Фильтрация гостевая/домашняя сеть по МАС

[Evgen Storm]

Проблема заключается в том, что распихать беспроводные устройства по домашней/гостевой сетям не проблема. В Keenetic`e можно принудительно распихать их по сетям.

А вот с проводными устройствами - засада. Возможно назначение гнезда для гостевой сети, но на практике устройства подключаются через 25 коммутаторов, один провод идёт в офис, оттуда на 2 компьютера и ещё один в следующий офис, там и hot-spot может быть, и компьютер директора и ещё провод к кассе оттуда идёт.. И вот разобраться с этим зоопарком можно либо тянуть связку проводов по всем офисам, до каждого устройства, либо фильтрацией по мас-адресу. Допустим, в Интернет - всем, а вот к серверу 1С - только определённым ПК.

Поэтому и просьба сделать сортировку домашняя/гостевая сеть проводных устройств по МАС-адресу. Вариант другой подсети - это на каждом компьютере вручную прописывать надо.

[r13]

Как вариант использовать VLANы, по другому не получится имхо, так как они по любом физически в одной широковещательной сети находятся. 

Изменено 23 октября, 2018 пользователем r13

[vasek00]

1 час назад, Evgen Storm сказал:

Проблема заключается в том, что распихать беспроводные устройства по домашней/гостевой сетям не проблема. В Keenetic`e можно принудительно распихать их по сетям.

 И вот разобраться с этим зоопарком можно либо тянуть связку проводов по всем офисам, до каждого устройства, либо фильтрацией по мас-адресу. Допустим, в Интернет - всем, а вот к серверу 1С - только определённым ПК.

Так как устройство зарег. и естественно ПРИВЯЗАН К МАС IP адрес для данного клиента, то вы имеете возможно блокировать на странице "Правило межсетевого экрана" для "Домашней сети" выбрав адрес:порт как источника так и получателя, вытащив сервер из сегмента дом.сети.

Изменено 23 октября, 2018 пользователем vasek00

[Evgen Storm]

38 минут назад, r13 сказал:

Как вариант использовать VLANы

Так вот для этого и нужно делать фильтрацию либо по портам, либо по подсетям, либо по mac. По портам - никак, по подсетям - ручками, а по mac - нет возможности.

[vasek00]

5 минут назад, Evgen Storm сказал:

Так вот для этого и нужно делать фильтрацию либо по портам, либо по подсетям, либо по mac. По портам - никак, по подсетям - ручками, а по mac - нет возможности.

Это не то

 

[Evgen Storm]

7 минут назад, vasek00 сказал:

Так как устройство зарег. и естественно ПРИВЯЗАН К МАС IP адрес для данного клиента, то вы имеете возможно блокировать на странице "Правило межсетевого экрана" для "Домашней сети" выбрав адрес:порт как источника так и получателя.

Да, так можно. Но не наглядно.

[r13]

4 минуты назад, Evgen Storm сказал:

Так вот для этого и нужно делать фильтрацию либо по портам, либо по подсетям, либо по mac. По портам - никак, по подсетям - ручками, а по mac - нет возможности.

деление на домашнюю/гостевую определяется физическим подключением к сети, поэтому даже присвоив гостевому клиенту домашний ip он от этого в другом сегменте не окажется, это просто разные категории. 

[Evgen Storm]

5 минут назад, vasek00 сказал:

Это не то

Для этого нужно знать IP устройства. Т.е. - прощай DHCP, иди прописывай ручками. Так это проще по разным подсетям разнести. Без всяких правил.

[vasek00]

2 минуты назад, Evgen Storm сказал:

Для этого нужно знать IP устройства. Т.е. - прощай DHCP, иди прописывай ручками. Так это проще по разным подсетям разнести. Без всяких правил. 

При использовании сети 10-20 клиентов нет не чего страшного да и лучше это, второе прописываете только на роутере, на клиентах по барабану, так как все равно получит то что "доктор прописал" на роутере (на клиентах можете оставить получать автоматически)

[r13]

В 23.10.2018 в 18:15, vasek00 сказал:

Так как устройство зарег. и естественно ПРИВЯЗАН К МАС IP адрес для данного клиента, то вы имеете возможно блокировать на странице "Правило межсетевого экрана" для "Домашней сети" выбрав адрес:порт как источника так и получателя, вытащив сервер из сегмента дом.сети.

надо пробовать, скорее всего трафик внутри сегмента в фильтр и не попадет

В 23.10.2018 в 18:30, Evgen Storm сказал:

Для этого нужно знать IP устройства. Т.е. - прощай DHCP, иди прописывай ручками. Так это проще по разным подсетям разнести. Без всяких правил.

почему же? как раз на dhcp и прописываете привязку ip к mac

Изменено 30 октября, 2018 пользователем r13

[Evgen Storm]

В принципе - да, надо попробовать. Спасибо за наводку.

Изменено 23 октября, 2018 пользователем Evgen Storm

[Evgen Storm]

Да, работает!

Но, согласитесь, было бы гораздо удобнее создавать группы VLAN с определёнными правилами (не одним, а с целой кучей), и относить к ним компьютеры по mac, чем каждому прописывать IP и каждому создавать 2-3 правила?

[r13]

58 минут назад, Evgen Storm сказал:

Да, работает!

Но, согласитесь, было бы гораздо удобнее создавать группы VLAN с определёнными правилами (не одним, а с целой кучей), и относить к ним компьютеры по mac, чем каждому прописывать IP и каждому создавать 2-3 правила?

Это уже не vlan  

vlan это виртуализация линков и по фиг кто там конечный клиент.

Изменено 23 октября, 2018 пользователем r13

[Evgen Storm]

Ну, да. Я имел ввиду виртуальные группы с определёнными правилами, между которыми компьютеры можно было бы перемещать одним щелчком мышки. Просто уже к вечеру устал немного

[Evgen Storm]

Вот, смотрите, как получается:

Где-то, на каком-то участке сети, через несколько коммутаторов, находится hot-spot. И все устройства, подключенные к нему имеют статус "Проводная сеть".

И проблема в том, что в настройках доступа для незарегистрированных устройств нет чекбокса "без доступа к локальной сети". Т.е. пусть они в интернете гуляют, но в локальной сети им делать нечего;

Теоретически, можно настроить DHCP для незарегистрированных устройств с определённой маской и эту подсеть обозначить гостевой. Но ведь может так случиться, что человек придёт с заранее настроенным IP  и свободно подключится к общей сети.

Или можно как-нибудь ещё ограничить доступ?

[r13]

10 минут назад, Evgen Storm сказал:

Вот, смотрите, как получается:

Где-то, на каком-то участке сети, через несколько коммутаторов, находится hot-spot. И все устройства, подключенные к нему имеют статус "Проводная сеть".

И проблема в том, что в настройках доступа для незарегистрированных устройств нет чекбокса "без доступа к локальной сети". Т.е. пусть они в интернете гуляют, но в локальной сети им делать нечего;

Теоретически, можно настроить DHCP для незарегистрированных устройств с определённой маской и эту подсеть обозначить гостевой. Но ведь может так случиться, что человек придёт с заранее настроенным IP  и свободно подключится к общей сети.

Или можно как-нибудь ещё ограничить доступ?

Вы опять пытаетесь придумывать костыли для задачи которая решается управляемыми комутаторами и распределением трафика по vlan. А в той картинке которую вы рисуете трафик даже не будет доходить до роутера а заворачиваться непосретственно на клиентов локальной сети на комутаторах. 

[Evgen Storm]

6 минут назад, r13 сказал:

А в той картинке которую вы рисуете трафик даже не будет доходить до роутера а заворачиваться непосретственно на клиентов локальной сети на комутаторах. 

Да, действительно. Туплю.