Белый список устройств v6.38.5

Обсуждение ПО и его настройки
Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Я внимательно читаю.
Разрешения даются по IP из адреслиста, сформированного статическим DHCP.
Если DHCP статический, значит конкретный IP в адрес-листе на время Lease Time после даже короткого входя, и разрешения для него есть.

1 раз включил свой комп, потом вместо него другое устройство с тем же IP.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

... При этом отключил свой комп. И смысл?


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Смотря что он включит.
Если
Изображение,
то и комп работать будет, и все что душе угодно.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Блин. Если есть желание и знания, невозможно запретить доступ человеку доступ в сеть.
А знаете, можно в рабочий комп поставить вторую сетевую карту и НАТить трафик, и вообще никакая блокировка не поможет в этом случае...


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Ну, граждане, вы не занятые информационные розетки на коммутаторы не коммутируйте, и не нужно вообще тогда париться с запретами.
Если задача ограничена правилом "одна розетка-одно устройство".


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Так, похоже я торможу сам? Тогда поясните мне, где я ошибаюсь.
У меня есть маршрутизатор с запущенным на нем DHCP-сервером. Все мои устройства получили статический адрес в разделе Lease при помощи команды Make Static. Все адреса занесены в адрес-лист и именно им одним позволено ходить в интернет (в фильтрах там или в нат, все зависит от ситуации). Все остальные устройства, подключившиеся и получившие динамический адрес вод это разрешающее правило не попадают и в интернет выйти не могут.
Просмотреть адреса моих устройств и их МАС-адреса можно командой:

Код: Выделить всё

:foreach r in=[/ip dhcp-server lease find dynamic=no] do={
 :local u [/ip dhcp-server lease get $r mac-address ];
:local y [/ip dhcp-server lease get [find mac-address=$u] address] ;
:put ($y . "-" . $u)
}

Например, мы получили такой результат:

Код: Выделить всё

D4:C1:FC:8A:B4:0C-192.168.100.22
00:17:9A:81:23:77-192.168.100.21
28:D1:AF:77:05:AD-192.168.100.20
00:18:97:00:AA:C0-192.168.100.23
40:61:86:46:06:48-192.168.100.18
00:02:78:51:8C:15-192.168.100.19
00:02:78:F0:B1:78-192.168.100.17

Не случайно при подаче команды IP-адрес и МАС-адрес выводятся парой. Именно их сочетание есть тот препон, о который споткнется ваш юзер. Если вы пришли в мою сеть со своим устройством с МАС например 00:DE:FA:27:A1:01 и решили выйти в интернет, просто узнав, что
а). IP-адрес 192.168.100.22 имеет разрешение на выход в сеть
б). устройство, к которому прикреплен этот адрес физически отключено на данный момент
и руками пропишите на своём устройстве этот айпишник, то у вас ничего не выйдет. Ну не примет маршрутизатор устройство с другим МАС, несмотря на вроде бы кошерный айпишник.
А теперь поясните, в каком шаге я ошибаюсь? Учитывайте, что смена МАС на своём устройстве на нужный ( его еще и узнать надо) для вас, как для офисного менеджера, очень сложная операция.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

А если нужный IP будет введен вручную, без DHCP-сервера? Ведь функция DHCP-сервера застолбить за данным МАС данный IP, и никому его не отдавать при запросах IP адреса от клиентов.

Может в привязывании IP к МАС больше пойдет ARP таблица, а не Lease DHCP-сервера?
Последний раз редактировалось maxim_minton 14 июн 2017, 19:53, всего редактировалось 1 раз.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Насколько я понимаю, связка mac-IP имеет значение только для DHCP сервера. Потому, что он именно по mac адрес выдает. И статистику свою так же хранит с мак-адресами. Но он ничего и никому не ограничивает. Т.е. устройству с другим mac он адрес бы не выдал. Но если этот адрес на устройстве и так прописан, то к dhcp и запроса на адрес не приходит.

Ограничивают правила в FireWall. Если они анализируют только IP, то они мас не анализируют. И проверка совпадения пары mac-IP они не производят. Поэтому, если у устройства с неправильным mac правильный IP, FireWall его пропустит куда следует в соответствии с правилами.

По моему, ошибаетесь на шаге б). После выключения устройства его адрес из Adress List не пропадает. Пропадет после истечения Lease Time. А пока он там, этот IP пустят везде несмотря на mac.

Чтобы не пропустил - нужно правила на mac писать. А тут у микротика проблема - он со списками mac не работает. Поэтому, если писать, то на каждый хост свое правило. А тут все быстро упрется в ресурсы CPU и начнутся тормоза.

Есть в разделе Wireless раздел Access List, и там в строчке интерфейс есть 2 значения на выбор - wan или all.
Может этот all как раз поможет?


maxim_minton
Сообщения: 120
Зарегистрирован: 14 мар 2017, 13:03

Erik_U писал(а):Ограничивают правила в FireWall. Если они анализируют только IP, то они мас не анализируют. И проверка совпадения пары mac-IP они не производят. Поэтому, если у устройства с неправильным mac правильный IP, FireWall его пропустит куда следует в соответствии с правилами.

Это делает ARP таблица, в TP-Link это BOUND таблица.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

Не слышал, чтобы ARP таблица ограничивала что-либо. У нее функция не ограничивать, а отображать объективную реальность.
Даже статическая запись станет просто неактивной, если хост выключен. При этом новая динамическая появится с новой парой IP-Mac.
Должно так быть.


Ответить