classic.ISPforum.cz

Ahoj,

asi jako kazdy jsem po case dospel do stadia, kdy mit klienty v bridge modu neni uplne ono a zabezpeceni MAc/IP taky nestaci. Pokud nekomu ano, tak muze byt stasten, ze nema chytre uzivatele.

Rad bych ziskal od zkusenejsich bardu tohoto fora vizi jakym smerem se vydat. To co jsem zamitl rovnou je pouziti radiusu, sverit vse jedne masine, pokud jsem 90% casu vic jak 200km daleko od fyzickeho pristupu k ni v pripade vypadku, tak tomu proste neverim.

Moje vize je nastavit na mikrotiku PPPoE server a DHCP server a klientum na zaklade mac adresy statickym zaznamem pridelovat IP adresu + PPPoE overeni, ktere je nastaveno na strane klienta. Dle meho nazoru by to jako zabezpeceni melo dostacovat a pri tom nezatezovat AP na kterem je na jednom RB s 3 wirelessy cca 90 klientu. Ma toto reseni nejaka me doposud skyta negetiva?

Mam obavu, ze kdyz zacnu pouzivat slozitejsi sifrovani, akorat tim zasekam CPU a snizim tim pocet klientu, ktere ten RB zvladne. Popr prinesla verze 3 v tomto smeru nejake nove moznosti? Klienti jsou tradicne hrozny mix cehokoliv.

Diky za potvrzeni popr. vyvraceni me vize.

ARP - reply only jinak PPOE je v poho pokud na to mas udelanou infrastrukuru proc ne (abys nemusel kliosom predelavat apcka pac se jim nebude chtet neco vytacet

Ahoj, to vsichni pouzivate jenom ARP reply-only?

churos píše:Ahoj, to vsichni pouzivate jenom ARP reply-only?

A kdyby všichni skákali z oken, skočíte i Vy?

ja bych to s tim zabezpecenim tak neprehanel staci 64 wep + static ARP zadnej problem jsem nemel.

Maxik píše:staci 64 wep

Stačí..."stačí".
BTW:Myslím, že tady nejde o vnější černé uživatele, ale o vnitřní.

tak to asi dost dobre nechapu o co mu jde.

Ahoj, inu o to, ze si nejaky chytrak naposlouchal provoz (Ano, moje blbost a dobre mi tak, mel jsem na to myslet driv) a evidentne u vice lidi zjistil kombinaci MAC+IP. A ted se nebavi nicim jinym, nez ze si to ruzne meni. A to jestli je to muj vnitrni zakaznik nebo nekdo uplne cizi momentalne nevim.

Takze jsme pred stavem, ze klientskou cast musim prekopat. A ptam se na vhodnou kombinaci jak (na zkusenosti) v kompromisu abych nezatizil zbytecne HW a pritom to udelal finalne a ne tak jedoduse zjistitelne

Ja mam podobny problem , co keby sa pouzilo WPA2 PSK ? Nemate stym niekto skusenosti , ci to neroby nejake problemy ?

popis v jednoduchosti zabezpeceni, ktere pouzivas, abych si to umel predstavit.