado...
Eu ja tive esse medo sabia, ae dexei liberado, quer colocar 3 casa, se vira mano, coloque, mas se reclama que a internet ta lenta ou caiu, eu vou fazer vistoria, ahhh ta dividindo blz, nao tem problema, ta lento? vamos colocar mais link pra voce, voce paga quanto?? 50 reais por 150kbps? entao vamos colocar 300kbps por 100reais, ahh mais sao 3 casas, entao vamos colocar 450kbps por 150 reais... nao gostou? entao infelizmente vou ter que te ajudar com uma coisa!!!

Truques:
1 - Coloco no server DHCP do nanostation apenas para entregar 1 IP!!!

Mais ae o espertinho vai e coloca em outra maquina outro IP seguido!!! :/

2 - O que eu faço entro no nanostation, e mando travar o nano no IP do computador, pronto... acabou, agora so aquele computador vai poder logar... Olha a imagem a baixo:

Alguem pode aperta a estrelinha biba ae em baixo... ultimamente minha reputação ta em baixa!!

[muriloc4]

e se ele colocar um mk e clonar o mac ?
e se colcoar um aprouter e clonar o mac?
e se colocar um tplink ?
tem como ?

[iverton]

A maneira de contornar o nat é controlando o ttl.
Quando o pacote passa pelo gateway do clientes, como diz no padrão de internet:

"para cada novo host ou salto, ou quando o pacote passa mais de um segundo na fila, o campo ttl deve ser decrementado"

Ou seja, o ttl do pacote IP que vem de uma conexão aberta no gateway é por padrão 127 (128 menos o primeiro salto), ja da maquina atras do gateway é 126 (primeiro salto: gateway do clientes, segundo salto: gateway do provedor)

O comando para bloquear pelo ttl está em www.netfilter.org
IPCLIENTE=192.168.20.35
iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j LOG --log-prefix 'CLIENTE COMPARTILHANDO: '
iptables -A FORWARD -s $IPCLIENTE -m ttl --ttl-eq 126 -j DROP

[MorpheusX]

e se ele colocar um mk e clonar o mac ?
e se colcoar um aprouter e clonar o mac?
e se colocar um tplink ?
tem como ?

Com uma RB e possivel sim.. Agora com aprouter ou tplink nao!!!
O que o iverton ta falando ae... e o mais certo ainda... olha que esse codigo eu não conhecia...
parabens iverton tiro meu chapeu pra tu!!!

[AndrioPJ]

Aff, num acredito que estou lendo isso.
Num acredito que ainda exista "administradores/tecnicos" de rede que se preocupa mais com o cliente que esta compartilhando do que com a segurança da propria rede.

PPOE é bom, precisa de menos tecnicas para deixar a rede segura... contudo, é mais sem graça para fornecer pagina de propaganda, etc.
Eu prefiro Hotspot, pela facilidade na criação e por poder fornecer propaganda/redirecionamento facilmente, porem, tenho que fazer uso de mais tecnicas para deixar a rede segura.

Quer usar Hotspot, eis algumas tecnicas de apoio para deixar a rede mais segura:
-a opcao "isolacao de cliente" disponivel nos radios,
-switch com vlan para interligar os clientes
-IP/30 para cada cliente
-SSL valido na autenticacao Hotspot
-IPxMAC preso ao USERxSENHA
-WPA2 para autenticacao na rede (chave de criptografia conhecida somente pela empresa)
-Radio cliente em modo "Cliente ISP" e com senha de acesso ao setup, de preferencia configurado a LAN para rede /30 e fornecendo apenas 1 IP.

Quer usar PPOE? nao conheço muito de ppoe, mas uma das tecnicas poderia ser:
-IPxMAC preso ao USERxSENHA
-WPA2 para autenticacao na rede (chave de criptografia conhecida somente pela empresa)
-Radio cliente em modo "Cliente ISP" e com senha de acesso ao setup, de preferencia configurado a LAN para rede /30 e fornecendo apenas 1 IP.

- ESQUEÇA REDE ABERTA
- ESQUEÇA WEP (é o mesmo que ter rede aberta)
- ESQUEÇA PLACA PCI (cliente facilmente obtem dados da rede, a começar pela chave de conexao (criptografia) com a rede.
- ESQUEÇA do RADIO do CLIENTE EM MODO BRIDGE (cliente facilmente obtem dados da rede)

[conectinternet]

Ai vai a minha opinião eu hoje estou migrando para pppoe pois nao aguento mais broadcast ( e erro de dhcp ) a dona de casa vai limpar os moveis ai sem querer troca o cabo wan para lan ai comeca o inferno...