[GTER] Recomendações Mikrotik, VLAN, PPPOE, DHCP, IPv6.
Rodrigo Augusto
rodrigo at 1telecom.com.br
Fri Sep 13 19:53:08 -03 2013
Aproveitando a deixa sobre proxy-arp, um mikrotik conectado a um par de radio 5.8 ptp pro ou um lumina tem como evitar que o cliente habilite e passa is arp ate o ip do /30 dele?! Isto e, o outro lado da vlan?!
Levamos ao sw as vlans com tag e na porta onde esta o radio A deixo como access falanfo com a trunk onde chega a fibra. O radio b liga com o mikrotik do cliente e acidentalmente foi habilitado proxy-arp ba interface dele. O resultado e que os macs ( do par de radios e do ip dele) vieram com os mesmos macs da interface do mkt dele. O resultado foi apenas a perda da gerencia dos radios, o link ficou no ar, mas queria saber se tem como evitar isto. Na ponta do lado A tem um juniper ex3300.
Enviado via iPhone
Grupo Connectoway
Em 13/09/2013, às 18:45, Rubens Kuhl <rubensk at gmail.com> escreveu:
> 2013/9/13 BinaryCrash <binarycrash at gmail.com>
>
>> O gateway responde com o mac do gateway mesmo, correto?
>> Isso forçaria o tráfego a ir até o gateway?
>
> Correto, e sim, forçaria.
>
>
>>
>> E se o cliente estiver dentro da mesma rede e conseguir uma resposta direta
>> do outro cliente? terei que bloquear isso?
>
> Sim, você tem que bloquear isso, quer seja bridge horizon (citado antes) do
> Mikrotik, e/ou private VLAN se houverem switches no caminho, e/ou Wi-Fi
> client-isolation. Mas tudo isso já era de antemão necessário para uma boa
> prestação de serviço, pois caso contrário algum cliente poderia colocar o
> IP do gateway como IP dele, entre outros ataques, quer por malícia, quer
> por ignorância.
>
> Fora o que você já notou de bypassar controle de tráfego, comunicação
> direta cliente-cliente tem diversos outros efeitos colaterais ruins.
>
>
> Rubens
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list