Problemi di sniff WiFi

[resca]

Buon Giorno, dopo giorni e giorni di elucubrazioni, mi sono deciso ad iscrivermi al vostro ottimo sito per sottoporvi il mio problema che, sicuramente, e' banale, ma non riesco ad uscirne.

Sto lavorando con un 951Ui-2HnD, f/w versione 6.38.5, connesso a EOLO in PPPoE.

Semplificando, ho un dektop Windows connesso via cavo (PC-10.3.50.5) e tre dispositivi connessi in WuFi: uno Smartphone (S4-10.3.50.51), un Laptop (LAP-10.3.50.59) e un ESO8266(ESP-10.3.50.21).

Il problema si manifesta gia' con una semplice ping o, meglio, gia' ci sono problemi in fase di ARP.

In sostanza: la PING dal PC funziona verso tutti i tre dispositivi connessi in WiFi. Da una situazione vergine, vedo un ARP-RQ, il relativo ARP-REPLY e poi i pacchetti di ECHO.

La PING funziona tra S4 e LAP, sia che questa sia iniziata dall'uno che dall'altro, dopo aver pulito le ARP tables, quindi *immagino* che ARP-RQ e ARP-REPLY funzionino a dovere.

*Invece, iniziando la PING da S4 o da LAP verso ESP, la PING va in timeout.*

Connettendo ESP ad un altro access-point, collegato via cavo a MikroTik, la ping funziona e, essendo via Ethernet, riesco a vedere ARP-RQ, il relativo ARP-REPLY e quanto segue.

Ora il punto e': da CLI di MikroTik, col comando:
/tool sniffer quick interface=wlan1
Ho due problemi:
1) Riesco solo a vedere i due MAC address:
wlan1 24.262 51 <- CC:3A:61:8C:2F:98 FF:FF:FF:FF:FF:FF 10.3.50.51: who has 10.3.50.21?
e non il completo contenuto del pacchetto per notare eventuali differenze.
2) Non vedo *MAI* l'ARP-REPLY, neppure nel caso della PING di ESP da PC che funziona!

Da qui le due domandi base:

-Esiste la possibilita' di "mirrorare" il WiFi su una porta ETH? Col comando:
/interface ethernet switch set switch1 mirror-source=ether2-master-local mirror-target=ether5-slave-
local
e LanWatch/WireShark riesco a vedere splendidamente quello che avviene sulla parte cablata.

-Sbaglio a ritenere che due dispositivi connessi in WiFi allo stesso Access Point si parlino sempre tramite esso? Qui sembra quasi che, una volta che si sono "conosciuti" si parlino direttamente tra loro ma mi sembra impossibile visto che, al limite, potrebbero usare protocolli diversi (o no?) o essere distanti tra loro e non raggiungibili direttamente.

In subordine alla seconda domanda: come mai, per esempio, se pingo LAP da S4, non vedo null'altro dopo la prima ARP-RQ col comando: /tool sniffer quick interface=wlan1 ?

Ringrazio fin d'ora e saluto.

G. Rescaldani

[xanio]

Ciao,
prima soluzione redirigi lo sniffing verso un pc e da li lo analizzi in realtime;
ecco il ink https://wiki.mikrotik.com/wiki/Ethereal/Wireshark

se vuoi una piccola guida + chiara eccoti il secondo link per lo studio http://direct.cflee.com/post/live-packe ... -wireshark

[resca]

Quindi, in sostanza le due risposte alle mie due domande sono rispettivamente:

-NO.
-Non lo so.

E' corretto?

[xanio]

Ciao,
sinceramente usando la procedura di redirigere il "traffico" verso wireshark per lo sniffing, oppure di far un dump in locale e poi importarlo, non mi ero posto il problema di cui al tuo punto 1. Quindi non saprei risponderti, e non ho nemmeno con me una RB con cui provare.

Che io sappia due dispositivi in wifi si parlano sempre attraverso l'AP a cui sono collegati e non direttamente, ma a livello di RouterOS nell'impostazioni wireless dell'interfaccia vi è la possibilità di INIBIRE questa comunicazione e non far "vedere" la presenza di un dispositivo wifi ad un'altro dispositivo collegato alla stessa wlan.
L'opzione in oggetto è "default forward" che se abilitata di default permette l'interazione tra i device.

Per il resto sperimentare non costa