Фильтрация по MAC-адресам в версии 3.1.1

Фильтрация по MAC-адресам в версии 3.1.1, UniFi Network

Genosse Guest	#1 06.05.2013 12:28:00 Привет. Есть ли фильтрация по MAC в новом контроллере версии 3.1.1?

jml

Guest

25.05.2014 10:43:00

Ах да, можно сделать и так: назначить всем устройствам с доступом статический IP. Потом заблокировать весь диапазон DHCP или вообще не настраивать DHCP, чтобы незнакомые клиенты не получали IP-адрес. Это не совсем то же самое, но для новичков сработает 😉

electroteque Guest	#3 25.05.2014 09:50:00 Верно, похоже, что вместо ключа используется MAC-адрес для аутентификации, да? Что мне, скорее всего, нужно, и что используют эти роутеры — это ipfilter. Я, наверное, попробую настроить его на Wi-Fi-порте на edgemax.

jml

Guest

25.05.2014 09:44:00

Ну, это должно помочь. Но по этой теме можно найти много гайдов. http://community.spiceworks.com/how_to/show/24627-freeradius-for-mac-authentication-on-netgear-wireless-access-points Можешь использовать этот документ, только не шаг 5 — на Unifi он не работает. Также смотри: https://community.ui.com/questions/2218c67f-2dd2-4f78-9a2d-41dfb026176f

electroteque Guest	#5 25.05.2014 06:53:00 В интерфейсе нет аутентификации по MAC-адресу, так что, возможно, нужно править конфигурацию, точно не уверен.

electroteque

Guest

25.05.2014 06:02:00

Пожалуйста, спасибо. Я перешёл с отстойного роутера/вайфая на edgemax и unifi. Мне нужны были продвинутые маршрутизация и файрвол, которые они предоставляют, но при этом у них нет встроенного вайфая. Я выбрал это вместо MikroTik из-за энергоэффективности и ещё кое-чего. Мой NAS-сервер подключён к свитчу, который сидит в LAN-порте Ethernet, а unifi подключён к вайфай-порту на роутере. Если можно использовать NAS для этих функций с radius — было бы отлично. http://www.synology.com/en-global/dsm/app_packages/RadiusServer Может, попробую?

jml

Guest

24.05.2014 13:22:00

Кстати: для настройки LMS нужно приложить некоторые усилия, потому что требуется выделенный сервер между вашей сетью и роутером. Я настроил его как прозрачный мост, через который проходит весь трафик. Думаю, лучше всего устанавливать на машину с Linux/Debian. Это уж выходит далеко за рамки этой темы... В ближайшие месяцы напишу руководство по этой системе. Тогда и отпишусь.

jml

Guest

24.05.2014 13:12:00

freeRadius может это сделать, да. Но тебе придётся использовать wpa enterprise. В зависимости от размера твоей сети, я бы серьезно порекомендовал Lan Management System (lms.org.pl) для управления сетью. В этой системе есть скрипты для управления финансами, dhcp, iptables, radius и так далее. Она действительно крутая, если в сети больше 100 пользователей.

Честно говоря, unifi — хоть его и рекомендуют для небольших сетей — на мой взгляд, рассчитан на большие сети. Они сосредоточены именно на больших сетях, и в таких сетях можно предположить, что у админов уже есть своё софт для управления. Ubnt с unifi не нужно ориентироваться на dhcp, маршрутизацию или другие сетевые функции. Ему просто нужно быть лучшим решением для беспроводной связи без всяких потребительских наворотов. Конечно, у потребительского железа тоже есть эти функции, но по возможностям беспроводной связи и управлению оно уступает. Поэтому unifi не нужен dhcp, mac-фильтр и прочее.

electroteque

Guest

24.05.2014 12:45:00

Теоретически, для этого нужно будет запустить iptables или это может быть заблокировано на уровне межсетевого экрана роутера, конечно, но тогда устройство всё равно будет присоединено. Поможет ли radius как-то заблокировать по MAC-адресу? Я могу настроить radius на своём Synology NAS и использовать его для аутентификации, возможно. Мне кажется, проблема в том, что это самая базовая функция — ваш обычный роутер с Wi-Fi её поддерживает, а такое дорогое устройство — нет.

electroteque Guest	#10 24.05.2014 12:29:00 Я собираюсь попробовать сделать это на роутере edgemax, ты это и предлагаешь?

jml

Guest

#11

24.05.2014 11:28:00

Не понимаю, зачем UBNT должна это создавать. Возможно, это удобно, но уж точно не является мерой безопасности. Если хотите фильтровать по MAC-адресам, почему не использовать такие программы, как «Lan Management System», чтобы регистрировать пользователей и создавать правила iptables для разрешения или блокировки? Думаю, это должно быть отдельно от WiFi-системы. Если нужна интеграция MAC-аутентификации, используйте WPA-Enterprise и Radius. Просто не стоит возлагать это на UBNT. Хотя, если у них найдется свободное время, конечно, было бы здорово добавить такую функцию...

electroteque Guest	#12 24.05.2014 11:13:00 Согласен, нам нужна фильтрация по MAC.

bobdeverell

Guest

#13

24.05.2014 04:05:00

Я установил 19 устройств Unifi (смешанные AP, APPro, Pico в режиме Unifi) для обслуживания моего кондоминиума (около 1000 человек). Использую WPA для безопасности доступа, но пароль постоянно передают, поэтому я применяю функцию блокировки, чтобы заблокировать более 200 MAC-адресов, просто потому что нет белого списка. Руководство не понимает, почему я выбрал продукт без контроля доступа по MAC, и потребовало заменить его на Cisco. Вопрос: стоит ли мне пытаться затянуть это в надежде на появление белого списка? Боб

jorgeantoniofp

Guest

#14

24.02.2014 18:50:00

Проблема не в безопасности... WPA2, WPA, AES — максимальная защита, но... если пользователь делится паролем? MAC-фильтр нужен, чтобы ограничить доступ неопытным пользователям. С MAC-фильтром у тебя есть черный или белый список — всё просто (для неопытных пользователей).

EricE Guest	#15 04.02.2014 01:47:00 лол — безопасность за счёт секретности — это не безопасность. Никогда не думай, что «сотрудники маленькой компании» не найдут времени или желания. Особенно если эти меры мешают им заходить в Facebook.

jpickerell Guest	#16 01.02.2014 01:39:00 Думаю, это самый близкий запрос на функцию к тому, что нужно. Всем, кто хочет увидеть реализацию этого, может быть, стоит проголосовать за эту функцию? http://community.ubnt.com/t5/UniFi-Feature-Requests/Per-SSID-MAC-Filtering/idi-p/608893

marktoo Guest	#17 15.07.2017 23:24:00 Респект команде Unifi за то, что воплотили эту просьбу в реальность: https://community.ui.com/releases/b848d8b5-880d-41ad-924a-cf9b79a54240 Новые возможности: WLAN MAC ACL. Спасибо! Mark

electroteque Guest	#18 25.05.2014 14:59:00 Анти-брутфорс был бы очень полезной функцией.

rjh2805 Guest	#19 25.05.2014 14:22:00 Кто-нибудь знает, как реализовать автоматическую блокировку беспроводных клиентов при многократном вводе неправильного ключа WPA(2)?

electroteque Guest	#20 25.05.2014 10:45:00 Мой блок неисправен, и, возможно, мне придется выбрать что-то другое. Но спасибо за помощь, если решу оставить его, то обязательно посмотрю этот более продвинутый вариант.

Читают тему (гостей: 1)