N4cer Posted November 1, 2010 Posted November 1, 2010 Доброго времени, требуется решение, помогите :-) Встал вопрос ограничения доступа к БС на основе микротика, т.е. требуется чтобы устройства человека Н, не могло никак подключиться к сети, а устройства наших клиентов, будь они купленные у нас, или их личные, могли подключаться. Я пока вижу только доступ по МАК адрессу. Возможно ли такое настроить на микротике, чтобы адрес устрйоства был забит в список разрешенных и только они пускались в сеть, кого нет в списке - идут лесом. Помогите с решением задачи. Вставить ник Quote
Saab95 Posted November 1, 2010 Posted November 1, 2010 Вообще-то там Access list есть где вбивают маки устройстви и/или минимальные уровни сигналов для подключения. Вбивать их можно вручную, а можно через RADIUS. Галочку Default autentification надо снять при этом. Вставить ник Quote
N4cer Posted November 1, 2010 Author Posted November 1, 2010 А конкретнее есть инструкшн? Вставить ник Quote
SSD Posted November 2, 2010 Posted November 2, 2010 А конкретнее есть инструкшн? Вики читать не пробовали? http://wiki.mikrotik.com/wiki/Manual:Inter...ss#Access_lists Вставить ник Quote
cheh Posted November 2, 2010 Posted November 2, 2010 А конкретнее есть инструкшн? Сложного там ничего нет.. пример добавления NanoStation, зашел на нанос скопировал WLAN MAC, зашел в микротик, Wireless, AccesList, нажал на плюсик и вставил скопированный MAC. Там же можешь, указать сигналы, и скорость для клиента назначить, коментарий добавить какому челу этот МАС принадлежит.. и т.д. Вставить ник Quote
Saab95 Posted November 2, 2010 Posted November 2, 2010 На нанос заходить не нужно, достаточно по нужной точке нажать в списке клиентов и выбрать add to access list. Собственно при подключении клиента нужно 2 человека, один вбивает маки а другой подключает клиента=) Хотя не понятна вообще суть вопроса - не проще ли шифрование на радио поставить? Тогда и маков никаких не надо. Вставить ник Quote
cheh Posted November 2, 2010 Posted November 2, 2010 На нанос заходить не нужно, достаточно по нужной точке нажать в списке клиентов и выбрать add to access list.Собственно при подключении клиента нужно 2 человека, один вбивает маки а другой подключает клиента=) Хотя не понятна вообще суть вопроса - не проще ли шифрование на радио поставить? Тогда и маков никаких не надо. На нанос заходить нужно, как он увидит клиента если уже поставлена МАС фильтрация? Я подключаю один, и не плохо справляюсь, просто всегда запасе есть точки, заранее забитыми Маками. P.S. для большой сети это не есть гуд конечно, но для средней сети 100-150 клиентов самый раз. Вставить ник Quote
N4cer Posted November 2, 2010 Author Posted November 2, 2010 не проще ли шифровани шифрование на радио поставить[/b] а как тогда авторизовывать много разных юзеров? и частных лиц и юриков? Вставить ник Quote
Saab95 Posted November 2, 2010 Posted November 2, 2010 Цитата(N4cer @ 2.11.2010, 10:52) Вставить ник Quote
SSD Posted November 2, 2010 Posted November 2, 2010 не проще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b]а как тогда авторизовывать много разных юзеров? и частных лиц и юриков? Разделите на разные ssid. Вставить ник Quote
Bushi Posted November 3, 2010 Posted November 3, 2010 не проще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b]а как тогда авторизовывать много разных юзеров? и частных лиц и юриков? wpa2 + 802.1x + radius (eap-leap или eap-peap). В этом случае авторизируется не устройство, а абонент по имени-паролю. Вставить ник Quote
Saab95 Posted November 3, 2010 Posted November 3, 2010 Цитата(N4cer @ 2.11.2010, 12:52) >c-->не о</b>ще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b] а как тогда авторизовывать много разных юзеров? и частных лиц и юриков? wpa2 + 802.1x + radius (eap-leap или eap-peap). В этом случае авторизируется не устройство, а абонент по имени-паролю. Какая громоздкая связка, wpa2 по радио вообще лучше не использовать. да и тем более в том же NV2 свой тип шифрования - не прокатит. Вставить ник Quote
Bushi Posted November 3, 2010 Posted November 3, 2010 (edited) Про nv2 здесь не говорилось. а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?В простейшем случае достаточно одного radius сервера (что уже и предлагалось выше) и настройка клиента радиус на Miktorik, где здесь громоздкость? А wpa2 с eap-peap надежная штука, хрен взломаешь. Edited November 3, 2010 by Bushi Вставить ник Quote
ArtemTKS Posted November 5, 2010 Posted November 5, 2010 Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP. Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные. И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема? Вставить ник Quote
Saab95 Posted November 5, 2010 Posted November 5, 2010 Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP. Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные. И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема? NTP сервер ей настройте. Вставить ник Quote
ArtemTKS Posted November 5, 2010 Posted November 5, 2010 Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP. Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные. И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема? NTP сервер ей настройте. В том и проблема. Она не может получить время по NTP, так как не может установить соединение,а соединение не может установить, так как у неё по дефолту неправильная дата:) Вставить ник Quote
Saab95 Posted November 5, 2010 Posted November 5, 2010 Тогда используйте PPPoE или вланы. Вставить ник Quote
Bushi Posted November 8, 2010 Posted November 8, 2010 Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP. Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные. И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема? NTP сервер ей настройте. В том и проблема. Она не может получить время по NTP, так как не может установить соединение,а соединение не может установить, так как у неё по дефолту неправильная дата:) Интересно, раздобуду на неделе наностейшн - попробую связать с микротиком по peap. Вставить ник Quote
nimbo Posted March 8, 2011 Posted March 8, 2011 господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть. Вставить ник Quote
SSD Posted March 8, 2011 Posted March 8, 2011 господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть. access list. Вставить ник Quote
nimbo Posted March 8, 2011 Posted March 8, 2011 господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.access list. круто, только я там вижу только аксес лист для вафлей. поскольку клиенты приходят по проводу, то как их и куда заводить? Вставить ник Quote
SXM.U Posted March 8, 2011 Posted March 8, 2011 господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.access list. круто, только я там вижу только аксес лист для вафлей. поскольку клиенты приходят по проводу, то как их и куда заводить? вафельный инет -? Вам явно на lukmore путь актуальный. Если правильно понимать - ip - firewall - filter/NAT - SCR adress . Вставить ник Quote
gooel Posted March 8, 2011 Posted March 8, 2011 На микротике через хотспот будет проще всего ограничить. Вставить ник Quote
_roman_ Posted May 2, 2011 Posted May 2, 2011 (edited) господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть. Может через радиус? Если есть такая возможность. При использовании "белых листов" или acl нужно будит следить за корректностью этих самых листов. http://lancod.com/post/mac-authentication-on-port.html Edited May 2, 2011 by _roman_ Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.