[GTER] Controle de acesso (era: Duvida elementar sobre PPPoE)

Osvaldo T Crispim Filho osvaldotcf at gmail.com
Sun Mar 29 07:05:52 -03 2015


A solução que penso ser uma alternativa ao PPPoE é o uso do DHCP do
MIkrotik mais o FreeRADIUS.

O problema que estou vendo é o "Intrim Updates"; precisamos dos pacotes de
atualização para podermos gerar logs.

Talvez o atributo "Session-Time" menor que o "Lease Time" traga um
resultado semelhante gerando informações na tabela postauth do FreeRADIUS.
Se for somente Wireless fica fácil pois dá para usar o rádio como NAS. Mas
busco uma solução mais geral.

Em 28 de março de 2015 21:12, Osvaldo T Crispim Filho <osvaldotcf at gmail.com>
escreveu:

> Outro ponto importante é a questão do IPv6.
>
> Gostaria de ouvir sobre isto, com Hotspot no Mikrotik não dá; dual stack
> com PPPoE parece ser o caminho, mas com DHCP me parece que seria bem
> tranquilo.
>
> Em 28 de março de 2015 19:59, Osvaldo T Crispim Filho <
> osvaldotcf at gmail.com> escreveu:
>
>> Desde a manhã de hoje estou pesquisando isto.
>>
>> Não se trata mais de usar ou não PPPoE, mas de gerar informação sobre/com
>> os dispositivos mais ativos no mercado de pequenos e médios Provedores de
>> Acesso para se ter uma opção ao PPPoE. Isto daria um excelente artigo!
>>
>> Até agora o que estou vendo é:
>> - Freeradius (inclusive servidor DHCP: FR V3),
>> - Mikrotik como RELAY DHCP e Autenticação por MAC (?) nas portas LAN para
>> controle de Banda e geração de Log com o Interim Updates
>> - WPA2-EAP nos Rádios dos clientes.
>>
>> Como os IPs estarão nos rádios os mesmos também poderiam mandar o Interim
>> Update, nos Ubiquiti dá certo, para acounting/log.
>>
>> Esse assunto tá bem interessante e com a ajuda de todo mundo pode
>> tornar-se enriquecedor e talvez traga uma mudança de paradigma.
>>
>>
>>
>> Em 28 de março de 2015 19:12, Rubens Kuhl <rubensk at gmail.com> escreveu:
>>
>>> 2015-03-28 19:00 GMT-03:00 Raimundo Santos <raitech at gmail.com>:
>>>
>>> > 2015-03-28 18:17 GMT-03:00 Rubens Kuhl <rubensk at gmail.com>:
>>> >
>>> > > Para o caso de rádios de uso múltiplo, além do controle de ingresso
>>> da
>>> > rede
>>> > > wireless (que sim tem no WPA2-Enterprise uma boa opção), dentro do
>>> prédio
>>> > > você precisa de um controle de ingresso na rede. Aí o 802.1x se
>>> torna uma
>>> > > boa opção local; como tipicamente se faz 802.1x também com servidor
>>> > RADIUS
>>> > > usando também o protocolo EAP, é só colocar mais objetos apropriados
>>> lá.
>>> > >
>>> >
>>> > Sim, um switch com essa funcionalidade seria fantástico.
>>>
>>>
>>> Tem vários switches bem baratos com 802.1x. Quando pesquisei, se fossemos
>>> adotar isso, usaríamos o Netgear de 8 portas.
>>>
>>>
>>> > Porém, começa a
>>> > fazer o custo de manter o local maior, tornando menos competitivo
>>> ainda ter
>>> > tais tipos de cliente. Também tem a necessidade de maior segurança para
>>> > esses equipamentos, como pequenos gabinetes/racks e/ou um lugar
>>> especial
>>> > para colocar tudo. Isso a maioria desses condomínios não tem condições
>>> de
>>> > oferecer - nem mesmo um espaço para equipamentos. (Em alguns, mal se
>>> > consegue passar cabos, mesmo os prédios sendo novos.)
>>> >
>>>
>>> Essa necessidade de segurança de equipamentos acontece com qualquer
>>> tecnologia.
>>>
>>>
>>>
>>> > >  802.1x é suportado diretamente por sistemas operacionais desde o já
>>> > finado
>>> > > Windows XP...
>>> > >
>>> >
>>> > A configuração mais comum hoje em dia é um roteador bem simples na
>>> chegada
>>> > do link no cliente, e esse equipamento não tem ideia do que é 802.1x na
>>> > porta WAN. Na minha humilde opinião, isso é muito triste e deixa de
>>> lado
>>> > uma solução muito mais interessante e menos custosa.
>>> >
>>>
>>> Pq ao entregar um único cabo, a necessidade do usuário não está sendo
>>> atendida. Se ao invés de entregar um cabo, se colocar um AP com
>>> WPA2-Enterprise para fazer 802.1x/EAP na casa do cliente e se atribuir 1
>>> a
>>> 3 certificados para uso local,
>>>
>>> E mais: o suporte fica um pouco mais complicado (inevitavelmente, mais
>>> > caro), seja com PPPoE ou com 802.1x, principalmente no MS Windows,
>>> onde as
>>> > telas para essas configurações são infinitas e confusas. E já que é o
>>> SO
>>> > mais usado...  :(
>>> >
>>> >
>>> Então aqui entra uma análise de custo-benefício, na qual para o cenário
>>> de
>>> acesso predial o menor custo é colocar DHCP com autorização por MAC. Se
>>> alguém de outro apartamento clonar o MAC pegar o acesso, o daquele
>>> usuário
>>> que foi clonado vai ter problemas e ele vai ligar reclamando...
>>>
>>>
>>> Rubens
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>>
>>
>> --
>>              - Osvaldo T Crispim Filho -
>>
>
>
>
> --
>              - Osvaldo T Crispim Filho -
>



-- 
             - Osvaldo T Crispim Filho -



More information about the gter mailing list