Филтриране по мак адрес

[sauronnet]

Здравейте имам за основен рутер микротик rb2011 след който съм свързал tp-link  ax50 конфигуриран в access point режим. 

Това което искам да направя е филтриране по мак адрес - от самия микротик знам  как да го направя, но филтрирането работи само за wif мрежата генерирана от микротик (което е нормално). 

Реално към tp-link access point  можеш да се вържеш без проблем и dhcp сървъра на микротика си ти назначава ip. Как да кажа на микротика да филтрира съответно лана на който е вързан tp-link accesspoint така че ако мак адреса не е добавен в адрес листа на микротик да не можеш да се закачиш на access point

[JohnTRIVOLTA]

Преди 5 часа, sauronnet написа:

Здравейте имам за основен рутер микротик rb2011 след който съм свързал tp-link  ax50 конфигуриран в access point режим. 

Това което искам да направя е филтриране по мак адрес - от самия микротик знам  как да го направя, но филтрирането работи само за wif мрежата генерирана от микротик (което е нормално). 

Реално към tp-link access point  можеш да се вържеш без проблем и dhcp сървъра на микротика си ти назначава ip. Как да кажа на микротика да филтрира съответно лана на който е вързан tp-link accesspoint така че ако мак адреса не е добавен в адрес листа на микротик да не можеш да се закачиш на access point

Здравейте,

Може да пробвате да филтрирате по мак адрес през филтъра на самият бридж:

/interface bridge filter add chain=input action=drop in-interface=ether5 in-bridge=bridge_lan src-mac-address=11:22:33:44:55:66/FF:FF:FF:FF:FF:FF

Замества те нужното - ин интерфейса е бридж порта/етернет порта/ на който е свързано APто, избирате и бриджа, замествате мак адреса!

[sauronnet]

На 22.12.2022 г. at 8:04, JohnTRIVOLTA написа:

Здравейте,

Може да пробвате да филтрирате по мак адрес през филтъра на самият бридж:

/interface bridge filter add chain=input action=drop in-interface=ether5 in-bridge=bridge_lan src-mac-address=11:22:33:44:55:66/FF:FF:FF:FF:FF:FF

/interface bridge filter add chain=input action=drop in-interface=ether5 in-bridge=bridge_lan src-mac-address=11:22:33:44:55:66/FF:FF:FF:FF:FF:FF

Замества те нужното - ин интерфейса е бридж порта/етернет порта/ на който е свързано APто, избирате и бриджа, замествате мак адреса!

Може ли малко допълнителна информация защото не се ориентирам, благодаря.

[JohnTRIVOLTA]

Преди 7 часа, sauronnet написа:

Може ли малко допълнителна информация защото не се ориентирам, благодаря.

Кое точно не е ясно? Имате бридж меню, където имате филтър, който трябва да ползвате!

Може да позволите необходимите мак адреси и всичко друго да забраните.

Сега също се сещам, че ако искате само определени мак адреси да получат адрес от DHCP Server може да опишите статични leases и да му кажете само тях да раздава static-only на сървъра!

Редактирано 7 Януари, 2023 от JohnTRIVOLTA

[sauronnet]

Преди 16 часа, JohnTRIVOLTA написа:

Кое точно не е ясно? Имате бридж меню, където имате филтър, който трябва да ползвате!

Може да позволите необходимите мак адреси и всичко друго да забраните.

Сега също се сещам, че ако искате само определени мак адреси да получат адрес от DHCP Server може да опишите статични leases и да му кажете само тях да раздава static-only на сървъра!

А в случай, когато устройството ( компютър, лаптоп) е със зададено статично IP от самата ОС, тогава реално не се вижда в DHCP сървъра на LEASES.

В този случай такова устройство ще може ли да се свърже с мрежата (реално то вече си има IP и DHCP сървъра няма нужда да му назначава такова)

 

[JohnTRIVOLTA]

Задаване статично на лизовете е в рутера или казaнаo по друг начин резервиране на IP адрес към мак адрес, като целта е DHCP  да раздава само тях -резервираните /address pool=static only в DHCP Server/. Така дори някой да се свърже друг неописан клиент, жично или безжично, той няма да получи IP адрес!

 

Редактирано 8 Януари, 2023 от JohnTRIVOLTA

[sauronnet]

Преди 11 часа, JohnTRIVOLTA написа:

Задаване статично на лизовете е в рутера или казaнаo по друг начин резервиране на IP адрес към мак адрес, като целта е DHCP  да раздава само тях -резервираните /address pool=static only в DHCP Server/. Така дори някой да се свърже друг неописан клиент, жично или безжично, той няма да получи IP адрес!

 

Да-това го разбирам, но това, което питам е :

В моя случай имам жично свързан DVR със зададено статично IP от настройките на самия DVR - 192.168.1.9, което IP не фигурира в DHCP Leases в Mikrotik. Също така имам windows базиран компютър отново със зададено IP от самия windows и той отново не се вижда в самия микротик DHCP сървър. ( и двете устройства са си в мрежата и имат достъп до интернет). -  Виждат се в микротик единствено в IP/ARP list.

Тогава ако реално се каже DHCP допуска само мак-адреси с вече зададени статични IP-та назначени от самия DHCP, устройствата, които до момента са си работели без нуждата от DHCP би трябвало да "зобиколят" ограничението според мен .. -бъркам ли ?

[JohnTRIVOLTA]

преди 45 минути, sauronnet написа:

Да-това го разбирам, но това, което питам е :

В моя случай имам жично свързан DVR със зададено статично IP от настройките на самия DVR - 192.168.1.9, което IP не фигурира в DHCP Leases в Mikrotik. Също така имам windows базиран компютър отново със зададено IP от самия windows и той отново не се вижда в самия микротик DHCP сървър. ( и двете устройства са си в мрежата и имат достъп до интернет). -  Виждат се в микротик единствено в IP/ARP list.

Тогава ако реално се каже DHCP допуска само мак-адреси с вече зададени статични IP-та назначени от самия DHCP, устройствата, които до момента са си работели без нуждата от DHCP би трябвало да "зобиколят" ограничението според мен .. -бъркам ли ?

Резервирането на адрес в DHCP не е ограничение, а разрешение кой да вземе автоматично IP адрес с цел да се предотврати случаен клиент да стане част от L3 мрежата. Ако искате и ограничение говорихме вече за филтъра в бриджа, а ако искате тотално управление може да премините и към статични записи в ARP!

[111111]

Опитваш да обединиш 2 различни системи като игнорираш едната.

Ако тп-линк-а няма безжично криптиране през радиус начинанието се обезсмисля.

[sauronnet]

На 8.01.2023 г. at 14:06, JohnTRIVOLTA написа:

Резервирането на адрес в DHCP не е ограничение, а разрешение кой да вземе автоматично IP адрес с цел да се предотврати случаен клиент да стане част от L3 мрежата. Ако искате и ограничение говорихме вече за филтъра в бриджа, а ако искате тотално управление може да премините и към статични записи в ARP!

Колега виждам, че си доста на ясно с микротик и отделяш внимание на повечето въпроси и даваш компетентно мнение, разбирам, че по някога е изнервящо да те питат едно и също, но това е от гледната точка на човека на който са му ясни нещата. - ние сега се учим и за това сме и в темата за начинаещи !!!

Все пак с риск да ти е досадно, аз отново ще помоля за по-подробна информация (конкретните стъпки за използване на филтър в бридж ) относно това, което искам да направя. А то е :

1- ви рутер микротик.

2-ри рутер Тплинк конфигуриран като AP.

Искам микротика да филтрира по мак адрес самия лан порт на който е закачен AP така че клиент закачен без значение на лан или wifi към AP да има мрежа само ако мак адреса е разрешен в микротика. 

Ако имаш желание и нерви ще съм благодарен. Благодаря и поздрави

На 9.01.2023 г. at 9:01, 111111 написа:

Опитваш да обединиш 2 различни системи като игнорираш едната.

Ако тп-линк-а няма безжично криптиране през радиус начинанието се обезсмисля.

Да разбирам че няма как да вържа AP след микротика и то да е с рестрикцийте и защитата на микротика. Идеята ми е да си разширя wifi то защото 2011 ми е малко слабичко като добавя AP като същевременно запазя защитена мрежата си

[111111]

преди 14 минути, sauronnet написа:

Да разбирам че няма как да вържа AP след микротика и то да е с рестрикцийте и защитата на микротика. Идеята ми е да си разширя wifi то защото 2011 ми е малко слабичко като добавя AP като същевременно запазя защитена мрежата си

Разбери го че на лан порта на микротика, някой е сложил един суич, на който се боцкат знайни и незнайни елементи.

Ограничи достъпа с DHCP като окажеш достъп само на описаните в leases, като това само няма да дава адреси

Зависи в каква среда се ползва има доста различни похвати.

Ако е за в къщи няма смисъл.

[JohnTRIVOLTA]

Преди 3 часа, sauronnet написа:

.....то искам да направя. А то е :

1- ви рутер микротик.

2-ри рутер Тплинк конфигуриран като AP.

Искам микротика да филтрира по мак адрес самия лан порт на който е закачен AP така че клиент закачен без значение на лан или wifi към AP да има мрежа само ако мак адреса е разрешен в микротика. 

Ако имаш желание и нерви ще съм благодарен. Благодаря и поздрави

Ами отиваме на филтриране от бриджа. Свържи всички клиенти на тп-линка. После от интерфейси, бридж, хостс ще видиш всички нужни мак адреси на клиентите. На всеки адрес ще добавиш такова правило, като заместваш адреса който е с нулите и вход интерфейса, ако не е свързан тплинка на етер5 също ще го подмениш с нужният:

/interface/bridge/filter/add chain=input in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Като добавиш всички адреси последно добавяш това правило:

/interface/bridge/filter/add chain=input in-interface=ether5 action=drop

После същата процедура с адресите , като добавяш всичко това и със следното правило:

/interface/bridge/filter/add chain=forward in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Последно добавяш правило:

/interface/bridge/filter/add chain=forward in-interface=ether5 action=drop

Мисля ти стана рзбираема логиката: първо разрешаваме на вход и накрая блокираме всичко останало, после и за преминаващата верига е същото!

Редактирано 10 Януари, 2023 от JohnTRIVOLTA

[stancheff]

Преди 12 часа, JohnTRIVOLTA написа:

Ами отиваме на филтриране от бриджа. Свържи всички клиенти на тп-линка. После от интерфейси, бридж, хостс ще видиш всички нужни мак адреси на клиентите. На всеки адрес ще добавиш такова правило, като заместваш адреса който е с нулите и вход интерфейса, ако не е свързан тплинка на етер5 също ще го подмениш с нужният:

/interface/bridge/filter/add chain=input in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

/interface/bridge/filter/add chain=input in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Като добавиш всички адреси последно добавяш това правило:

/interface/bridge/filter/add chain=input in-interface=ether5 action=drop

/interface/bridge/filter/add chain=input in-interface=ether5 action=drop

После същата процедура с адресите , като добавяш всичко това и със следното правило:

/interface/bridge/filter/add chain=forward in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

/interface/bridge/filter/add chain=forward in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Последно добавяш правило:

/interface/bridge/filter/add chain=forward in-interface=ether5 action=drop

/interface/bridge/filter/add chain=forward in-interface=ether5 action=drop

Мисля ти стана рзбираема логиката: първо разрешаваме на вход и накрая блокираме всичко останало, после и за преминаващата верига е същото!

 

Тука има една подробност. Трябва на телефончетата на всички, които ще имат достъп до тази мрежа, влезеш и да изключиш рандомизирането на мак адреса

[sauronnet]

преди 51 минути, stancheff написа:

 

Тука има една подробност. Трябва на телефончетата на всички, които ще имат достъп до тази мрежа, влезеш и да изключиш рандомизирането на мак адреса

Това е полезно.

Преди 13 часа, JohnTRIVOLTA написа:

Ами отиваме на филтриране от бриджа. Свържи всички клиенти на тп-линка. После от интерфейси, бридж, хостс ще видиш всички нужни мак адреси на клиентите. На всеки адрес ще добавиш такова правило, като заместваш адреса който е с нулите и вход интерфейса, ако не е свързан тплинка на етер5 също ще го подмениш с нужният:

/interface/bridge/filter/add chain=input in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

/interface/bridge/filter/add chain=input in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Като добавиш всички адреси последно добавяш това правило:

/interface/bridge/filter/add chain=input in-interface=ether5 action=drop

/interface/bridge/filter/add chain=input in-interface=ether5 action=drop

После същата процедура с адресите , като добавяш всичко това и със следното правило:

/interface/bridge/filter/add chain=forward in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

/interface/bridge/filter/add chain=forward in-interface=ether5 src-mac-address=00:00:00:00:00:00/FF:FF:FF:FF:FF:FF action=accept

Последно добавяш правило:

/interface/bridge/filter/add chain=forward in-interface=ether5 action=drop

/interface/bridge/filter/add chain=forward in-interface=ether5 action=drop

Мисля ти стана рзбираема логиката: първо разрешаваме на вход и накрая блокираме всичко останало, после и за преминаващата верига е същото!

Благодаря за наистина изчерпателното обяснение и отделеното време. Поздрави.

[stancheff]

Преди 23 часа, sauronnet написа:

Това е полезно.

Благодаря за наистина изчерпателното обяснение и отделеното време. Поздрави.

Нещата напоследък се променят драматично. Ето документацията за рандомизацията на MAC адреса за Android

https://source.android.com/docs/core/connect/wifi-mac-randomization-behavior

Основното, което трябва да се знае:

For Android 10 and 11, the framework uses persistent randomization for all networks when MAC randomization is enabled.

Това накратко означава, че ако си закачен за някаква мрежа, MAC адреса няма да се променя докато не се ресетне телефона, макар че си е генериран случайно. За android 12 и нататък вече важи друго:

Under the non-persistent randomization type, which is used for some networks in Android 12 or higher, the Wi-Fi module re-randomizes the MAC address at the start of every connection or the framework uses the existing randomized MAC address to connect to the network. The Wi-Fi module re-randomizes the MAC address in the following situations:

The DHCP lease duration has expired and more than 4 hours have elapsed since the device last disconnected from this network.

The current randomized MAC for the network profile was generated more than 24 hours ago. MAC address re-randomization only happens at the start of a new connection. Wi-Fi won't actively disconnect for the purpose of re-randomizing a MAC address.

If none of these situations apply, the framework uses the previously randomized MAC address to connect to the network.

Това, което правеше Apple преди години с рандомизацията на MAC адреса, сега става стандарт за Android, но ако имате старо телефонче, което не се ъпдейтва вече, няма опасност да ви се смени мак адреса.