Гостевая сеть WiFi.

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

В логике ошибка: надо тогда для каждого рабочего устройства два правила писать - одно будет разрешать ему в основную, другое - запрещать в гостевую.

Но при таких вводных я бы уже все-таки сделал единую SSID, и раскидывал бы на основе маков по разным vlan'ам, как предлагал изначально.


Telegram: @thexvo
1nc0gn1t0man
Сообщения: 19
Зарегистрирован: 17 мар 2020, 22:38

xvo писал(а): 21 июл 2021, 23:22 В логике ошибка: надо тогда для каждого рабочего устройства два правила писать - одно будет разрешать ему в основную, другое - запрещать в гостевую.

Но при таких вводных я бы уже все-таки сделал единую SSID, и раскидывал бы на основе маков по разным vlan'ам, как предлагал изначально.
И почему-то не сработало!
Правила были такие

MAC:xx-yy-zz-00-11-22
SSID Regexp:имярабочейсети
Action: Accept

=========================
MAC:xx-yy-zz-00-11-22
SSID Regexp:имярабочейсети5ггц
Action: Accept

============================

И сразу за ними запрещающие
MAC:xx-yy-zz-00-11-22
SSID Regexp:имягостевойсети
Action: Reject

==========================
MAC:xx-yy-zz-00-11-22
SSID Regexp:имягостевойсети5ггц
Action: Reject


Правила поместил выше правила разрешающего вход в гостевую есть и правила общего сброса!


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Так а не из-за той же рандомизации?

Вообще, получается, что если брать в расчет то, что на любом устройстве всегда можно включить рандомизацию, то подход с запретом для определенных маков вообще нельзя считать надежным.
То есть разрешать определенным макам - логично.
А запрещать надо всем, кроме - что само по себе уже противоречит идее гостевой сети.

Так что пилите vlan'ы :)


Telegram: @thexvo
1nc0gn1t0man
Сообщения: 19
Зарегистрирован: 17 мар 2020, 22:38

xvo писал(а): 22 июл 2021, 11:34 Так а не из-за той же рандомизации?
Не, это была тествоая машинка со старым свисточком D-Link.
xvo писал(а): 22 июл 2021, 11:34 Вообще, получается, что если брать в расчет то, что на любом устройстве всегда можно включить рандомизацию, то подход с запретом для определенных маков вообще нельзя считать надежным.
То есть разрешать определенным макам - логично.
А запрещать надо всем, кроме - что само по себе уже противоречит идее гостевой сети.
Да, верно. Но если так подумать - то запрет всем в подключении - это как бы хорошо.. И рандомность маков - тут не играет роли.. Страшнее тогда MAC-spoofing! Тут уже можно включить паранойю и каждому клиенту дать еще пароль на устройство.. А вообще видимо да - для таких кейсов нужно расширять контроль сети и делать VLAN.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

1nc0gn1t0man писал(а): 22 июл 2021, 12:39 Страшнее тогда MAC-spoofing! Тут уже можно включить паранойю и каждому клиенту дать еще пароль на устройство..
Авторизацию сертификатами через radius и dot1x :)
Но вопрос уже в целесообразности.


Telegram: @thexvo
1nc0gn1t0man
Сообщения: 19
Зарегистрирован: 17 мар 2020, 22:38

xvo писал(а): 22 июл 2021, 13:16
1nc0gn1t0man писал(а): 22 июл 2021, 12:39 Страшнее тогда MAC-spoofing! Тут уже можно включить паранойю и каждому клиенту дать еще пароль на устройство..
Авторизацию сертификатами через radius и dot1x :)
Но вопрос уже в целесообразности.
Именно так.. А в этом то и дело.. Сейчас пока нет смысла даже VLANы вводить.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

1nc0gn1t0man писал(а): 22 июл 2021, 14:21 Сейчас пока нет смысла даже VLANы вводить.
Если у вас не local forwarding на капсмане, то их даже протягивать никуда не надо, достаточно все внутри контроллера переделать.


Telegram: @thexvo
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

1nc0gn1t0man писал(а): 21 июл 2021, 22:13
уточню - то есть заходим например через тот же Winbox в Interfaces и там где красным capsman подписал "managed by CAPsMAN" открываем свойства и снимаем галку с пункта внизу "Default Authentificate" во вкладке "Wireless" ТОЛЬКО НА интерфейсах wifi - которые "отвечают" за НЕгостевую зону. А оба нижних правила отключаем.
У Капсмана свой ACL
Если точки под управлением CAPsMan то открываем вкладку WINBOX/CAPsMAN/Access List и все настройки делаем здесь. Настройки на вкладке Wireless не работают когда интерфейс управляется капсманом, поэтому красным и предупреждает


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ответить