Добрый день, уважаемые господа!

 

Собственно имеем:

1. Точку доступа SNR-CPE-W4N MT7620 2T2R, прошивка 6.2.15.RU.27072017

2. Принтер Kyocera ECOSYS M5521cdw

Проблема:

Корректно (правильно набран SSID, режим WPA2-PSK, AES, пароль) настроенный принтер (и только он из всех домашних устройств) не может подцепиться к точке доступа  работающей в режиме WPA2-PSK.

Более глубокое исследование показало, что выбор шифрования AES напрочь отбивает желание железок работать совместно.

 

Собственно вопрос куда посмотреть и что можно сделать ? Вопрос не горит, сейчас работает комбинация WPA/TKIP, но все-таки интересно.

 

Изменено пользователем pzh

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ну и причём тут роутер если проблема только с принтером? Пишите вендору принтера, обновляйте его ПО и т.д. Явно в нём накосячили в реализации поддержки AES.

 

Вопрос не горит, сейчас работает комбинация WPA/TKIP, но все-таки интересно.

 

Ну если устраивает, что половина устройств не сможет использовать 40МГц полосу или вообще работать в N режиме + то что отломать WPA1+TKIP дело нескольких часов то да. Но крайне рекомендую долбить производителя принтера. Пусть чинят. Ну либо подключаем принтер проводом и забываем о проблемах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Новомодная WPA2 уязвимость KRACK в версии 6.6.8 уже учтена?

Что то там CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087, CVE-2017-13088.

Изменено пользователем r1vver

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

1) ченджлог для кого придумали? Он прям в прошивке актуальный. В гите всё видно и т.д.
2) https://forum.nag.ru/index.php?/topic/134872-wpa2-vzlomali/
3) почти все эти уязвимости вообще не касаются AP, часть касается режимов TKIP которые и без того дырявые, большей части из них у нас не было и не будет, т.к. они касаются конкретной реалиазции в wpa_supplicant

Проще говоря. Уже неделю как всё это зафикшено. Но я уже задолбался повторять. Что это всё уязвимости клиентской части (кроме CVE-2017-13082: Accepting a retransmitted Fast BSS Transition (FT) Reassociation Request and reinstalling the pairwise encryption key (PTK-TK) while processing it.). Она так же пофикшена.

Не туда вопросы задаёте. Производителям ваших клиентских устройств задавайте, телефонов, карточек и прочих кофемолок. Уязвимости эти касаются их, а не АП (кроме выше обозначенной в п3).

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Ок, понятно. Хорошо что зафиксили.

Точка тоже бывает клиентом (другой точки).

Подобное можно нагло ожидать и для wive-ng-rtnl ?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Доброго времени суток, не могли бы вы подсказать, как заблокировать доступ к домену "account.np.ac.playstation.net" через настройки роутера SNR-CPE-W4N (rev.M)

Суть в том следующем - запретить консоли PS4, которая подключена по вафле, доступ к вышеуказанному домену. Надеюсь на вашу помощь, всего доброго! 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Выяснить ip адреса нужного ресурса (например используя nslookup) и добавить в firewall drop правило с src адресами которые выяснили ранее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, PandaBeast сказал:

Доброго времени суток, не могли бы вы подсказать, как заблокировать доступ к домену "account.np.ac.playstation.net" через настройки роутера SNR-CPE-W4N (rev.M)

Как вариант, попробовать прописать это доменное имя в Firewall->Content Filter по идее тогда не будут проходить DNS-запросы в которых встречается последовательность символов "account.np.ac.playstation.net". По-поводу производительности роутера вопрос открытый.

 

9 часов назад, sfstudio сказал:

Выяснить ip адреса нужного ресурса (например используя nslookup) и добавить в firewall drop правило с src адресами которые выяснили ранее.

Ресурс запрятан за akamaiedge.net, ловить по IP даже смысла нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты



Firewall->Content Filter

 

Это webstr модуль iptables так что не проканает.

 

Ну значит лезть и править скрипт генерации hosts...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, sfstudio сказал:

Ну значит лезть и править скрипт генерации hosts...

На мой взгляд, идеологически более правильно будет вносить в /etc/dnsmasq.conf записи типа:

 

address=/account.np.ac.playstation.net/127.0.0.1

с последующим

fs save

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 16.11.2017 в 01:20, sfstudio сказал:

Это webstr модуль iptables так что не проканает.

sfstudio taf_321 

Спасибо, что уделили время, но проблема осталась не решенной, я с самого начала прописал домен в фильтр содержимого, сайт не открывается, но пакеты с консоли и обратно продолжают поступать, пожалуйста, опишите в деталях, куда лезть и что прописывать, т.к. с сетевым администратированием знаком сугубо поверхностно. Задача такова - запретить консоли посылать и принимать пакеты и вообще любые данные с вышеуказанного домена, буду очень признателен за помощь в этом, спасибо!  

Изменено пользователем PandaBeast

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти