Mikrotik блокировка по mac адресу

Mikrotik блокировка по mac адресу

Дата: 27.09.2013

Рассмотрим действия в ситуации, когда нужно отключить кого-либо из подключённых по WiFi клиентов (например за неуплату или по иным причинам).

1) Кнопка Wireless -> вкладка Registration -> правой кнопкой на нужном клиенте (его здесь можно определить по MAC-адресу; если Вам неудобно вспоминать MAC-адрес, то зайдите по кнопке IP-> ARP list и посмотрите MAC-адрес, соответствующий IP-адресу блокируемого клиента) -> Copy to Access List:

Этим Вы добавите запись об этом клиенте в раздел Access List:

2) Теперь нужно поправить это созданное правило на запрет аутентификации — переходим на вкладку Access List в разделе Wireless, делаем двойной клик на нужном клиенте и в появившемся окне снимаем галочку в пункте Authentication и нажимаем кнопку Apply.

После этого клиент больше не сможет подключиться к Вашей точке доступа. При снятии той галочки клиент должен быть автоматически отключён в течении нескольких секунд (проверьте это на вкладке Registration); если этого вдруг не произошло, то на вкладке Registration выделяем кликом нужного клиента и жмём сверху слева кнопку "минус".

Если потом нужно чтобы клиент мог подключаться к Вашей точке доступа, например позже после погашения им задолженности по оплате, то зайдите снова в свойства этого правила (в разделе Access List) и поставьте галочку в пункте Authentication. Если у клиента настроено автоматическое подключение к нужной точке доступа, то он подключится автоматически (буквально через несколько секунд).

Подробнее про Access List (полезный инструмент) советуем почитать в первоисточнике.

воскресенье, 16 июня 2013 г.

Ограничение доступа к WiFi по MAC в Mikrotik

Вводная: Необходимо ограничить доступ к WiFi только с определённых компьютеров.

Решение: Решено было пускать в сеть только людей с конкретными MAC-адресами.

Читайте также:  Apk for windows phone

В winbox выбираем "Wireless", далее вкладку "Registration", находим компьютеры которые нужно добавить, правой кнопкой и "Copy to Access List".

Аналогом данного действия в консоли будет
interface wireless access-list add interface=wlan1 mac-address=AA:BB:CC:DD:EE:FF

Можем перейти на вкладку "Access List" и посмотреть или отредактировать созданную запись. Прежде всего рекомендую прописать комментарий с описанием. Также здесь можно указать допустимую силу сигнала для подключения и к точке будут подключаться только клиенты с определённой силой сигнала. Что вносит дополнительный уровень безопасности.

Далее переходим в настройки WLAN интерфейса и на вкладке "Wireless" снимаем галочке с "Default Authenticate".

В консоли достаточно при настройке интерфейса добавить default-authentication=no

/interface wireless
set 0 band=2ghz-b/g/n country=russia default-authentication=no disabled=no
frequency=2452 l2mtu=2290 mode=ap-br > arxont wireless-protocol=802.11

Всё, на этом настройка доступа по MAC закончена — теперь в нашей WiFi сети могут работать только компьютеры с MAC-адресами перечисленными в Access List.

Примечание: В принципе почти тоже самое можно сделать
1) поставив в настройках интерфейса на ARP режим reply-only и внеся статические ARP записи. Так будет ещё и привязка IP-MAC.
2) Правилом файрвола с фильтрацией по src-mac-address.

Может ли микротик заблокировать устройства по MAC адресам в случае если сразу 4 устройства находились в сети с одним IP?

На одном объекте знакомые попросили прописать IP камеры на видео регистратор, при этом сказали что все камеры уже подключены в сеть, но на них не были назначены IP. Дело вроде не пыльно намечалось, обнаружить камеры. Задать IP адреса им и прописать ан регистраторе. У знакомых самостоятельно получилось обнаружить и прописать только одну камеру из 5. Таким образом все остальные 4 камеры были в сети с одним IP стандартным заводским. Казалось все должно было бы быть просто, но как оказалось ни одна из 4х камер не определяется в сети заводским ПО от камер и другими способами. Была мысль что конфликтую IP и надо подключать камеры в свитч по одной — но это не помогло. Камеры в сети не обнаруживаются таким образом так же. В итоге через POE инжектор попробовал подключать камеры мимо свитча напрямую к ноутбуку — по очереди и все 4 камеры по очереди успешно определялись по заводскому IP. В итоге таким образом прописал во всех 4х камерах свободный статический IP внутренней целевой сети и все это дело вернул обратно в свитч. Но и после этого камеры в целевой сети не обнаруживаются никаким способом. Мог ли микротик заблокировать MAC адреса этих камер например за конфликт IP адресов изначально? И где в интерфейсе микротика это можно проверить?

Читайте также:  Mini digital protractor инструкция на русском

Сама сеть выглядит следующим образом. Есть два здания.
В диспетчерской 1го здания стоит микротик и неуправляемый POE свитч для расширения кол-ва портов микротика и запитывания камер по POE. Туда воткнут регистратор и камеры первого здания. Так же от этого свитча идет кабель во второе здание общей протяженностью более 100 метров, но по середине всего маршрута стоит устройство выполняющее роль рипитера. Во втором здание стоит так же POE свитч неуправляемый, в который и воткнуты эти 5 камер из которых 4 не определяются в сети.

И есть еще один момент, все концы кабеля витой пары каким то умником, который собственно видимо все это и монтировал знакомым, обжаты не по стандарту. Вместо обжима по B схеме. Все концы начиная с кабеля идущего от первого здания до второго обжаты в следующем порядке:

1. бело-оранжевый,
2. оранжевый,
3. бело-синий,
4. синий
5. бело-зеленый
6. зеленый
7. бело-коричневый
8. коричневый

В принципе вроде бы это и не должно влиять, ведь на всех концах так криво обжато одинаково. Следовательно перекрестий никаких нет. Но 3 и 6 контакты не по парным жилам идут. Может быть это и есть всему причиной? Переобжимать как положено пока не пробовали, т.к. эти 4 камеры находятся не на легко доступной высоте над землей с улицы.
Индикаторы сети в свитче при включение этих камер горят/моргают.

Ссылка на основную публикацию
Adblock detector