UniFi AP-LR 3-Pack и Фильтр Белых MAC-Адресов | Ubiquiti форум UBNT: инструкции, настройка

UniFi AP-LR 3-Pack и Фильтр Белых MAC-Адресов

igor.yasenik

новичок
19 Сен 2015
25
0
3
29
Здравствуйте!

Заранее извинюсь за то, что сделал новую тему, хотя даже в поиске я нашел несколько тем по этому вопросу. Но итог я так и не смог подвести...

Суть вопроса. Был приобретён UniFi AP-LR 3-Pack и на его основе построена бесшовная Wi-Fi на складе. Всё работает, отлично. Поднял контроллер на сервере. И в процессе настройки возникла проблема. До приобретения данной системы использовали обычный Wi-Fi с ключевой для нас функцией "Белого" фильтра MAC-адресов. После долгого изучения Web-интерфейса контроллера не увидел ничего похоже... Задался поиском на форуме. Нашел несколько вариантов, редактирование конфигов контроллера или добавление скриптов на питоне. Оба варианта так и не подтвердили свою работоспособность судя по топикам на форуме.

Собственно говоря, как реализовать фильтр "Белых" MAC-адресов на Ubiquiti UniFi AP-LR?
 
Автор
igor.yasenik

igor.yasenik

новичок
19 Сен 2015
25
0
3
29
Слышал про возможность привязку аутентификации к Радиус-серверу? Или это миф?
 
Автор
igor.yasenik

igor.yasenik

новичок
19 Сен 2015
25
0
3
29
Подождём ответа от официального представителя? В прошлой теме мне ответили. Дали очень четкий и внятный ответ!)
 
Автор
igor.yasenik

igor.yasenik

новичок
19 Сен 2015
25
0
3
29
Неужели никто не заморачивался с фильтрацией маков?
 
Автор
igor.yasenik

igor.yasenik

новичок
19 Сен 2015
25
0
3
29
Увы, моё руководство такой вариант не устраивает...
 

fractal90

участник
31 Мар 2015
181
6
20
Рулить на отдельном dhcp сервере, поднять к примеру его на Windows server 2008 или на микротике и включить фильтр по маку
 

ubnt.su

Administrator
1 Июн 2012
1.635
54
60
Радиус-сервер нужен для централизованной проверки логина-пароля. Виндовая АД - типичный пример юзе-френдли Радиус.
Фильтрация по макам не предполагает ввода логина-пароля.

Даже если вы её реализуете на микротике или где угодно внутри сети, то клиент по-любому сначала подключится к АР, а потом будет тупить без сети. Вам хотелось бы, как я понял, чтобы клиента не пускало в беспроводную сеть изначально.
Юнифай не такой, он юзер френдли.
 
Автор
igor.yasenik

igor.yasenik

новичок
19 Сен 2015
25
0
3
29
Меня устроит вариант и фильтрации за точной доступа. Но я так понимаю средствами Юнифай это не разрулить?
 

kot4600

участник
15 Мар 2013
89
7
10
Белгород
А чем вам удобна фильтрация по mac адресам ? почему выбран именно этот способ защиты, ведь он не самый безопасный.
Приходилось видеть как ушлые клиенты вылавливали и подменяли маки
 
Автор
igor.yasenik

igor.yasenik

новичок
19 Сен 2015
25
0
3
29
Каприз руководства!) Предложите альтернативные варианты, буду рад изучить их и предложить своему руководству!
 

kot4600

участник
15 Мар 2013
89
7
10
Белгород
неее..но каприз это не аргумент, :) . задача специалиста, убедить заказчика в необоснованности его желаний, если они действительно не обоснованные, и грамотно обосновать свое техническое решение, хотя это часто не просто, и кроме "хочу" "не хочу" упирается в деньги и возможности специалиста.
а вот если есть устройства которые не поддерживают аутентификацию по логину и паролю, или есть необходимость ограничить , доступ нежелательным устройствам (служебным можно, личным нельзя ), или есть опасность не санкционированного распространения пароля, тогда да, смысл есть. но в последнем случае проблему решил бы radius, с одной сессией для одного логина, и теоретически возможно привязать этот логин к маку.
чтоб, что то предлагать нужно знать подробную конфигурацию сети, и конкретные задачи. альтернативное решение наверняка есть.
 
Автор
igor.yasenik

igor.yasenik

новичок
19 Сен 2015
25
0
3
29
Ок. Поясню ситуацию. Склад с товаром. На складе работают служебные ноутбуки и терминалы сбора данных (ТСД). Но естественно у каждого сотрудника склада имеется телефон с Wi-Fi, а у некоторых даже ноутбуки с собой. И при утечке пароля, а такое периодически случается, канал начинает забиваться устройствами личного назначения. Поэтому ещё прошлым сисадмином было решено использовать фильтрацию по MAC. Были закуплены три точки D-Link им был присвоен одинаковый SSID и пароль. Но как вы все понимаете возникла проблема с разрывами при переходе от точки к точке. Я предложил UniFi как решение проблемы, так как ранее уже с ними работал. Установил, настроил, всё работает замечательно, роуминг отрабатывает на 5 баллов. Но возникла проблема с безопасностью. Периодически пароль утекает и приходится вручную "блочить" нежелательные устройства через контроллер UniFi...
 

Leonid2712

новичок
7 Окт 2015
132
7
0
Так для понятия как это все реализовать в системе UniFi
UniFi Controller.
при использовании UniFi Cloud Key
в нем все четко на русском разложено, и про бесшовные сети, а также тонкой настройки, регулирования пропускной способности, фильтрации по мак или айпи, выдчи гостевых допусков. а также много всего интересного о системе UniFi
По поводу утечки паролей это решене службы безопасности. Найти кто кому дал пароль и если ты системный администратор то твоя задача ловить таких и выяснять как попал к нему пароль. и сузить круг. Также сами устройства поддерживают передачу черных и белых листов через контроллер. Не думаю что занесенный 1 раз в черный лист Мак адрес появится снова. никто не меняет каждый день дорогой телефон или ноутбук, планшет.
 
Последнее редактирование:

kot4600

участник
15 Мар 2013
89
7
10
Белгород
Ну про службу безопасности вы загнули. В фирмах какого размера она появляется в штате? Да и про возможности сисадмина, он может быть приходящим , условно за 10 тыщь в месяц. Ему кого то бегать ловить совсем не вариант, проще включить голову и образование инженера, настроить и забыть.
Касательно вопроса топикастера. приходит на ум несколько решений:

- ограничить в сети с помощью фаэрвола, или аксес листов, доступ к ресурсам, что бы пропал доступ к публичному интернету, и как следствие интерес подключатся к сати с "личных" устройств, но это не решает вопрос безопасности.
- сделать привязку адресов выдаваемых по DHCP к mac адресам, но это тоже не много решает, грамотный пользователь, может найти решение для этого нехитрого ограничения
- настроить RADIUS, самый проблемный на мой взгляд вариант, и фик знает как это RADIUS будет работать. хотя подробных инструкций по настройке FreeRADIUS в сети достаточно.
-я бы попробовал решить подобную задачку через встроенную функцию Hotspot, раздал бы всем купоны, одна сессия один клиент. Сделал бы срок жизни купона 3 или 6 месяцев (можно больше или меньше, по необходимости ), а вообще на начальном этапе сделал бы время жизни купона у всех разное, что бы одновременно у всех не закончилось, и не парализовало работу предприятия.
А так закончится первый период у кого когда, а потом всем выдавать с одинаковым сроком жизни.
На контроллере после того как клиенты авторизуются пометить кто есть кто, что б отслеживать возможное использование купона на личных устройствах, при отключенных служебных. (увидел не подписанного нового клиента, чей купон известно, можно идти узнавать "что за дела" )
Но включенная функция Guest Policy накладывает определенны ограничения.
 
Последнее редактирование:
Автор
igor.yasenik

igor.yasenik

новичок
19 Сен 2015
25
0
3
29
Пока применил варварский способ. Завёл несколько групп пользователей. По умолчанию пользователи попадают в группу Default. Ограничил скорость для группы Default в 1 килобайт. К счастью прошли те времена, когда эта скорость представляла из себя хоть какой-то интерес. Идея с купонами интересная, но проблема в следующем, если одно из складских устройств хотя бы час не будет работать, у меня будут проблемы... А следить за сроками купонов желания нету. Поэтому всё-таки планирую танцы с радиусом... Proxy существует и ограничивает доступ в интернет, но руководству важно знать, что доступ нет и к локальным ресурсам...
 

tandw

новичок
2 Авг 2016
2
0
3
38
Присоединяюсь к теме. Хотелось бы получить фичу с мак адресами. Но пока её нет. Будем ждать. В данный момент я юзаю контроллер + Kerio Control. Kerio выступает в роли Radius сервера. Работает просто шикарно. Советую. Благо в инете есть свежие крякнутые версии Kerio.