Jump to content
Калькуляторы

MIkrotik, авторизация по MAC

Доброго времени, требуется решение, помогите :-)

Встал вопрос ограничения доступа к БС на основе микротика, т.е. требуется чтобы устройства человека Н, не могло никак подключиться к сети, а устройства наших клиентов, будь они купленные у нас, или их личные, могли подключаться. Я пока вижу только доступ по МАК адрессу. Возможно ли такое настроить на микротике, чтобы адрес устрйоства был забит в список разрешенных и только они пускались в сеть, кого нет в списке - идут лесом. Помогите с решением задачи.

Share this post


Link to post
Share on other sites

Вообще-то там Access list есть где вбивают маки устройстви и/или минимальные уровни сигналов для подключения.

Вбивать их можно вручную, а можно через RADIUS.

Галочку Default autentification надо снять при этом.

Share this post


Link to post
Share on other sites
А конкретнее есть инструкшн?

Сложного там ничего нет.. пример добавления NanoStation, зашел на нанос скопировал WLAN MAC, зашел в микротик, Wireless, AccesList, нажал на плюсик и вставил скопированный MAC.

 

Там же можешь, указать сигналы, и скорость для клиента назначить, коментарий добавить какому челу этот МАС принадлежит.. и т.д.

 

Share this post


Link to post
Share on other sites

На нанос заходить не нужно, достаточно по нужной точке нажать в списке клиентов и выбрать add to access list.

Собственно при подключении клиента нужно 2 человека, один вбивает маки а другой подключает клиента=)

Хотя не понятна вообще суть вопроса - не проще ли шифрование на радио поставить? Тогда и маков никаких не надо.

Share this post


Link to post
Share on other sites
На нанос заходить не нужно, достаточно по нужной точке нажать в списке клиентов и выбрать add to access list.

Собственно при подключении клиента нужно 2 человека, один вбивает маки а другой подключает клиента=)

Хотя не понятна вообще суть вопроса - не проще ли шифрование на радио поставить? Тогда и маков никаких не надо.

На нанос заходить нужно, как он увидит клиента если уже поставлена МАС фильтрация?

Я подключаю один, и не плохо справляюсь, просто всегда запасе есть точки, заранее забитыми Маками.

 

P.S. для большой сети это не есть гуд конечно, но для средней сети 100-150 клиентов самый раз.

 

Share this post


Link to post
Share on other sites

не проще ли шифровани шифрование на радио поставить[/b]

а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?

Share this post


Link to post
Share on other sites
не проще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b]

а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?

Разделите на разные ssid.

Share this post


Link to post
Share on other sites
не проще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b]

а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?

wpa2 + 802.1x + radius (eap-leap или eap-peap). В этом случае авторизируется не устройство, а абонент по имени-паролю.

Share this post


Link to post
Share on other sites
Цитата(N4cer @ 2.11.2010, 12:52)
>c-->не о</b>ще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b]

а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?

wpa2 + 802.1x + radius (eap-leap или eap-peap). В этом случае авторизируется не устройство, а абонент по имени-паролю.

Какая громоздкая связка, wpa2 по радио вообще лучше не использовать. да и тем более в том же NV2 свой тип шифрования - не прокатит.

Share this post


Link to post
Share on other sites

Про nv2 здесь не говорилось.

а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?
В простейшем случае достаточно одного radius сервера (что уже и предлагалось выше) и настройка клиента радиус на Miktorik, где здесь громоздкость? А wpa2 с eap-peap надежная штука, хрен взломаешь.
Edited by Bushi

Share this post


Link to post
Share on other sites

Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP.

Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные.

И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема?

Share this post


Link to post
Share on other sites
Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP.

Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные.

И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема?

NTP сервер ей настройте.

Share this post


Link to post
Share on other sites
Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP.

Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные.

И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема?

NTP сервер ей настройте.

В том и проблема. Она не может получить время по NTP, так как не может установить соединение,

а соединение не может установить, так как у неё по дефолту неправильная дата:)

Share this post


Link to post
Share on other sites
Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP.

Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные.

И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема?

NTP сервер ей настройте.

В том и проблема. Она не может получить время по NTP, так как не может установить соединение,

а соединение не может установить, так как у неё по дефолту неправильная дата:)

Интересно, раздобуду на неделе наностейшн - попробую связать с микротиком по peap.

Share this post


Link to post
Share on other sites

господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.

Share this post


Link to post
Share on other sites

господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.

access list.

Share this post


Link to post
Share on other sites
господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.
access list.

круто, только я там вижу только аксес лист для вафлей. поскольку клиенты приходят по проводу, то как их и куда заводить?

Share this post


Link to post
Share on other sites
господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.
access list.

круто, только я там вижу только аксес лист для вафлей. поскольку клиенты приходят по проводу, то как их и куда заводить?

вафельный инет -? Вам явно на lukmore путь актуальный. Если правильно понимать - ip - firewall - filter/NAT - SCR adress .

Share this post


Link to post
Share on other sites

На микротике через хотспот будет проще всего ограничить.

Share this post


Link to post
Share on other sites

господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.

 

Может через радиус? Если есть такая возможность. При использовании "белых листов" или acl нужно будит следить за корректностью этих самых листов.

 

http://lancod.com/post/mac-authentication-on-port.html

Edited by _roman_

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this