Белый список устройств v6.38.5

Обсуждение ПО и его настройки
ARS
Сообщения: 6
Зарегистрирован: 13 июн 2017, 16:51

Добрый день!

Столкнулся с проблемой что сотрудники подключают свои устройства через сетевой кабель. само собой пришла идея эту дыру устранить :)

На сколько я понимаю что в микротике есть что-то типа "Белого списка" устройств в который я могу внести все разрешенный устройства исходя из их MAC адреса.

На правильно ли я пути?:)

Вопрос, может кто-то уже делал что-то подобное и подскажет куда именно клацать
WebFig v6.38.5.
п.с само собой есть AD
Спасибо!
:zvez_ochki:


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Я делал следующим образом:
В DHCP заводил для каждого компа статическую запись, где указывал AdressList. Соответственно при получении IP от DHCP, IP клиента попадает в адрес лист, которому я разрешал активность. Всё остальное дропал.
Получается пока Мы не создадим статическую запись для клиента в DHCP, клиент не получит выход в мир.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
ARS
Сообщения: 6
Зарегистрирован: 13 июн 2017, 16:51

Dragon_Knight писал(а):Я делал следующим образом:
В DHCP заводил для каждого компа статическую запись, где указывал AdressList. Соответственно при получении IP от DHCP, IP клиента попадает в адрес лист, которому я разрешал активность. Всё остальное дропал.
Получается пока Мы не создадим статическую запись для клиента в DHCP, клиент не получит выход в мир.

Я правильно Вас понял - DHCP Server - Leases?


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Именно там.
Ну а дропать трафик в IP > Firewall > Filter


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
ARS
Сообщения: 6
Зарегистрирован: 13 июн 2017, 16:51

Dragon_Knight писал(а):Именно там.
Ну а дропать трафик в IP > Firewall > Filter

в целом так и предполагал, что стоит в AD зарезервировать IP адреса, а после чего вбивать в фильтр MAC и IP который уже не изменится

Спасибо!
проверю, отпишусь!


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Dragon_Knight писал(а):Именно там.
Ну а дропать трафик в IP > Firewall > Filter


А в Bridge > Filters ?


Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Наличие статического DHCP не помешает назначить на левое устройство разрешенный IP руками.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Там не просто статический адрес, в Leases используется пара IP-MAC. Так что придется и МАС-адрес менять, что для простого юзера уже является квестом. Хотя и преодолимым, конечно.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Erik_U
Сообщения: 1753
Зарегистрирован: 09 июл 2014, 12:33

Зачем юзеру адрес у DHCP получать?
Он на своем устройстве его задаст руками. Правильный.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Так, уважаемый. Читайте все слова в посту, а не выборочно. Используется пара. Если в паре хоть один из идентификаторов неверен, не пропустит. Если у вас есть устройство из неразрешенных, простая подстановка нужного IP-адреса ничего не решит. Вам нужно изменить и IP-адрес и МАС-адрес на своём устройстве, чтобы эта пара идентификаторов совпала с какой-то парой из указанных в Leases и затем оговоренных в правилах фаервола.
Обычному юзеру-офиснику данный квест просто слишком сложен, без подсказки он вряд ли разберется, что и как сделать. И не важно, что это достаточно простые действия. Варить в аргоновой среде тоже не сложно, но почему-то почти никто сам не варит. :-)


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить