[Inclusão Digital]PPPoE server no MK + ubiquiti
Rubens Kuhl
rubensk em gmail.com
Domingo Abril 8 00:10:19 BRT 2012
2012/4/7 Eduardo Schoedler <listas em esds.com.br>:
> Em 07/04/2012, às 23:26, Rubens Kuhl <rubensk em gmail.com> escreveu:
>
>>> Tenho concentradores PPPoE rodando Mikrotik distribuindo ip 'válido'.
>>> Os clientes estão usando Nanostation M5 em modo 'Router', ou seja, fazendo
>>> NAT no próprio dispositivo.
>>
>>> Porém estive implementando a BCP38 e, para minha surpresa, peguei vários
>>> pacotes dos ips 192.168.2.x cruzando a WAN dos concentradores.
>>
>>
>> Mas que faixas de IP estão atribuídos na LAN para gerenciar as Nanostation?
>
> Rubens, o range da LAN é justamente 192.168.2.0/24. De alguma forma esta 'vazando' pela WAN sem NAT.
Imaginando que sejam seus usuários espertinhos, você vai precisar
combinar medidas como:
No concentrador:
- Permitir tráfego da LAN apenas para a sua rede de gerência
(administradores e sistemas automáticos).
- Colocar ARP em reply-only e cadastrar entradas ARP estáticas para as remotas.
Nas Nanostation:
- Filtrar tráfego dos clientes para o Nanostation permitindo apenas
pacotes IP com destino a IPs públicos.
- Tirar o Skynet e a versão vulnerável de AirOS
Rubens
Rubens
Mais detalhes sobre a lista de discussão Inclusaodigital