Как защитить порт Ether8 для точки доступа, не нарушая работу клиентов Wi-Fi на Mikrotik

Обсуждение ПО и его настройки
Ответить
green_vmr
Сообщения: 2
Зарегистрирован: 29 ноя 2019, 16:58

MikroTik,на порту ether8 подключена точка доступа (AP). Задача — обеспечить безопасность этого порта и сделать так, чтобы любое неавторизированное или недоверенное устройство, подключённое к этому порту, не могло получить доступ к сети. Порт ether8 входит в состав общего Bridge, где также находятся пользователи WLAN.
Что мы пробовали:

1. Bridge Filters
    Разрешили трафик для определённых доверенных MAC-адресов:

    Код: Выделить всё

    /interface bridge filter
add chain=forward in-bridge-port=ether8 src-mac-address=<trusted-mac1> action=accept comment="Разрешить доверенное устройство 1"
add chain=forward in-bridge-port=ether8 src-mac-address=<trusted-mac2> action=accept comment="Разрешить доверенное устройство 2"
      Заблокировали весь остальной трафик:

      Код: Выделить всё

      /interface bridge filter
add chain=forward in-bridge-port=ether8 action=drop comment="Блокировать всё остальное"
      Результат: AP работает, но клиенты Wi-Fi теряют доступ в интернет. При подключении другого устройства к порту ether8 оно не может открыть сайты, но может пинговать внутренние и внешние ресурсы.

      2. Правила Firewall

      Создали список доверенных MAC-адресов:

      Код: Выделить всё

      /ip firewall address-list
add list=trusted-macs mac-address=<trusted-mac1>
add list=trusted-macs mac-address=<trusted-mac2>
      Разрешили трафик для доверенных MAC-адресов:

      /

      Код: Выделить всё

      ip firewall filter
add chain=forward src-mac-address-list=trusted-macs action=accept comment="Разрешить доверенные MAC"
      Заблокировали весь остальной трафик:

      Код: Выделить всё

      /ip firewall filter
add chain=forward action=drop comment="Блокировать несанкционированные устройства"
      Результат: Схожая ситуация. AP работает, но клиенты Wi-Fi не имеют доступа в интернет. Несанкционированные устройства не могут открывать сайты, но всё ещё пингуют внутренние и внешние IP.

      Логи:
      Логи для несанкционированных устройств выглядят следующим образом:

      Код: Выделить всё

      forward: in:GB(ether8) out:ether1, src-mac=<unauthorized-mac>, proto TCP (SYN), 192.168.x.x->external-ip, len 52
      Мы частично достигли цели, но остаются нерешённые вопросы:

      1. Клиенты Wi-Fi теряют доступ в интернет, если фильтровать ether8.
      2. Несанкционированные устройства всё ещё могут пинговать ресурсы, даже если не имеют доступа к сайтам или сети.

      Как можно изолировать порт ether8, сохраняя функциональность AP и Wi-Fi-клиентов? При этом, нужно полностью заблокировать несанкционированные устройства, чтобы они не могли пинговать ресурсы и подключаться к сети.


      Вернуться к началу
      mafijs
      Сообщения: 566
      Зарегистрирован: 03 сен 2017, 03:08
      Откуда: Marienburga

      Сделать порт транковым, то-есть vlan tagged.


      Вернуться к началу
      Ответить

      Вернуться в «MikroTik RouterOS»