Добрый день!
Столкнулся с проблемой что сотрудники подключают свои устройства через сетевой кабель. само собой пришла идея эту дыру устранить :)
На сколько я понимаю что в микротике есть что-то типа "Белого списка" устройств в который я могу внести все разрешенный устройства исходя из их MAC адреса.
На правильно ли я пути?:)
Вопрос, может кто-то уже делал что-то подобное и подскажет куда именно клацать
WebFig v6.38.5.
п.с само собой есть AD
Спасибо!
Белый список устройств v6.38.5
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Я делал следующим образом:
В DHCP заводил для каждого компа статическую запись, где указывал AdressList. Соответственно при получении IP от DHCP, IP клиента попадает в адрес лист, которому я разрешал активность. Всё остальное дропал.
Получается пока Мы не создадим статическую запись для клиента в DHCP, клиент не получит выход в мир.
В DHCP заводил для каждого компа статическую запись, где указывал AdressList. Соответственно при получении IP от DHCP, IP клиента попадает в адрес лист, которому я разрешал активность. Всё остальное дропал.
Получается пока Мы не создадим статическую запись для клиента в DHCP, клиент не получит выход в мир.
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 6
- Зарегистрирован: 13 июн 2017, 16:51
Dragon_Knight писал(а):Я делал следующим образом:
В DHCP заводил для каждого компа статическую запись, где указывал AdressList. Соответственно при получении IP от DHCP, IP клиента попадает в адрес лист, которому я разрешал активность. Всё остальное дропал.
Получается пока Мы не создадим статическую запись для клиента в DHCP, клиент не получит выход в мир.
Я правильно Вас понял - DHCP Server - Leases?
- Dragon_Knight
- Сообщения: 1724
- Зарегистрирован: 26 мар 2012, 18:21
- Откуда: МО, Мытищи
- Контактная информация:
Именно там.
Ну а дропать трафик в IP > Firewall > Filter
Ну а дропать трафик в IP > Firewall > Filter
Небольшой свод правил логики и ссылок:
- Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
- Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
- Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
- Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
- Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
- name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
- Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
- Мой сайт по Mikrotik: Global Zone >> MikroTik.
-
- Сообщения: 6
- Зарегистрирован: 13 июн 2017, 16:51
Dragon_Knight писал(а):Именно там.
Ну а дропать трафик в IP > Firewall > Filter
в целом так и предполагал, что стоит в AD зарезервировать IP адреса, а после чего вбивать в фильтр MAC и IP который уже не изменится
Спасибо!
проверю, отпишусь!
-
- Сообщения: 1753
- Зарегистрирован: 09 июл 2014, 12:33
Dragon_Knight писал(а):Именно там.
Ну а дропать трафик в IP > Firewall > Filter
А в Bridge > Filters ?
-
- Сообщения: 1753
- Зарегистрирован: 09 июл 2014, 12:33
Наличие статического DHCP не помешает назначить на левое устройство разрешенный IP руками.
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Там не просто статический адрес, в Leases используется пара IP-MAC. Так что придется и МАС-адрес менять, что для простого юзера уже является квестом. Хотя и преодолимым, конечно.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
-
- Сообщения: 1753
- Зарегистрирован: 09 июл 2014, 12:33
Зачем юзеру адрес у DHCP получать?
Он на своем устройстве его задаст руками. Правильный.
Он на своем устройстве его задаст руками. Правильный.
- podarok66
- Модератор
- Сообщения: 4355
- Зарегистрирован: 11 фев 2012, 18:49
- Откуда: МО
Так, уважаемый. Читайте все слова в посту, а не выборочно. Используется пара. Если в паре хоть один из идентификаторов неверен, не пропустит. Если у вас есть устройство из неразрешенных, простая подстановка нужного IP-адреса ничего не решит. Вам нужно изменить и IP-адрес и МАС-адрес на своём устройстве, чтобы эта пара идентификаторов совпала с какой-то парой из указанных в Leases и затем оговоренных в правилах фаервола.
Обычному юзеру-офиснику данный квест просто слишком сложен, без подсказки он вряд ли разберется, что и как сделать. И не важно, что это достаточно простые действия. Варить в аргоновой среде тоже не сложно, но почему-то почти никто сам не варит.
Обычному юзеру-офиснику данный квест просто слишком сложен, без подсказки он вряд ли разберется, что и как сделать. И не важно, что это достаточно простые действия. Варить в аргоновой среде тоже не сложно, но почему-то почти никто сам не варит.
Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...