Jump to content

Как запретить доступ не званому гостю Mikrotik'ом

djrec

By djrec
in Mikrotik Wireless

 Share

Recommended Posts

djrec

djrec

Posted
Posted

Как запретить доступ не званому гостю, который подключился с помощтю убнт, к вы фи роутера нашего клиента. Обычным способом типа отключить клиента не представляется возможным по психологическим причинам, нужно только технически и так что бы клиент не пострадал, а запрет был только на устройства гостя. данные об устройствах гостя извесные, можна узнать мак итп...

 

Схема : мост - наш микротик - убнт база - убнт клиента - роутер клиента - убнт гостя.

Advvokat

Advvokat

Posted
Posted

Признаться, не совсем понял вопроса. Но, быть может, вот так нужно сделать?

Если на Вашем микротике светится мак адрес нехорошего устройства, то в фаерволе запретите доступ, куда нужно.

nkusnetsov

nkusnetsov

Posted
Posted

djrec, когда паразит подключен к микротиковскому WiFi, в окошке "wireless->registration" видно его мак и прочее инфо. Копируем его в "wireless->access list" и в созданной записи УБИРАЕМ галку "authentication". Всё.

djrec

djrec

Posted
  • Author
Posted

Гость подключен не к нашему оборудованию, а к роутеру клиента (асус вроде). Вот схема: (мост - наш микротик - убнт база - убнт клиента дхтп) - роутер клиента - убнт гостя. В дужках оборудование к которому у нас есть свободный доступ через сеть. На убнт клиента стоит ДХТП.

Но при этом я могу зайти на роутер клиента по вифи (у него нет пароля. могу подойти к его дому и подключится) и узнать МАК адресс незванного гостя.

Так же мне не нужно пока полностью вырубать гостя, мне нужна возможность например урезать ему скорость или запретить вход на некоторые сайты.

 

Как то можно отследить пакеты которые идут с устройства гостя?

djrec

djrec

Posted
  • Author
Posted (edited)

Отрубить я могу. У меня задача другая. Понизить скорость, либо запретить доступ к некоторым сайтам гостю. Это можно сделать или нет, по той схеме которую я написал?

 

PS. При этом всем клиент пользуется инетом с мобильного через вифи своего роутера. Ставить пароль нет смысла така как прийдется сообщить его клиенту а он сообщит гостю.

 

На некоторых страницах сайтов есть окошко в котором высвечиваются мои друзья ВК. Возможно это как то можно использовать для определения компа отправителя пакетов или запроса адреса сайта. Имя и ВК страницу гостя я знаю.

Edited by djrec
mafijs

mafijs

Posted
Posted

У меня задача другая. Понизить скорость, либо запретить доступ к некоторым сайтам гостю

Тогда это делать надо на роутере клиента. С средствами этого роутера.

djrec

djrec

Posted
  • Author
Posted

На сколько я знаю такого типа роутеры не позволяют резать трафик. Только запретить. Но и при этом теряется возможность управления по сети с дому. Прийдется каждый раз ехать к клиенту что бы по вифи зайти на его роутер и что то настраивать.

mafijs

mafijs

Posted
Posted

Прийдется каждый раз ехать к клиенту что бы по вифи зайти на его роутер и что то настраивать.

Заменить роутер клиента, скажем на Mikrotik. Поднять VPN или L2TP с "наш микротик".

Сидеть дома и ковирятся в микротик роутере клиента.

Не вариант ?

djrec

djrec

Posted
  • Author
Posted

Нет. Об этом не должен знать ни клиент ни гость.

 

Возможно ли как то сделать запрет на отсылку сообщений ВК с ИД гостя? На сколько я знаю сообщения отсылаются по порту 443, но как ограничить отсылку только сообщений гостю, а при этом что бы клиент нормально переписывался.

 

 

(В общем задача выжить гостя так что бы он не подумал что ему портят жизнь (возможно даже не выжить, но испортить настроение). Это наш бывший клиент, который ушел от нас и теперь прикинулся умным, подключился к нашему клиенту по вифи. Клиент об этом знает, но отрицает это. )

SOs

SOs

Posted
Posted

В Вашем случае - только блокировка МАКов гостя на вашем оборудовании.

Остальное - без комментариев.

Удачи, Карл!

nkusnetsov

nkusnetsov

Posted
Posted (edited)

djrec, если есть доступ к клиентскому роутеру сделайте следующее:

1) отключите на нём NAT, чтобы серые адреса маршрутизировались в Ваш линк. Зафиксируйте на DHCP связку MAC-IP "гостя"

2) Если роутер клиента получал "белый" IP, переведите его и линк к нему на "серые" адреса. "Белый" IP перенесите на свой микротик. Клиентский роутер должен только роутить две серые подсети (внутреннюю и внешнюю).

3) Делайте NAT вашим микротиком. SRC-NAT с белого клиентского IP "унесенного" с клиента.

Тогда вы увидите отдельный серый IP "гостя" и сможете ему резать скорость.

Edited by nkusnetsov

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.