В логике ошибка: надо тогда для каждого рабочего устройства два правила писать - одно будет разрешать ему в основную, другое - запрещать в гостевую.
Но при таких вводных я бы уже все-таки сделал единую SSID, и раскидывал бы на основе маков по разным vlan'ам, как предлагал изначально.
Гостевая сеть WiFi.
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.
1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Telegram: @thexvo
-
- Сообщения: 19
- Зарегистрирован: 17 мар 2020, 22:38
И почему-то не сработало!xvo писал(а): ↑21 июл 2021, 23:22 В логике ошибка: надо тогда для каждого рабочего устройства два правила писать - одно будет разрешать ему в основную, другое - запрещать в гостевую.
Но при таких вводных я бы уже все-таки сделал единую SSID, и раскидывал бы на основе маков по разным vlan'ам, как предлагал изначально.
Правила были такие
MAC:xx-yy-zz-00-11-22
SSID Regexp:имярабочейсети
Action: Accept
=========================
MAC:xx-yy-zz-00-11-22
SSID Regexp:имярабочейсети5ггц
Action: Accept
============================
И сразу за ними запрещающие
MAC:xx-yy-zz-00-11-22
SSID Regexp:имягостевойсети
Action: Reject
==========================
MAC:xx-yy-zz-00-11-22
SSID Regexp:имягостевойсети5ггц
Action: Reject
Правила поместил выше правила разрешающего вход в гостевую есть и правила общего сброса!
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Так а не из-за той же рандомизации?
Вообще, получается, что если брать в расчет то, что на любом устройстве всегда можно включить рандомизацию, то подход с запретом для определенных маков вообще нельзя считать надежным.
То есть разрешать определенным макам - логично.
А запрещать надо всем, кроме - что само по себе уже противоречит идее гостевой сети.
Так что пилите vlan'ы :)
Вообще, получается, что если брать в расчет то, что на любом устройстве всегда можно включить рандомизацию, то подход с запретом для определенных маков вообще нельзя считать надежным.
То есть разрешать определенным макам - логично.
А запрещать надо всем, кроме - что само по себе уже противоречит идее гостевой сети.
Так что пилите vlan'ы :)
Telegram: @thexvo
-
- Сообщения: 19
- Зарегистрирован: 17 мар 2020, 22:38
Не, это была тествоая машинка со старым свисточком D-Link.
Да, верно. Но если так подумать - то запрет всем в подключении - это как бы хорошо.. И рандомность маков - тут не играет роли.. Страшнее тогда MAC-spoofing! Тут уже можно включить паранойю и каждому клиенту дать еще пароль на устройство.. А вообще видимо да - для таких кейсов нужно расширять контроль сети и делать VLAN.xvo писал(а): ↑22 июл 2021, 11:34 Вообще, получается, что если брать в расчет то, что на любом устройстве всегда можно включить рандомизацию, то подход с запретом для определенных маков вообще нельзя считать надежным.
То есть разрешать определенным макам - логично.
А запрещать надо всем, кроме - что само по себе уже противоречит идее гостевой сети.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Авторизацию сертификатами через radius и dot1x :)1nc0gn1t0man писал(а): ↑22 июл 2021, 12:39 Страшнее тогда MAC-spoofing! Тут уже можно включить паранойю и каждому клиенту дать еще пароль на устройство..
Но вопрос уже в целесообразности.
Telegram: @thexvo
-
- Сообщения: 19
- Зарегистрирован: 17 мар 2020, 22:38
Именно так.. А в этом то и дело.. Сейчас пока нет смысла даже VLANы вводить.xvo писал(а): ↑22 июл 2021, 13:16Авторизацию сертификатами через radius и dot1x :)1nc0gn1t0man писал(а): ↑22 июл 2021, 12:39 Страшнее тогда MAC-spoofing! Тут уже можно включить паранойю и каждому клиенту дать еще пароль на устройство..
Но вопрос уже в целесообразности.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Если у вас не local forwarding на капсмане, то их даже протягивать никуда не надо, достаточно все внутри контроллера переделать.
Telegram: @thexvo
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
У Капсмана свой ACL1nc0gn1t0man писал(а): ↑21 июл 2021, 22:13
уточню - то есть заходим например через тот же Winbox в Interfaces и там где красным capsman подписал "managed by CAPsMAN" открываем свойства и снимаем галку с пункта внизу "Default Authentificate" во вкладке "Wireless" ТОЛЬКО НА интерфейсах wifi - которые "отвечают" за НЕгостевую зону. А оба нижних правила отключаем.
Если точки под управлением CAPsMan то открываем вкладку WINBOX/CAPsMAN/Access List и все настройки делаем здесь. Настройки на вкладке Wireless не работают когда интерфейс управляется капсманом, поэтому красным и предупреждает
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.