MikroTik - zablokování přes MAC adresu

[Le_Ze]

Dobrý den.
Jak zablokovat noťas, který se muže připojit jak přes lan, tak přes wifi?
Potřebují, aby neměl přistup ani do vnitřní sítě.
Děkují.

[Reklama]

[Klupik]

Ve firewallu v záložce Advanced je možnost source mac address. Tak udělat drop pravidlo pro tuto MAC.

[Le_Ze]

To už jsem zkoušel.
https://mo-nirul.blogspot.com/2019/03/mikrotik-block-user-by-mac-address.html?m=1

Furt mám IP a mužu se hrabat ve vnitřní siti, jen mi nejede net.

[5nik]

Opět dotaz bez více informací. Budu předpokládat, že se jedná o domácí wifi router, ke kterému napřímo (bez dalšího switche) připojujete notebook - ať už kabelem nebo přes WiFi.
Tento wifi router obsahuje interní switch (bridge), který propojuje zařízení na vnitřní síti. Pokud chcete daný notebook blokovat i ve vnitřní síti, musíte tak učinit již na tomto switchi (bridge). Takže obdobné pravidlo jako ve firewallu vytvořte i v sekci Bridge -> zál. Filters a opět Drop pravidlo pro chain Forward.
Jen upozorňuji, že MAC adresa notebooku bude na LAN jiná než WiFi (tedy budete blokovat dvě MAC adresy). Druhak Vám to může zkomplikovat generování náhodných MAC adres pro WiFi ve Win 10 (lze zapnout). V neposlední řadě, MAC adresa na síťovkách se dá změnit a lehce blokování obejít.

[Le_Ze]

Ono to je v praci.
Mikrotik je v technické mistnosti.
Od něj je UTP do kanclu, kde je routr TP-link s wifi a s vypnutým DHCP, takže IP přiděluje mikrotik.

[Reklama]

[5nik]

Tak to máte smůlu, musel byste blokovat MAC adresu notebooku už na tom TPlinku. Na mikrotiku můžete blokovat co chcete, ale minimálně na zařízení zapojené do stejného TPlinku se z toho notebooku dostanete.

[3ugeene]

pokud je tplink v modu AP, tak se to prehazuje na mikrotik a melo by stacit blokovani na nem

[Le_Ze]

IP - DHCP server.
Když nastavím počitači static, tak mám v general block access
To je na co? Jsem myslel, že to zablokuje mac, a níc.

[matusK]

Jak je na tom ten tplink s vlan?

Nejspolejlivejsi by bylo uzavrit ho do samostatne vlan, kde nic jineho nebude a tim padem se nikam nedobusi.
Zalezi od tplinku, jestli to bude fungovat, hledej Mac-based vlan at vis co chces nakonfigurovat.

[3ugeene]

IP adresa neni MAC adresa

[Le_Ze]

Tak už jsem to vyřešil.

[3ugeene]

tak to je super.

Hlavne se s nama, prosimte, nedel o reseni, to by bylo neslusny.

[Le_Ze]

Ono stači nastavit static IP a zadat IP mimo rozsah DHCP a jelikož žadný DHCP servr v tom rozsahu nemám, žadnou IP nedostane.

Nebo vytvořit dalši DHCP servr v jiném rozsahu ve kterem nejede net.
Každy kdo se připojí, dostane IP v jinem rozsahu než jsou zařizení a net vyply.
Pokud ho chcí povolit, stači mu podle MAC nastavit static IP a zadatt IP v tom funkčním subnetu.

 
Když mám seznám MAC adres všech co mužou na internet, da se někde povolit jen tyto MAC a zbytek drop? Na firewallu se da zadat jen jedna.

[5nik]

Blokování na základě IP adres je ještě naivnější než dle MAC adres. Blokace přístupu i do lokální sítě na hraničním routeru postrádá smysl (měla by smysl pouze za specifických podmínek). Změnit / nastavit IP nebo MAC na klientovi je snadné, a odradí to leda BFU. Pro řízení přístupu do lokální sítě (ať už LAN či WLAN) se používá 802.1x (raidus), nejlépe v kombinaci s VLAN, ale na to už je třeba připravená infrastruktura.

[Marek Staněk]

Ono to je v praci.
Mikrotik je v technické mistnosti.
Od něj je UTP do kanclu, kde je routr TP-link s wifi a s vypnutým DHCP, takže IP přiděluje mikrotik.

No, a jak moc je nereálný mu ten TPlink nahradit mikrotikem Mikrotik RB931-2nD a na něm ho zavřít?