Jump to content
Калькуляторы

Как запретить доступ не званому гостю Mikrotik'ом

Как запретить доступ не званому гостю, который подключился с помощтю убнт, к вы фи роутера нашего клиента. Обычным способом типа отключить клиента не представляется возможным по психологическим причинам, нужно только технически и так что бы клиент не пострадал, а запрет был только на устройства гостя. данные об устройствах гостя извесные, можна узнать мак итп...

 

Схема : мост - наш микротик - убнт база - убнт клиента - роутер клиента - убнт гостя.

Share this post


Link to post
Share on other sites

Признаться, не совсем понял вопроса. Но, быть может, вот так нужно сделать?

Если на Вашем микротике светится мак адрес нехорошего устройства, то в фаерволе запретите доступ, куда нужно.

Share this post


Link to post
Share on other sites

djrec, когда паразит подключен к микротиковскому WiFi, в окошке "wireless->registration" видно его мак и прочее инфо. Копируем его в "wireless->access list" и в созданной записи УБИРАЕМ галку "authentication". Всё.

Share this post


Link to post
Share on other sites

Гость подключен не к нашему оборудованию, а к роутеру клиента (асус вроде). Вот схема: (мост - наш микротик - убнт база - убнт клиента дхтп) - роутер клиента - убнт гостя. В дужках оборудование к которому у нас есть свободный доступ через сеть. На убнт клиента стоит ДХТП.

Но при этом я могу зайти на роутер клиента по вифи (у него нет пароля. могу подойти к его дому и подключится) и узнать МАК адресс незванного гостя.

Так же мне не нужно пока полностью вырубать гостя, мне нужна возможность например урезать ему скорость или запретить вход на некоторые сайты.

 

Как то можно отследить пакеты которые идут с устройства гостя?

Share this post


Link to post
Share on other sites

Отрубить я могу. У меня задача другая. Понизить скорость, либо запретить доступ к некоторым сайтам гостю. Это можно сделать или нет, по той схеме которую я написал?

 

PS. При этом всем клиент пользуется инетом с мобильного через вифи своего роутера. Ставить пароль нет смысла така как прийдется сообщить его клиенту а он сообщит гостю.

 

На некоторых страницах сайтов есть окошко в котором высвечиваются мои друзья ВК. Возможно это как то можно использовать для определения компа отправителя пакетов или запроса адреса сайта. Имя и ВК страницу гостя я знаю.

Edited by djrec

Share this post


Link to post
Share on other sites

У меня задача другая. Понизить скорость, либо запретить доступ к некоторым сайтам гостю

Тогда это делать надо на роутере клиента. С средствами этого роутера.

Share this post


Link to post
Share on other sites

На сколько я знаю такого типа роутеры не позволяют резать трафик. Только запретить. Но и при этом теряется возможность управления по сети с дому. Прийдется каждый раз ехать к клиенту что бы по вифи зайти на его роутер и что то настраивать.

Share this post


Link to post
Share on other sites

Прийдется каждый раз ехать к клиенту что бы по вифи зайти на его роутер и что то настраивать.

Заменить роутер клиента, скажем на Mikrotik. Поднять VPN или L2TP с "наш микротик".

Сидеть дома и ковирятся в микротик роутере клиента.

Не вариант ?

Share this post


Link to post
Share on other sites

Нет. Об этом не должен знать ни клиент ни гость.

 

Возможно ли как то сделать запрет на отсылку сообщений ВК с ИД гостя? На сколько я знаю сообщения отсылаются по порту 443, но как ограничить отсылку только сообщений гостю, а при этом что бы клиент нормально переписывался.

 

 

(В общем задача выжить гостя так что бы он не подумал что ему портят жизнь (возможно даже не выжить, но испортить настроение). Это наш бывший клиент, который ушел от нас и теперь прикинулся умным, подключился к нашему клиенту по вифи. Клиент об этом знает, но отрицает это. )

Share this post


Link to post
Share on other sites

Похоже - миссия невыполнима.

А что за роутер клиентa, кротрый не поддерживает Quality of Service (QoS) ?

Проста интересно...

Share this post


Link to post
Share on other sites

В Вашем случае - только блокировка МАКов гостя на вашем оборудовании.

Остальное - без комментариев.

Удачи, Карл!

Share this post


Link to post
Share on other sites

djrec, если есть доступ к клиентскому роутеру сделайте следующее:

1) отключите на нём NAT, чтобы серые адреса маршрутизировались в Ваш линк. Зафиксируйте на DHCP связку MAC-IP "гостя"

2) Если роутер клиента получал "белый" IP, переведите его и линк к нему на "серые" адреса. "Белый" IP перенесите на свой микротик. Клиентский роутер должен только роутить две серые подсети (внутреннюю и внешнюю).

3) Делайте NAT вашим микротиком. SRC-NAT с белого клиентского IP "унесенного" с клиента.

Тогда вы увидите отдельный серый IP "гостя" и сможете ему резать скорость.

Edited by nkusnetsov

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.