 |
Вітаю Вас, Гість · RSS |
 |
Шифрування в Mikrotik
| |
kom_adm |
Дата: Su, 15.05.2011, 20:28 | Повідомлення № 1 |
Ветеран спілкування
Повідомлень: 3767
| В даній темі пропонується поговорити про можливі варіанти організації шифрування в Mikrotik 4.x В чому суть моєї проблеми? Маємо 40 клієнтів, які підключені до 3х різних базових станцій на основі Mikrotik 411AH з встановленою Mikrotik Router OS 4.14. В перспективі розширення до 70 клієнтів. Шифрування відключено, тобто будь-який користувач може підключитись до станції і використовувати інтернет без обмеження швидкості. Але окрім того і існуючі клієнти змінюють ІР-адреси і отримують безлім по швикості, тим самим забираючи трафік на себе. Постала необхідність включити шифрування щоб, по-перше, ніхто лівий не міг підключитись і отримувати інтернет, а по-друге, не балувались існуючі клієнти. Кожному клієнту виділено 2 ІР-адреси: для точки доступу та локальної мережі. Потрібно зробити щось типу прив’язки мак-адрес - ІР-адрес, щоб при зміні ІР-адреси на модемі і (або) на мережеві платі інтернет пропадав. Ну і щоб ніхто лівий не міг підключитись. Хто підкаже як зробити такі налаштування або дасть посилання на мануал, буду дуже вдячний. Як я розумію, шифрування включається тут (див. малюнок), але як його правильно налаштувати і які потрібні налаштування з боку клієнта, не ясно.
|
|
| |
Andrey123q |
Дата: Su, 15.05.2011, 22:11 | Повідомлення № 2 |
Досвідчений учасник
Повідомлень: 1236
| я конечно не большой специалист по mikrotik, но возникли такие соображения. 1) настроить DHCP-сервер в котором статически привязать IP к MAC-адресам 2) можно поднять VPN сервер (pptp) - создать пользователей, определить для них локальные адреса, адрес шлюза 3) в таблицах маршрутизации разрешить доступ во внешнюю сеть только адресам клиентов (например, которые выдаются при подключении по vpn) 4) ограничить скорости можно во вкладке winbox "Queues" (т.ск. "vpn адресам" адресам, чтобы не ограничивать скорость в локальной подсети)Додано (15.05.2011, 22:11) --------------------------------------------- Судя по скрину вы настраиваете Wi-Fi ?
|
|
| |
kom_adm |
Дата: Su, 15.05.2011, 22:12 | Повідомлення № 3 |
Ветеран спілкування
Повідомлень: 3767
| Без 100 грамм не разобраться Нужны скриншоты.
|
|
| |
Andrey123q |
Дата: Su, 15.05.2011, 23:09 | Повідомлення № 4 |
Досвідчений учасник
Повідомлень: 1236
| Если на виртуалках найду mikrotik - выложу а то по гуглу то что нужно не могу найти. Несколько инструкций из инета: 1) по DHCP серверу - http://technovesti.ru/mikroti....fi.html по-моему во вкладке Leases отображаются IP которые выдаются, там же кнопкой static (или make static) можно сделать IP статическим 2) по VPN: http://wiki.mikrotik.com/wiki/PPTP_Server_With_Profile Додано (15.05.2011, 22:43) --------------------------------------------- по VPN во вкладке PPP сначала создаете PPTP-сервер, а потом там же во вкладке secrets - пользователей Т.е. логика такая: 1) при подключении к сети юзер получает IP от DHCP-сервера, но при этом выхода в инет у него еще нет 2) потом через созданное на кампе vpn-подключение вводит логин и пароль, которые были созданы во вкладке РРР->secrets, он подключается к vpn-серверу, при этом ему выдается второй IP-шник, который вводился там же во вкладке РРР->secrets 3) юзер получает выход в инет - если на шлюзе 2а интерфейса (WAN и LAN) то в winbox во вкладке IP-firewall (если не ошибаюсь), nat прописывается только для т.ск. "vpn-адресов" Хотя может vpn тут лишний - можно просто привязать IP к MAC и ограничить для них скорости и все. Додано (15.05.2011, 23:09) --------------------------------------------- Как у вас сейчас выдаются айпишники клиентам? Прописываете вручную на машинах или выдаются с микротика по DHCP ?
Відредаговано: Andrey123q - Su, 15.05.2011, 22:45 |
|
| |
volodschool2 |
Дата: Mo, 16.05.2011, 00:00 | Повідомлення № 5 |
Досвідчений учасник
Повідомлень: 1609
| Я роблю так: IP => ARP , ПКМ на кожному ІР і вибираю "Make Static". Можна натиснути "+" і добавити нову пару ІР-МАС. Тепер інтернет може отримувати тільки той, в кого співпадають ІР компа з МАС точки доступу. Але тут ще є один нюанс, в інтерфейсі, який дивиться в мережу клієнтів необхідно змінити значення ARP з "enabled" на "reply-only"
Відредаговано: volodschool2 - Mo, 16.05.2011, 00:02 |
|
| |
kom_adm |
Дата: Mo, 16.05.2011, 00:17 | Повідомлення № 6 |
Ветеран спілкування
Повідомлень: 3767
| Дякую, хлопці! volodschool2, взавтра спробую. Здається, це те, що я хотів. Тоді потреба вмикати шифрування відпадає?
|
|
| |
volodschool2 |
Дата: Mo, 16.05.2011, 00:27 | Повідомлення № 7 |
Досвідчений учасник
Повідомлень: 1609
| Quote (Ковальчук_Олександр) Тоді потреба вмикати шифрування відпадає? Так
|
|
| |
Andrey123q |
Дата: Mo, 16.05.2011, 01:20 | Повідомлення № 8 |
Досвідчений учасник
Повідомлень: 1236
| Хотя MAC конечно тоже можно подменить, но думаю вряд ли кто-то до такого дойдет. Кстати, насчет шифрования: WPA WEP для Wi-Fi лучше не используйте - ломается за 5 мин.
Відредаговано: Andrey123q - Mo, 16.05.2011, 10:28 |
|
| |
НІКОЛЯ |
Дата: Mo, 16.05.2011, 09:11 | Повідомлення № 9 |
Знавець вірусів
Повідомлень: 2878
| Quote (Andrey123q) Кстати, насчет шифрования: WPA для Wi-Fi лучше не используйте - ломается за 5 мин WPA PSK TIK 256 БІТНИЙ КЛЮЧ ЦІКАВО ПРИБЛИЗНО ЯК
|
|
| |
volodschool2 |
Дата: Mo, 16.05.2011, 10:04 | Повідомлення № 10 |
Досвідчений учасник
Повідомлень: 1609
| Quote (Andrey123q) Хотя MAC конечно тоже можно подменить Так, можна все зробити. Але ж всі МАС+ІР мають бути записані в журналі адміна, який завжди може виявити підміну. Відправте його (юного хакера) в баню. А щодо шифрування, то я відмовився від нього, зайве гальмо для системи та й знайдуться юні хакери, що будуть пробувати його ломати. Використовую фільтри по МАС-адресах на базовій станції. До базової станції можуть підключитися тільки ті ТД, МАС котрих дозволений на базі. Тобто, фільтр по МАС на ТД і прив’язка МАС+ІР на мікротіку не дозволяє безконтрольно користуватись інтернетом.
|
|
| |
Andrey123q |
Дата: Mo, 16.05.2011, 10:12 | Повідомлення № 11 |
Досвідчений учасник
Повідомлень: 1236
| Quote (НІКОЛЯ) WPA PSK TIK 256 БІТНИЙ КЛЮЧ ЦІКАВО ПРИБЛИЗНО ЯК извиняюсь, не wpa, a WEP wpa по-моему только брутофорсом (в упрощенном варианте)
Відредаговано: Andrey123q - Mo, 16.05.2011, 10:18 |
|
| |
volodschool2 |
Дата: Mo, 16.05.2011, 11:11 | Повідомлення № 12 |
Досвідчений учасник
Повідомлень: 1609
| Quote (Ковальчук_Олександр) Шифрування відключено, тобто будь-який користувач може підключитись до станції і використовувати інтернет без обмеження швидкості Щось тут не так, невже Ви в файрволі не створили список ІР, яким дозволено вихід в інтернет?
|
|
| |
kom_adm |
Дата: Mo, 16.05.2011, 11:27 | Повідомлення № 13 |
Ветеран спілкування
Повідомлень: 3767
| Я поступив більш радикальніше - створив списки в Queues з ІР-адресами, які не зайняті і виставив для них нулеву швидкість. Зрозуміло, що це не оптимальний варіант, сьогодні буду пробувати Ваш. Мені здається Фільтр по мак + мак+ІР хорошим варіантом.
|
|
| |
volodschool2 |
Дата: Mo, 16.05.2011, 11:58 | Повідомлення № 14 |
Досвідчений учасник
Повідомлень: 1609
| Quote (Ковальчук_Олександр) Я поступив більш радикальніше - створив списки в Queues з ІР-адресами, які не зайняті і виставив для них нулеву швидкість. Може це й радикальне, але не оптимальне рішення. Я робив так: http://www.youtube.com/watch?v=plfanjnP5ps Врахуйте, що тут треба прописувати тільки ІР компів, для ТД цього робити не потрібно.
Відредаговано: volodschool2 - Mo, 16.05.2011, 12:01 |
|
| |
Andrey123q |
Дата: Mo, 16.05.2011, 12:36 | Повідомлення № 15 |
Досвідчений учасник
Повідомлень: 1236
| я делал немного не так. То же создается правило NAT как в видео, только без привязки к списку адресов из Address List. Плюс во вкладке Filter Rules создаются правила, которые сначала разрешают (accept) форвардинг (forward) определенным адресам (src address), а после запрещают остальным (deny forward your_subnet) - важна последовательность, правила просматриваются сверху вниз (от меньших номеров к большим).
Відредаговано: Andrey123q - Mo, 16.05.2011, 12:40 |
|
| |
© Форум інформатиків України, 2007-2022.  |