<div dir="ltr">For those of us with Aruba wireless, www boy, could you share some more info about your setup/code version/configuration/specific APs/controller model(s)/etc?<br clear="all"><div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><p>Matt Freitag<br>
Network Engineer<br>Michigan Tech IT<br>Michigan Technological University</p><p>We can help.<br><a href="http://mtu.edu/it" target="_blank">mtu.edu/it</a><br>(906) 487-1111</p></div></div></div></div></div></div></div></div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jun 7, 2019 at 3:06 PM Matt Hoppes <<a href="mailto:mattlists@rivervalleyinternet.net">mattlists@rivervalleyinternet.net</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Turn on client isolation on the access points?<br>
<br>
> On Jun 7, 2019, at 3:00 PM, Hugo Slabbert <<a href="mailto:hugo@slabnet.com" target="_blank">hugo@slabnet.com</a>> wrote:<br>
> <br>
> <br>
>> On Fri 2019-Jun-07 16:21:29 +1000, www boy <<a href="mailto:wwwboy@gmail.com" target="_blank">wwwboy@gmail.com</a>> wrote:<br>
>> <br>
>> I just joined nanog to allow me to respond to a thread that Simon posted in<br>
>> March. .<br>
>> (Not sure if this is how to respond)<br>
>> <br>
>> We have the exact same problem with Aruba Access points and with multiple<br>
>> MacBooks and a iMac.<br>
>> Where the device will spoof the default gateway and the effect is that vlan<br>
>> is not usable.<br>
>> <br>
>> I also have raised a case with Apple but so far no luck.<br>
>> <br>
>> What is the status of your issue?  Any luck working out exactly what the<br>
>> cause is?<br>
> <br>
> We appeared to hit this with Cisco kit:<br>
> <a href="https://www.cisco.com/c/en/us/support/docs/wireless/aironet-3800-series-access-points/214491-arp-responses-for-default-gateway-ip-add.html" rel="noreferrer" target="_blank">https://www.cisco.com/c/en/us/support/docs/wireless/aironet-3800-series-access-points/214491-arp-responses-for-default-gateway-ip-add.html</a><br>
> <br>
> They don't say *exactly* that the Apple devices are spoofing the gateway, but some behaviour in what they send out results in the proxy arp being performed by the APs to update the ARP entry for the gateway address to the clients':<br>
> <br>
>> * This is not a malicious attack, but triggered by an interaction between the macOS device while in sleeping mode, and specific broadcast traffic generated by newer Android devices<br>
>> * AP-COS while in FlexConnect mode provides Proxy ARP (ARP caching) services by default.  Due to their address learning design, they will modify table entries based on this traffic leading to default gateway ARP entry modification<br>
> <br>
> The fix was to disable ARP caching on the APs so they don't proxy ARP but ARP replies pass directly between client devices.<br>
> <br>
> -- <br>
> Hugo Slabbert       | email, xmpp/jabber: <a href="mailto:hugo@slabnet.com" target="_blank">hugo@slabnet.com</a><br>
> pgp key: B178313E   | also on Signal<br>
</blockquote></div>