N4cer Опубликовано 1 ноября, 2010 · Жалоба Доброго времени, требуется решение, помогите :-) Встал вопрос ограничения доступа к БС на основе микротика, т.е. требуется чтобы устройства человека Н, не могло никак подключиться к сети, а устройства наших клиентов, будь они купленные у нас, или их личные, могли подключаться. Я пока вижу только доступ по МАК адрессу. Возможно ли такое настроить на микротике, чтобы адрес устрйоства был забит в список разрешенных и только они пускались в сеть, кого нет в списке - идут лесом. Помогите с решением задачи. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 ноября, 2010 · Жалоба Вообще-то там Access list есть где вбивают маки устройстви и/или минимальные уровни сигналов для подключения. Вбивать их можно вручную, а можно через RADIUS. Галочку Default autentification надо снять при этом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
N4cer Опубликовано 1 ноября, 2010 · Жалоба А конкретнее есть инструкшн? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 2 ноября, 2010 · Жалоба А конкретнее есть инструкшн? Вики читать не пробовали? http://wiki.mikrotik.com/wiki/Manual:Inter...ss#Access_lists Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cheh Опубликовано 2 ноября, 2010 · Жалоба А конкретнее есть инструкшн? Сложного там ничего нет.. пример добавления NanoStation, зашел на нанос скопировал WLAN MAC, зашел в микротик, Wireless, AccesList, нажал на плюсик и вставил скопированный MAC. Там же можешь, указать сигналы, и скорость для клиента назначить, коментарий добавить какому челу этот МАС принадлежит.. и т.д. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 ноября, 2010 · Жалоба На нанос заходить не нужно, достаточно по нужной точке нажать в списке клиентов и выбрать add to access list. Собственно при подключении клиента нужно 2 человека, один вбивает маки а другой подключает клиента=) Хотя не понятна вообще суть вопроса - не проще ли шифрование на радио поставить? Тогда и маков никаких не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cheh Опубликовано 2 ноября, 2010 · Жалоба На нанос заходить не нужно, достаточно по нужной точке нажать в списке клиентов и выбрать add to access list.Собственно при подключении клиента нужно 2 человека, один вбивает маки а другой подключает клиента=) Хотя не понятна вообще суть вопроса - не проще ли шифрование на радио поставить? Тогда и маков никаких не надо. На нанос заходить нужно, как он увидит клиента если уже поставлена МАС фильтрация? Я подключаю один, и не плохо справляюсь, просто всегда запасе есть точки, заранее забитыми Маками. P.S. для большой сети это не есть гуд конечно, но для средней сети 100-150 клиентов самый раз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
N4cer Опубликовано 2 ноября, 2010 · Жалоба не проще ли шифровани шифрование на радио поставить[/b] а как тогда авторизовывать много разных юзеров? и частных лиц и юриков? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 2 ноября, 2010 · Жалоба Цитата(N4cer @ 2.11.2010, 10:52) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 2 ноября, 2010 · Жалоба не проще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b]а как тогда авторизовывать много разных юзеров? и частных лиц и юриков? Разделите на разные ssid. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 3 ноября, 2010 · Жалоба не проще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b]а как тогда авторизовывать много разных юзеров? и частных лиц и юриков? wpa2 + 802.1x + radius (eap-leap или eap-peap). В этом случае авторизируется не устройство, а абонент по имени-паролю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 3 ноября, 2010 · Жалоба Цитата(N4cer @ 2.11.2010, 12:52) >c-->не о</b>ще ли[/b]е ли шифрован</b>и шифрование на радио поставить[/b] а как тогда авторизовывать много разных юзеров? и частных лиц и юриков? wpa2 + 802.1x + radius (eap-leap или eap-peap). В этом случае авторизируется не устройство, а абонент по имени-паролю. Какая громоздкая связка, wpa2 по радио вообще лучше не использовать. да и тем более в том же NV2 свой тип шифрования - не прокатит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 3 ноября, 2010 (изменено) · Жалоба Про nv2 здесь не говорилось. а как тогда авторизовывать много разных юзеров? и частных лиц и юриков?В простейшем случае достаточно одного radius сервера (что уже и предлагалось выше) и настройка клиента радиус на Miktorik, где здесь громоздкость? А wpa2 с eap-peap надежная штука, хрен взломаешь. Изменено 3 ноября, 2010 пользователем Bushi Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArtemTKS Опубликовано 5 ноября, 2010 · Жалоба Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP. Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные. И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 ноября, 2010 · Жалоба Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP. Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные. И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема? NTP сервер ей настройте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ArtemTKS Опубликовано 5 ноября, 2010 · Жалоба Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP. Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные. И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема? NTP сервер ей настройте. В том и проблема. Она не может получить время по NTP, так как не может установить соединение,а соединение не может установить, так как у неё по дефолту неправильная дата:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 ноября, 2010 · Жалоба Тогда используйте PPPoE или вланы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bushi Опубликовано 8 ноября, 2010 · Жалоба Сейчас настроил связку Nanostation - Mikrotik (БС)-freeradius WPA2 EAP. Аутентификация по логину и паролю. Проблема оказалась страная. В юбиквити нет встроенных часов, по этому при ребуте они сбрасываются на дефолтные. И соответственно радиус не может выдать сертефикат. У кого нибудь была такая проблема? NTP сервер ей настройте. В том и проблема. Она не может получить время по NTP, так как не может установить соединение,а соединение не может установить, так как у неё по дефолту неправильная дата:) Интересно, раздобуду на неделе наностейшн - попробую связать с микротиком по peap. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nimbo Опубликовано 8 марта, 2011 · Жалоба господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 8 марта, 2011 · Жалоба господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть. access list. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nimbo Опубликовано 8 марта, 2011 · Жалоба господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.access list. круто, только я там вижу только аксес лист для вафлей. поскольку клиенты приходят по проводу, то как их и куда заводить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SXM.U Опубликовано 8 марта, 2011 · Жалоба господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть.access list. круто, только я там вижу только аксес лист для вафлей. поскольку клиенты приходят по проводу, то как их и куда заводить? вафельный инет -? Вам явно на lukmore путь актуальный. Если правильно понимать - ip - firewall - filter/NAT - SCR adress . Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
gooel Опубликовано 8 марта, 2011 · Жалоба На микротике через хотспот будет проще всего ограничить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
_roman_ Опубликовано 2 мая, 2011 (изменено) · Жалоба господа, есть задача пускать через 411AH микруху людей в вафельный инет, но надо только определённые сетевухи которые подключены по проводу через свитч (т.е. vlan как бы не катит). есть вариант пускать через mac-фильтр белым списком, но не мог понять как это организовать на нём. есть подозрение что это где-то закопано, т.к. даже на асусовских и зихелевских SOHO-девайсах дешёвых это есть. Может через радиус? Если есть такая возможность. При использовании "белых листов" или acl нужно будит следить за корректностью этих самых листов. http://lancod.com/post/mac-authentication-on-port.html Изменено 2 мая, 2011 пользователем _roman_ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...