Блокировка по мак через соединенный асус

Обсуждение оборудования и его настройки
Ответить
dima.dmitriev
Сообщения: 30
Зарегистрирован: 16 июл 2018, 21:05

Здравствуйте, есть RB951UI-2hnd, к нему по кабелю соединен ASUS rtn12, на моем микротике стоит пароль, я его даже поменял. Но, в логе вижу что какие то мак адреса появляются(друзья хозяина rtn12). Я думал, что они будут пользоваться WIFI через rtn12.
но появляются они у меня логе, причем я их поймать не могу чтобы их видно было в IP-->DHCP Server-->Leases или же в QuickSet - Wireless Clients. Смотрю лог а они все disconnected.
В Leases по любому же должны быть мак адреса, мне не жалко для хозяина Rtn12 и его телефона Wfi, но я вижу только адрес его Rtn12.
Получается они каким то образом подключается к WIFI моего роутера(хотя я меняю пароль) но когда я прихожу они разъединяются, т.к. я смотрю лог и вижу Wireless Info и их мак адреса и disconnected справа.

Как забанить или ограничить скорость этим мак адресам до 1мб? И узнать как они подключаются вообще не зная пароль.

PS вот глянул лог и вижу напротив их мак адресов Wlan1 т.е. на микротике это интерфейс моего вай фая по умолчанию.


anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

так, судя по описанию ( его точности) Вы использовали на микротике "быструю устнановку" что не есть хорошо, но .. обычно работает.
А вот в каком режиме стоит Asus , в какой порт воткнут провод от Вас ?
Что пришло в голову - Asus стоит в режиме "роутер", но провод от Вас воткнут в порт LAN и DHCP на асус не погашен, если это так, то " либо погасить DHCP" либо переконфигурить Asus в режим Точка доступа. ( там тоже не будет DHCP ).
Но вариантов "как может что-то работать не так - много".


dima.dmitriev
Сообщения: 30
Зарегистрирован: 16 июл 2018, 21:05

я понял в чем дело, у них просто вай фай включен и телефон пытается подключиться, каждый раз появляется чужой мак и через 5 сек дисконект. Не думал что это будет логироваться.
anad писал(а): 03 мар 2019, 16:02 так, судя по описанию ( его точности) Вы использовали на микротике "быструю устнановку" что не есть хорошо, но .. обычно работает.
не понимаю зачем нужно заморачиваться, ведь все работает. Как это может не работать если все что нужно для работы роутера есть в стандартном скрипте.
anad писал(а): 03 мар 2019, 16:02
А вот в каком режиме стоит Asus , в какой порт воткнут провод от Вас ?
Что пришло в голову - Asus стоит в режиме "роутер", но провод от Вас воткнут в порт LAN и DHCP на асус не погашен, если это так, то " либо погасить DHCP" либо переконфигурить Asus в режим Точка доступа. ( там тоже не будет DHCP ).
Во второй порт, если он будет как точка доступа работать - я смогу увидеть маки вайфай клиентов асуса и банить по желанию? Без этого никак не увидеть всех?
Да я просто соединил провод, а асуса DHCP работает.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

dima.dmitriev писал(а): 10 мар 2019, 12:41
anad писал(а): 03 мар 2019, 16:02 так, судя по описанию ( его точности) Вы использовали на микротике "быструю устнановку" что не есть хорошо, но .. обычно работает.
не понимаю зачем нужно заморачиваться, ведь все работает. Как это может не работать если все что нужно для работы роутера есть в стандартном скрипте.
Проблема не в том, что что-то работает, или не работает, проблема в том, что вы используете довольно сложное оборудование и при этом не понимаете что там и как работает потому что используете квик сетап. Плюс ко всему, как уже много раз было сказано на данном форуме, только одному господу богу, ну и создателям микротика, известно, что конкретно преднастраивает квик сетап. С одной стороны оно и черт с ним, главное что работает, а с другой, после такой настройки люди пытаются решить другие задачи, такие, что в квиксетапе них просто нет и у них очень часто что-то не получается, потому что одному господу богу известно что конкретно преднастраивает квиксетап, а все местные, завсегдатые и в принципе люди которые вроде бы могут помочь, потому что серьезно работают с данным оборудование, не помогут, по причине того, что они никогда не используют квиксетап и не имеют ни малейшего представления что конкретно случилось после такой натсройки, а разбирается в полном конфиге с кучей строк и каментов слишком трудозатратно, тем более в рамках бесплатной помощи на форуме. И это не говоря уже о том, что от версии к версии какие-то преднастройки меняются, добавляются, удаляются и следить за такими изменениями человеку, который может настроить сам и только то, что ему необходимо и именно так как ему необходимо, смысла нет, это мартышкин труд.

Поэтому вам в первом же ответе упомянули, что использовать квик сетап это "фи", но заставлять отказываться от него тут никто не будет да и не хочет, просто в случае каких-то проблем и вашего поста, в коттором будет упомняут вышеназванные инструмент, вас скорее всего будут игнорить, а дальше уже ваше право, жить с этим или стремиться к саморазвитию.


dima.dmitriev
Сообщения: 30
Зарегистрирован: 16 июл 2018, 21:05

на вопросы хотя бы ответить можно?
Во второй порт, если он будет как точка доступа работать - я смогу увидеть маки вайфай клиентов асуса и банить по желанию? Без этого никак не увидеть всех?
Да я просто соединил провод, а асуса DHCP работает.
Можно ли как то настроить не имея белого IP доступ к микротику, на микротике стоит белый IP, я же хочу к нему по телефону подключиться из внешней сетки, не нашел пока понятной инструкции, три уже прочел - там пишут чтобы в Services был указан IP с которого надо будет коннектиться.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

dima.dmitriev писал(а): 10 мар 2019, 14:44 Можно ли как то настроить не имея белого IP доступ к микротику, на микротике стоит белый IP, я же хочу к нему по телефону подключиться из внешней сетки, не нашел пока понятной инструкции, три уже прочел - там пишут чтобы в Services был указан IP с которого надо будет коннектиться.
Знания по сетям у Вас расплывчатые.

Вот тема интересная, viewtopic.php?f=1&t=9917
долго её мусолили, там почти на 60-75% Ваш вопрос описан в деталях, остальное нюансы провайдерские,
и так далее....советую её прочитать Внимательно, я там много теории описал, сущности.
Прочтите, постарайтесь понять.....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
anad
Сообщения: 185
Зарегистрирован: 24 ноя 2016, 21:14

dima.dmitriev писал(а): 10 мар 2019, 12:41 Во второй порт, если он будет как точка доступа работать - я смогу увидеть маки вайфай клиентов асуса и банить по желанию? Без этого никак не увидеть всех?
Да я просто соединил провод, а асуса DHCP работает.
Про квик сетап - он работает, но потом, когда люди начинают расширять конфиг и что-то менять возникает путаница.
Два DHCP в одной сети - вобще можно, но .. надо хорошо понимать что и как делается, так что оставьте один ( на микротике) в этом случае Вы будете видеть всех клиентов ( для простоты понимания они будут клиентами Микротика) и сможете над ними издеваться.

Доступ к микротику у которого есть публичный IP - 1 выясняем статичный ли он, если не статичный, настраиваем родной DDNS: ip -> cloud -> DDNS enable.

Далее зависит от того, что именно имеется в виду под доступом к Микротику, если только к нему и на управление, то проще ( IMHO) использовать привычный Вам инструмент ( вероятно браузер) и port knoking (клиенты есть под любой мобильный). Как настроить port knoking коротко

в ssh даете след команды

Код: Выделить всё

/ip firewall filter 
add    place-before=1 chain=input action=add-src-to-address-list protocol=tcp address-list=pk1 address-list-timeout=10s dst-port=9000 
add    place-before=1   chain=input action=add-src-to-address-list protocol=tcp src-address-list=pk1 address-list=pk2 address-list-timeout=10s dst-port=9009
add    place-before=1 action=add-src-to-address-list protocol=tcp src-address-list=pk2 address-list=pk_allow address-list-timeout=1d dst-port=8500
add place-before=1 chaint=input action=accept  protocol=tcp dst-port=80 src-address-list=pk_allow 
9000 9009 8500 это фактически пароль поменяйте его ( любые значения в диапазоне от 1025 до 65500) и запомните, потом забьете в утилиту для доступа, последовательность имеет значение.
вместо 1d можно поставить любое количество дней ( или часов -10H) на которое текущему ip разрешен доступ. Сильно увлекаться длительностью не стоит, так как у некоторых сотовых операторов один ip на тысячи клиентов и все они смогут попасть на web морду Вашего девайса.

Если хочется тоннель в сеть делать ( то есть иметь доступ не только к микротику, но и ко всему что за ним) , то полно есть инструкций, как пример https://asp24.com.ua/blog/nastrojka-ppt ... -mikrotik/


Ответить