У меня проблема: клиенты, подключающиеся по Wi-Fi, не проходят через сеть LAN2, а используют маршрут по умолчанию. Как я могу направить их в нужную сеть? Я прописал VLAN на их вкладке в Radius, но кажется, это не работает.

К слову о том, что это такое – MAB (Mac Authentication Bypass, то есть обход аутентификации по MAC-адресу, это то, что обычно подразумевается под "RADIUS MAC Authentication"). Изначально это не предназначалось для беспроводных сетей. Это было разработано, чтобы позволить проводным устройствам подключаться к сетям, которые требовали аутентификации, но не поддерживали 802.1x. Термин 'WPA' ниже используется в общем смысле, включая все версии беспроводной аутентификации. 802.1x – это конкретный стандарт для централизованной аутентификации пользователей и устройств (очень упрощенно). WPA EAP (WPA Enterprise) использует 802.1x для аутентификации пользователей, а не единый предварительно настроенный ключ для всех пользователей (традиционный WPA PSK). Однако не все устройства поддерживают WPA EAP. Большинство ноутбуков, планшетов и телефонов поддерживают это, но большинство IoT-устройств – нет. Для тех, которые не поддерживают WPA EAP, может использоваться MAB. В этом случае точка доступа будет аутентифицироваться от имени устройства, пытающегося подключиться, используя MAC-адрес этого устройства в качестве имени пользователя и пароля. Это невероятно слабо, потому что любой в радиусе действия может обнаружить и подделать MAC-адрес устройства и подключиться вместо него, ведь MAC-адрес виден всем. Если у вас так много устройств, где вы настраиваете MAB, возможно, это лучший вариант. Либо стоит рассмотреть возможность настройки обычных пользователей RADIUS, которые могут правильно аутентифицироваться, либо, возможно, следует использовать отдельную гостевую сеть SSID с WPA PSK или гостевой портал. Лично я бы поместил IoT-устройства, такие как дверные звонки, на отдельную гостевую сеть SSID с надежным WPA PSK. Если это не очевидно: при использовании MAB вы фактически передаете имя пользователя и пароль в открытом виде, во всех беспроводных кадрах, поскольку в каждом кадре используется MAC-адрес устройства, который виден всем. Это действительно невероятно небезопасно, и лично я разочарован, что UI сделала его настолько простым в настройке без громких предупреждений об этом. Хотя, опять же, многие люди умоляли об этом. К сожалению, UI также скрыла документацию в своем Центре справки, в которой, если память не изменяет, были инструкции по настройке этого.

Да, получил! В итоге получилось. Имя пользователя и пароль – это MAC-адрес, плюс немного дополнительных манипуляций, в принципе, всё довольно просто. Но поддерживать это, признаться, раздражает. Например, подключаю новое устройство, мне нужно подключаться к другой WIFI, чтобы посмотреть MAC-адрес, добавлять запись в Radius (которую нельзя назвать как-нибудь нормально!), потом переключаться обратно на WIFI. Переключаться на WIFI на многих Unifi устройствах — как, например, на дверном звонке — не так уж и просто, нужно делать сброс к заводским настройкам, и это куча возни. Было бы намного лучше, если бы я мог видеть попытки подключения к WIFI с указанием MAC-адреса, чтобы можно было добавить его в Radius. И вообще, было бы здорово, если бы это была полноценная функция в интерфейсе, вместо того, чтобы копировать-вставлять MAC-адреса и иметь список MAC-адресов без понятных названий.