Mikrotik - prehlad, spravovanie wifi klientov
Pozeram na ten 951, a chcem sa spytat na dve veci:
- mam pridelene staticke ip "domacim", ostatni dostanu z DHCP, avsak kam som pozrel, sa zobrazuju podla MAC, napr. statistiky v quick set - existuje nejaka moznost pridelit jednotlivym IP nejaky popis(komu je pridelena IP), ktory by sa zobrazoval pripadne napriec celym mikrotikom? vlozenim do comment sa to tyka len daneho okna.
- existuje nejaka jednoducha moznost docasne zablokovat aj momentalne NEPRIHLASENEHO uzivatela (na zaklade MAC, pripadne IP ) ? napriklad mobil dietata a pod. D.
Definuj, co vlastne chces.
Zablokovat uzivatela mozes na fw cez ip aj mac.
Pisu o WinBox, ve WebFig je to podobné.
Samozrejme tato moznost popisu existuje.
V IP / DHCP server / leases
Pres pravou mys zrus zatrzeni u "don't inline comments" - zda se mi to prehlednejsi na jednom radku
Pres pravou mys / Show columns si vyhod udaje, ktere nepotrebujes
Pak si pres komentar (ikonka nebo Ctrl+M) pridej popis.
Co se týká zakázání, můžeš využít opět seznam klientů v DHCP / Leases. Když si klienta rozklikneš, je tam zaškrtávátko "Blocked"
Další možnost je blokování přes firewall:
Pokud máš seznam, kterým chceš dovolit přístup, pak můžeš použít Wireless / Access list
Nikdo mimo seznam se k WiFi nepřipojí
Dik, za info . . . presne tak to zatial mam, v L|eases mam pridany komentar, ale ten sa tyka len tohto okna. Napr. v Quick setup je dole taky rychly nahlad na pripojenych klientov, co sa tyka signalu atd . . . a tam je len MAC. Idealne by bolo, ak by som si vedel k MAC adrese zadat nejake info, ktore by sa tahalo napriec celym programom.
Co sa tyka blokovania klienta, zda sa mi ze schodna cesta bude len cez firewall, skusal som myslim ze to bolo zrovna v Leases, zablokoval som TV, a on sa tam o chvilku objavil s adresou pridelenou z DHCP. Ako keby sa blocked tykalo nie MAC, ale len statickej IP v zmysle "tuto IP nepridelovat".
Ak uz je zariadenie prihlasene a ma IP tak blocked nezabrabi pristupu na internet . . .
Zablokování ve FW MIkrotiku ti nefunguje? Podle mě musí.
action:drop
chain: forward
src.address: IP zařízení, kterému chceš internet zakázat
na firewale hej, toto som myslel na IP DHCP server Leases . . . tam ken ho zablokujem, ama uz IP, tak normalne bezi dalej . . . ak nema, tak nedostane staticku, ale dostane dynamicku z dhcp . . . preto som pisal, ze to je len zablokovanie IP
Tak je to len na 50% . . . internet nejde, ale spravy cez messenger sa daju posielat . . .
A o cem ted pises?
Pokud jsi to udelal spravne ve firewallu na MAC adresu, pak ma kompletne zablokovany internet a nedostane se nikam.
zablokoval som to na firewale podla MAC, ale syn tvrdi ze cez messenger normalne pise, aj mu odpovedaju . . . www ale nenacita . . .
Já nevím, ale není blokování MAC adres zbytečné, když ta lze snadno(?) změnit?
https://www.google.com/search?q=change+mac+address &ie=utf-8&oe=utf-8
Co postupovat obráceně, zakázat všechno a vytvořit si whitelist?
to nemozem, ked pridu kamarati deti, alebo nasi . . . to potrebujem vynimocne, napr ked by sa mali ucit na pisomku , ale kludne to zase moze byt dva tri styri dni . . . mozem vyrobit druhu wifi - detsku, ale ked budem chciet zablokovat len jedno dieta . . . ?
A ten filtr jsi na firewallu zařadil kam? I pořadí hraje roli. Měl bys jej mít někde na začátku, protože poslední výchozí řádka ve firewally povoluje vše, co není před tím zakázané
Píšeš ,že messenger mu funguje. Nefunguje náhodou přes telefon a nemá nějaký datový tarif, který mu povoluje třeba FB zdarma? Pak nejede přes tvůj MT, ale přes telefon.
Problem moze byt skor v protokole (zakazal tcp, ale udp nie).
Vseobecny postup ako rychlo a lahko vytvorit pravidla pre domacu siet je asi takyto.
Vytvorim si zoznam povolenych ip a tymto ip akceptjem forward. Posledny forward bez ip dropnem. V pripade, ze chces povolit dalsiu ip musis dalsie pravidlo dat nad drop, pretoze Mikrotik cita pravidla odspodu smerom na vrch a dalsie pravidlo "prepisuje" predchadzajuce. Preto ako posledny musi byt vzdy drop pre vsetkych a nad neho potom povolujes konkretne ip, cim tento drop obchadzas.
V pripade, ze dieta ma zle vysledky v skole staci ak jeho ip/pravidlo disablujes na fw a na net sa nedostane, ak sa zlepsi das len enablew a net mu zase pojde.
Niektore programy mozu naozaj vyuzivat okrem tcp aj udp protokol, takze je dobre zablokovat preventivne aj tento.
hej, nasiel som tam aj polozku, ze ktory protokol, myslell som ze ked to nevyplnim, zablokuje vsetky . . . ked som pokusne zadal allp2p, tak sa dostal aj na www . . . dalej som neskusal, ktory by to mohol byt . . . bolo ich tam snad 10 . . . aj tcp, udp . . .
Pokud protokol neuvedes, funguje na vse
aha, no filter je na konci . . . ale www nejde
urcite nefunguje cez data, bo sa tam neda dat SIM, iba wifi . . . a urcite je len na nasej, lebo vsetko naokolo je zaheslovane
Posun jej klidne na zacatek.
Posunul som a zda sa ze funguje . . .
A normální osobní kontakt u vás doma nefunguje? Možná se snažíš technicky řešit něco, na co stačí ústa a uši
Taky se dá wifi před písemkou úplně vypnout, ty se můžeš připojit ethernetem.
ale ano, osobny kontakt je OK, ale jednoducho decka su decka . . . ved to poznam podla seba
Este by som sa spytal . . . vytvorim im druhu wifi (pre hosti) ale chcem ju zapnutu v prac dni od - do, ale v so-ne (vikend) ine v hodiny . . . nasile som aj nejake skripty ktore by som si snad upravil, ale vzdy sa jednalo len od - do, bez rozlisenia dni . . .
Na Mikrotik existuje kopec skolenie, na nejake sa prihlas, pretoze ty chces uz skriptovat a to sa moze lisit aj podla verzie ROS a navyse to uz je vyssia skola manazmentu Mikrotiku, to ti tu tazko niekto poradi, ci spravi.
Teda za prachy ano samozrejme;o).
na tohle neni treba delat skripty. Proste pridej do firewallu pravidla, ktera zakazi provoz na siti pro hosty v urcitych dnech a casech. Pravidlo ve firewallu tohle vse umi. V podstate to same jako zakaz te MAC adresy, jen tam budes mit v pravidle misto MAC adresy rozhrani wifi pro hosty a casy a drop.
pozriem . . . inac nasiel som skript, teda dva, vypnut, zapnut, ktory spusta shceduler, len su tam napevno hodiny na vely tyzden . . . ak by som vedel premenne ktore pouzit na dni v tyzdni, mozno by sa mi to podarilo upravit
ale pozriem do toho firewalu . . . dik.
Klidne si zaloz 10 pravidel, ktere ve vysledku zakazou casy, ktere chces. Mikrotik to zvladne. Podle mne budou stacit 3 pravidla.
Zaloz si pravidlo, ktere to bude blokovat v noci - to bude spolecne pro cely tyden
Zaloz si druhe pravidlo, ktere to bude blokovat pres den ve vsechnich dnes
Zaloz si treti pravidlo, ktere bude blokovat zbyvajici cas jen o vikendu
pozeral som vecer na to, a hej, da sa to, aj to som odskusal, v jednom je to lepsie ako bvypinat klientske wifi - nedostanu sa ani na pc pripojene ethernetom, v druhom zlozitejsie ak bude treba zakaz vypnut - viac klikania . . . adresy som supol do Listu a nad casmi budem musiet porozmyslat ako to co najjednoduchsie, pripadne najintuitivnejsie urobit . . . takze tadialto vedie cesta (zatial) dik . . .
Pravidlo se dá deaktivovat - jedno kliknutí.
ano, lenze jedno pravidlo je od polnoci do rana do siedmej, druhe od osmej do 21, tretie od 21 do polnoci . . . plus este dve na vikend takze ich je spolu 5 ale maka to . . .
Bohuzial nenasiel som sposob, ako to zablokovat cez polnoc . . . napr od 21.00 - 07.00 . . . musim do polnoci, a od polnoci . . .
Ano, to musis. Ale tyhle 2 pravidla v podstate zakazovat nemusis a budou platit cely tyden.
Pak budes mit jedno pravidlo pro vsechni dny a druhe pravidlo pro vikend na dobu mezi tim. A kliknutim povolis jen to, ktere potrebujes.
Dalsi moznost je mit jedno pravidlo, ktere si rozkliknes a zrusis zasrkrtnuti u dne, ktery chces povolit.