Перейти к содержимому
Калькуляторы

MIkrotik, авторизация по MAC

Доброго времени, требуется решение, помогите :-)

Встал вопрос ограничения доступа к БС на основе микротика, т.е. требуется чтобы устройства человека Н, не могло никак подключиться к сети, а устройства наших клиентов, будь они купленные у нас, или их личные, могли подключаться. Я пока вижу только доступ по МАК адрессу. Возможно ли такое настроить на микротике, чтобы адрес устрйоства был забит в список разрешенных и только они пускались в сеть, кого нет в списке - идут лесом. Помогите с решением задачи.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще-то там Access list есть где вбивают маки устройстви и/или минимальные уровни сигналов для подключения.

Вбивать их можно вручную, а можно через RADIUS.

Галочку Default autentification надо снять при этом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А конкретнее есть инструкшн?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А конкретнее есть инструкшн?

Вики читать не пробовали? http://wiki.mikrotik.com/wiki/Manual:Inter...ss#Access_lists

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А конкретнее есть инструкшн?

Сложного там ничего нет.. пример добавления NanoStation, зашел на нанос скопировал WLAN MAC, зашел в микротик, Wireless, AccesList, нажал на плюсик и вставил скопированный MAC.

 

Там же можешь, указать сигналы, и скорость для клиента назначить, коментарий добавить какому челу этот МАС принадлежит.. и т.д.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На нанос заходить не нужно, достаточно по нужной точке нажать в списке клиентов и выбрать add to access list.

Собственно при подключении клиента нужно 2 человека, один вбивает маки а другой подключает клиента=)

Хотя не понятна вообще суть вопроса - не проще ли шифрование на радио поставить? Тогда и маков никаких не надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На нанос заходить не нужно, достаточно по нужной точке нажать в списке клиентов и выбрать add to access list.

Собственно при подключении клиента нужно 2 человека, один вбивает маки а другой подключает клиента=)

Хотя не понятна вообще суть вопроса - не проще ли шифрование на радио поставить? Тогда и маков никаких не надо.

На нанос заходить нужно, как он увидит клиента если уже поставлена МАС фильтрация?

Я подключаю один, и не плохо справляюсь, просто всегда запасе есть точки, заранее забитыми Маками.

 

P.S. для большой сети это не есть гуд конечно, но для средней сети 100-150 клиентов самый раз.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не проще ли шифровани шифрование на радио поставить[/b]

а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не проще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b]

а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?

Разделите на разные ssid.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не проще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b]

а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?

wpa2 + 802.1x + radius (eap-leap или eap-peap). В этом случае авторизируется не устройство, а абонент по имени-паролю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата(N4cer @ 2.11.2010, 12:52)
>c-->не о</b>ще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b]

а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?

wpa2 + 802.1x + radius (eap-leap или eap-peap). В этом случае авторизируется не устройство, а абонент по имени-паролю.

Какая громоздкая связка, wpa2 по радио вообще лучше не использовать. да и тем более в том же NV2 свой тип шифрования - не прокатит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про nv2 здесь не говорилось.

а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?
В простейшем случае достаточно одного radius сервера (что уже и предлагалось выше) и настройка клиента радиус на Miktorik, где здесь громоздкость? А wpa2 с eap-peap надежная штука, хрен взломаешь.
Изменено пользователем Bushi

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP.

Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные.

И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP.

Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные.

И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема?

NTP сервер ей настройте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP.

Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные.

И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема?

NTP сервер ей настройте.

В том и проблема. Она не может получить время по NTP, так как не может установить соединение,

а соединение не может установить, так как у неё по дефолту неправильная дата:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP.

Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные.

И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема?

NTP сервер ей настройте.

В том и проблема. Она не может получить время по NTP, так как не может установить соединение,

а соединение не может установить, так как у неё по дефолту неправильная дата:)

Интересно, раздобуду на неделе наностейшн - попробую связать с микротиком по peap.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.

access list.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.
access list.

круто, только я там вижу только аксес лист для вафлей. поскольку клиенты приходят по проводу, то как их и куда заводить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.
access list.

круто, только я там вижу только аксес лист для вафлей. поскольку клиенты приходят по проводу, то как их и куда заводить?

вафельный инет -? Вам явно на lukmore путь актуальный. Если правильно понимать - ip - firewall - filter/NAT - SCR adress .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На микротике через хотспот будет проще всего ограничить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.

 

Может через радиус? Если есть такая возможность. При использовании "белых листов" или acl нужно будит следить за корректностью этих самых листов.

 

http://lancod.com/post/mac-authentication-on-port.html

Изменено пользователем _roman_

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.