Контроль доступа по MAC-адресам для беспроводной сети Wi-Fi (для версий NDMS 2.11 и более ранних)

NOTE: В данной статье показана настройка версий ОС NDMS 2.11 и более ранних. Настройка актуальной версии ПО представлена в статье "Контроль доступа Wi-Fi".

Интернет-центры серии Keenetic поддерживают создание списка доступа по MAC-адресам. Можно составить "белый" или "черный" список клиентов точки доступа Wi-Fi. В режиме "Белый список" доступ к домашней беспроводной сети будет заблокирован для всех клиентов, не вошедших в список. В режиме "Черный список" доступ к домашней беспроводной сети будет заблокирован только для клиентов из списка. 

Внимание! Данная настройка также возможна через интерфейс командной строки (CLI) роутера c помощью специальных команд.

1. Перед началом настройки списков доступа по MAC-адресам нужно выполнить регистрацию соответствующего устройства в домашней сети. Для этого подключитесь к веб-конфигуратору интернет-центра и зайдите в меню Домашняя сеть > Устройства

На этом экране вы увидите список подключенных в данный момент сетевых устройств (как по кабелю Ethernet, так и по Wi-Fi). Щелкните мышкой по записи нужного устройства. В появившемся окне Регистрация устройства в сети рекомендуем поставить галочку в поле Постоянный IP-адрес, чтобы данному сетевому устройству назначался постоянный IP-адрес, а затем нажмите кнопку Зарегистрировать.

Кроме того, вы можете самостоятельно добавить устройство в список устройств домашней сети, когда оно не подключено к интернет-центру. Для этого нажмите кнопку Добавить устройство в меню Домашняя сеть > Устройства и самостоятельно заполните поля в окне Регистрация устройства в сети.

2. После регистрации устройства в домашней сети можно перейти к созданию списков доступа. Перейдите в меню Сеть Wi-Fi > Список доступа. В поле Режим блокировки можно выбрать один из трех режимов: Не блокировать, Белый список или Черный список.

После выбора режима блокировки (в нашем примере создан Белый список) напротив нужного устройства установите галочку в поле Выбрать и нажмите кнопку Применить

Таким образом, доступ к домашней сети Wi-Fi будет заблокирован для всех клиентов, не вошедших в список (в нашем примере доступ по Wi-Fi будет разрешен только одному устройству с указанным MAC-адресом). 

3. Для составления "черного" списка в поле Режим блокировки установите значение Черный список, напротив нужного устройства установите галочку в поле Выбрать и затем нажмите кнопку Применить

Теперь доступ к домашней сети Wi-Fi будет заблокирован только для клиентов из этого списка. В нашем примере клиент с MAC-адресом 14:7D:C5:95:6A:42 не сможет подключиться к точке доступа Wi-Fi. В логах устройства будут присутствовать следующие сообщения:

Дополнительную информацию можно найти в статье: «Настройка списков доступа для дополнительных точек доступа Wi-Fi»

Рассмотрим вариант настройки контроля доступа по MAC-адресам через интерфейс командной строки (CLI). Выполните следующие команды:

1. Узнаем MAC-адреса устройств, которые подключены к роутеру:

(config)> show ip dhcp bindings

lease:

ip: 192.168.1.43
mac: a8:1e:84:85:xx:xx
via: a8:1e:84:85:xx:xx
hostname: wrk
name: wrk
expires: 16732

2018-05-31-screen.png

2. Регистрируем устройство в домашней сети:

(config)> known host ws89 a8:1e:84:85:xx:xx
Core::KnownHosts: Host "ws89" has been updated.

2018-05-31-screen_1.png

3. Варианты режимов блокировки:

none - не блокировать
permit - разрешить
deny - запретить

(config)> interface WifiMaster0/AccessPoint0

Usage template:
type {type}

Choose:
none
permit
deny

2018-05-31-screen_3.png

4. Пример включения режима блокировки для Точки доступа 2,4 ГГц:

"Черный список" - блокировка устройств, которые входят в список:

(config)> interface WifiMaster0/AccessPoint0
Core::Configurator: Done.
(config-if)> mac access-list type deny
Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": ACL type set.
(config-if)> mac access-list address a8:1e:84:85:xx:xx
Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": MAC address added.

2018-05-31-screen_6.png

"Белый список" - блокировка всех устройств, которые не входят в список:

(config)> interface WifiMaster0/AccessPoint0
Core::Configurator: Done.
(config-if)> mac access-list type permit
Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": ACL type set.
(config-if)> mac access-list address a8:1e:84:85:xx:xx 
Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": MAC address added.

2018-05-31-screen_7.png

5. Пример включения режима блокировки для Точки доступа 5 ГГц:

"Черный список" - блокировка устройств, которые входят в список:

(config)> interface WifiMaster1/AccessPoint0
Core::Configurator: Done.
(config-if)> mac access-list type deny
Network::Interface::Rtx::AccessPoint: "WifiMaster1/AccessPoint0": ACL type set.
(config-if)> mac access-list address a8:1e:84:85:xx:xx
Network::Interface::Rtx::AccessPoint: "WifiMaster1/AccessPoint0": MAC address added.

2018-06-01-screen_10.png

"Белый список" - блокировка всех устройств, которые не входят в список:

(config)> interface WifiMaster1/AccessPoint0
Core::Configurator: Done.
(config-if)> mac access-list type permit
Network::Interface::Rtx::AccessPoint: "WifiMaster1/AccessPoint0": ACL type set.
(config-if)> mac access-list address a8:1e:84:85:xx:xx
Network::Interface::Rtx::AccessPoint: "WifiMaster1/AccessPoint0": MAC address added.

2018-05-31-screen_9.png

6. Пример отключения режима блокировки для Точки доступа 2,4 ГГц:

(config)> interface WifiMaster0/AccessPoint0
Core::Configurator: Done.
(config-if)> mac access-list type none
Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": ACL type set.

2018-05-31-screen_10.png

7. Пример отключения режима блокировки для Точки доступа 5 ГГц:

(config)> interface WifiMaster1/AccessPoint0
Core::Configurator: Done.
(config-if)> mac access-list type none
Network::Interface::Rtx::AccessPoint: "WifiMaster1/AccessPoint0": ACL type set.

2018-05-31-screen_11.png

8. Чтобы посмотреть включенный режим и добавленные устройства в интерфейсах WifiMaster0/AccessPoint0 и WifiMaster1/AccessPoint0, нужно сделать вывод startup-config файла, куда записываются выше упомянутые параметры:

(config)> more startup-config

!
interface WifiMaster0/AccessPoint0
rename AccessPoint
description "Wi-Fi access point"
mac access-list type permit
mac access-list address a8:1e:84:85:xx:xx
mac access-list address 94:65:2d:87:xx:xx
security-level private
wps
wps no auto-self-pin
authentication wpa-psk ns3 Ibqxxxxxxxxxxxx
encryption enable
encryption wpa2
ip dhcp client dns-routes
ip dhcp client name-servers
ssid enwrk-test
wmm
down

!
interface WifiMaster1/AccessPoint0
rename AccessPoint_5G
description "5Ghz Wi-Fi access point"
mac access-list type deny
mac access-list address 94:65:2d:87:xx:xx
security-level private
wps
wps no auto-self-pin
authentication wpa-psk ns3 Ibqq1xxxxxxxxx
encryption enable
encryption wpa2
ip dhcp client dns-routes
ip dhcp client name-servers
ssid enwrk-test
wmm
up

2018-06-01-screen_8.png

2018-06-01-screen_9.png

2018-06-01-screen_11.png

9. Пример удаления добавленного устройства из режима блокировки для Точки доступа 2,4 ГГц:

(config)> interface WifiMaster0/AccessPoint0
Core::Configurator: Done.
(config-if)> no mac access-list address 94:65:2d:87:xx:xx
Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": 94:65:2d:87:1e:7d MAC address removed.

2018-06-04-screen_1.png

10. Пример удаления добавленного устройства из режима блокировки для Точки доступа 5 ГГц:

(config)> interface WifiMaster1/AccessPoint0
Core::Configurator: Done.
(config-if)> no mac access-list address 94:65:2d:87:xx:xx
Network::Interface::Rtx::AccessPoint: "WifiMaster0/AccessPoint0": 94:65:2d:87:1e:7d MAC address removed.

2018-06-04-screen_2.png

11. Сохраняем изменения в системе:

(config)> system configuration save
Core::ConfigurationSaver: Saving configuration...

2018-06-01-screen_13.png

Примечание

Данные настройки можно применить и к Гостевой сети 2,4 ГГц и 5 ГГц. Для этого Вам потребуется поменять название интерфейса с WifiMaster0/AccessPoint0 (2,4 ГГц), WifiMaster1/AccessPoint0 (5 ГГц) на WifiMaster0/AccessPoint1 (2,4 ГГц), WifiMaster1/AccessPoint1 (5 ГГц).

KB-3704

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 25 из 35

Еще есть вопросы? Отправить запрос

Комментарии

Комментариев: 3
  • В новом веб-интерфейсе нет возможности задать список доступа по MAC адресам?
    Пришлось через ssh делать.

  • Добрый день. Как настроить списки доступа по MAC-адресу в новом интерфейсе?

  • Действительно, в настоящий момент в новом веб-интерфейсе 2.12 функция фильтрации по MAC-адресам отсутствует и в исходном виде эту функцию вернуть невозможно. Она противоречит дальнейшим планам по реализации Wi-Fi системы. Каждая из перечисленных ниже задач будет решена в версии 2.13 на новом уровне и гораздо удобнее, а именно:
    1. Добавление более жесткого уровня запрета доступа в модуль ip hotspot.
    2. Гибкая настройка Band Steering для отдельных устройств.
    3. Автоматическая блокировка MAC-адреса усилителя при добавлении в Wi-Fi систему. (Подобные настройки должны делаться без вмешательства пользователя.)

    Здесь поясню. В API системы ip hotspot будет добавлен новый уровень запрета для сегментов и устройств. На странице "Приоритеты подключений" добавится более жесткий режим: "Без доступа к Wi-Fi", куда можно перетаскивать сегменты и устройства. У черных и белых списков в драйвере нет жестких ограничений по размеру, поэтому сформированные списки можно передавать на все будущие устройства домашней Wi-Fi системы.
    Использование текущего API "interface mac access-list" в веб-интерфейсе приведет в тупик, а нового API пока нет.
    Поэтому в 2.12 решено временно отказаться от без блокировки Wi-Fi в вебе.

    Прошу вас пока пользоваться командной строкой, как описано во второй части вот этой статьи: «Контроль доступа по MAC-адресам для беспроводной сети Wi-Fi»
    Или можно скачать и отредактировать файл конфигурации startup-config. После чего загрузить его обратно в Keenetic.

    Спасибо за понимание.

Войдите в службу, чтобы оставить комментарий.