Přidat článek mezi oblíbenéZasílat nové komentáře e-mailem MikroTik jako SOHO router - 7 - omezení WiFi pro zařízení v daném čase

Navážu na předchozí článek, ve kterém jsme plánovaně úplně vypínali a zapínali WiFi kartu na routeru. V dnešním článku se podíváme na odlišný přístup - omezíme vyjmenovaným zařízením v určité hodiny přístup k síti.

Tento přístup se dá použít např. k umravnění potomků, kdy místo školy věnují veškerý čas hlazení mobilu nebo brouzdání na notebooku/tabletu. Prvotní reakce byly typicky teenegerské, ale za čas si dcera na režim zvykla a měla najednou spoustu volného času, který věnovala kromě školy i třeba čtení, malování, pobytu na čerstvém vzduchu...
Článek je pojmenovaný jako "omezení WiFi", ale ve skutečnosti omezujeme libovolnému klientovi, ať je připojený kabelem nebo přes WiFi v daném čase přístup k síti.

1. Výběr zařízení a přidělení statických IP adres

V tomto kroku vybereme všechna zařízení, se kterými budeme pracovat a v DHCP serveru jim přidělíme statické IP adresy. Z pohledu koncového zařízení se nic nezmění, ale server jim vždy přidělí stejnou IP adresu. Adresy si poskládáme za sebou. Výsledkem bude rozsah IP adres, který pak použijeme v pravidle ve firewallu.

Půjdeme přes menu IP / DHCP na záložku Leases.
Zaříení, které mají v prvním sloupečku písmenko "D" mají IP adresu.
Najdeme si všechna zařízení, které chceme omezovat, rozklikneme a nastavíme jim statickou adresu kliknutím na tlačítko "Make static" (případně přes pravé tlačítko myši z kontextové nabídky).

[85024-mikrotik7-1-png]

Okno se zařízením zavřeme a znovu otevřeme. Dostaneme se k ručnímu nastavení, kam zadáme IP adresu z rozsahu, který jsme si určili. Doporučuji vyplnit i komentář a napsat tam popis, ať víme, o jaké zařízení jde.

[85025-mikrotik7-2-png]

Výsledek pak může vypadat třeba následovně. Jediné, co potřebujeme pro další krok je zapamatovat si rozsah adres, které jsme nastavili.

[85026-mikrotik7-3-png]

2. Nastavení pravidel ve firewallu

Druhým krokem bude nastavení pravidel, kde určíme časy, kdy bude WiFi pro daný rozsah adres dostupná.
Pravidla nastavujeme v menu IP / Firewall na záložce Filter rules. Po vytvoření pravidla umístíme někam před poslední pravidlo DROP, které zahazuje vše, co neprojde předchozími pravidly.

Já (jako pán firewallu) jsem se rozhodl, že WiFi bude dostupná od 6:00 - 12:00 a 18:00-23:00. Pomocí pravidel si můžete nastavit jiný rozsah v pracovní dny a jiný o víkendu.
Ve firewallu nepovolujeme, ale zakazujeme, tak bude třeba nastavit 3 pravidla pro zákaz (nejde nastavit pravidlo přesahující půlnoc):
1. 00:00 - 6:00
2. 12:00 - 18:00
3. 23:00 - 23:59
Jako příklad uvedu pravidlo pro nastavení zákazu v době 12:00 - 18:00. V pravidle nás budou zajímat záložky:
General - nastavení rozsahu IP adres

[85027-mikrotik7-4-png]

Extra - nastavení časového intervalu platnosti pravidla

[85028-mikrotik7-5-png]

Action - nastavíme, co se v době platnosti pravidla bude dít. Pro zamezení jsem použil REJECT s důvodem, že síť je nedostupná. Je možné použít i prosté DROP.

[85029-mikrotik7-6-png]

A zde je pak výsledek. V době, kdy jsem článek psal (9:28) nebylo v platnosti žádné ze 3 pravidel a firewall nám to oznámí, že pravidlo je mimo aktivní čas. Opět doporučuji psát komentáře, aby bylo na první pohled jasné, k čemu pravidlo slouží.

[85030-mikrotik7-7-png]

Závěr

Jak vidíte, jde o logické kroky - vytvořím si podmínky, abych mohl definovat pravidlo a pak jen vytvořím pravidla ve firewallu dle potřeby. Nejsou nutné žádné hluboké znalosti sítí, vše jsem jednoduše a rychle "naklikal".
Výsledkem je, že pokusy o komunikaci pro zařízení z daného rozsahu jsou odmítnuty. Pravidla by se dala zadat i tak, že bude odmítnut jen přístup ven (mimo vnitřní síť) a přístup do vnitřní sítě zůstane zachován, takže by bylo možné využívat zábavu z DLNA serveru apod. Ale to by v mém případě neplnilo výchovný účel.

Přehled kapitol

Kapitola první - základní nastavení routeru a připojení vnitřní sítě k internetu
Kapitola druhá - vzdálený přístup pro správu a pravidla pro přesměrování portů
Kapitola třetí - wifi síť pro návštěvníky
Kapitola čtvrtá - více routerů v síti
Kapitola pátá - wifi roaming
Kapitola šestá - plánované vypnutí/zapnutí WiFi
Kapitola sedmá - omezení WiFi pro zařízení v daném čase
Kapitola osmá - hlídání zařízení s notifikací mailem

Mikrotik HAP Lite a nedostatek místa pro update

Předmět Autor Datum
Ahoj, podle postupu jsem vše nastavil a funguje pouze blokace ven tj. Děti se nedostanou na Net, ale…
Kure76 10.02.2020 22:57
Kure76
To zalezi aj od zlozitosti siete...ak ma siet spravenu tak, ze packet nejde cez branu (MT) tak ho sa…
fleg 19.02.2020 18:00
fleg
Dobrý den, vše jsem nastavil, ale stále to nefunguje na synově NTB. Má win 11 a má u wifi nastavené…
fitales 02.04.2023 08:51
fitales
Pak na to je mozne jit jinak. Povolit pouze staticke adresy, vse ostatni blokovat. Pokud chce menit…
JaFi 02.04.2023 09:29
JaFi
No to mě taky napadlo, ale všem zařízení dávat IP adresu se mi moc nechce, těch zařízení je asi 40.…
fitales 04.04.2023 18:20
fitales
Vzdyt je to u kazdeho zarizeni jen kliknuti na "make static", pripadne rucni nastaveni ip adresy, po… poslední
JaFi 04.04.2023 20:16
JaFi

Dobrý den,
vše jsem nastavil, ale stále to nefunguje na synově NTB. Má win 11 a má u wifi nastavené "měnit hardwerovou adresu při každém přihlášení k síti" Takže ho mikrotik vidí pokaždé jako jiný počítač. Jediné co zůstává pokaždé stejné je active host name. Jde na základě tohoto udělat statická IP?

díky

Pak na to je mozne jit jinak.
Povolit pouze staticke adresy, vse ostatni blokovat.
Pokud chce menit MAC adresu, pak se na sit vubec nedostane. Bude zalezet na nem, jestli bude respektovat pravidla nebo ne. Jestli si tu zmenu vypne a pak se dostane ve stanoveny cas nebo si zmenu MAC adresy necha a pak se na sit nedostane vubec.

Zpět na články Přidat komentář k článku Nahoru