Mikrotik Wireless Access List
- Wireless Access list - список доступа беспроводных устройств
- Неправильный пример правила Access List
- Access List - решение для кафе и квартиры
Wireless Access list - список доступа беспроводных устройств
Wireless Access list - список доступа беспроводных устройств находится во вкладке Wireless -> Wireless Tables -> Access List.
Как говорит инструкция от MikroTik, список доступа (Access List) необходим для ограничения разрешенных подключений от других устройств и для управления параметрами подключения.
Если открыть "Новое Правило Точки Доступа", оно называется "New AP Access Rule", то в этом окне мы видим набор опций.
"Главные" опции две:
[V] Authentication- Разрешено пройти аутентификацию согласно security-profile
[V] Forwarding - Клиент может посылать кадры соседним клиентам, подключенным к тойже AP (точке доступа)
- Чтобы правильно настроить Access List, необходимо знать его основы:
- Правила в списке проверяются по порядку, одно за другим, начиная с нулевого
- Если правило не активно (disabled) то оно игнорируется
- Если правило сработало, то дальнейшее продвижение по правилам прекращается
- Если ни одно правило не подошло, то используется правило по умолчанию - конфигурация беспроводного интерфейса
- Если правило из списка доступа сработало но галочка [ ] Authentication не установлена (autentication=no), то соединение с этим удаленным устройством будет отклонено
Контролировать работу правил можно по вкладке "Registration". Каждый подключенный клиент будет иметь комментарий от правила по которому он подключился. Другими словами, при создании нового правила, пишите его описание в комментариях. Как можно догадаться, комментария от запрещающего правила, во вкладке "Registration", вы не увидите.
Неправильный пример правила Access List
К примеру, вы хотите ограничить клиентов только по мощности сигнала - если клиент далеко от точки доступа то подключение запрещено.
Разумно создать вот такое правило:
/interface wireless access-list add comment="Allow anyone with a signal strength greater than -55" \ signal-range=-55..0 \ vlan-mode=no-tag
Правило будет подключать клиента если уровень его сигнала будет больше чем -55. Но смысла от этого единственного
правила нет, от него только вред.
Опция signal-range=-55..0 говорит о том что клиент будет подключен к точки доступа, пока его уровень сигнала
находится в пределах -55..0. Если уровень сигнала, в течении 10 секунд будет ниже заявленного, то
точка доступа отключит клиента. Но следующее правило - правило по умолчанию (его нет в списке), по этому правилу клиент и подключится
к точке доступа, используя профиль безопасности беспроводного интерфейса.
Для ограничения доступа по мощности сигнала, необходимо добавить второе правило, которое будет запрещать
аутентификацию. На втором правиле сработает запрещение аутентификации и переход к правилу по умолчанию не состоится.
/interface wireless access-list add authentication=no \ vlan-mode=no-tag
Access List - решение для кафе и квартиры
Вы знаете что в кафе часто бесплатно раздают WiFi. Чтобы оградить кафе от бесполезных клиентов, не посетителей кафе, можно использовать низкий уровень сигнала для аутентификации и установить время выхода из диапазона 1 час.
/interface wireless access-list add allow-signal-out-of-range=1h \ comment="Allow anyone with a signal strength greater than -55, out of range 1 h" \ signal-range=-55..0 \ forwarding=no \ vlan-mode=no-tag add authentication=no \ vlan-mode=no-tag
Данное решение подойдет и для квартиры - повысит взломоустойчивость Wifi точки доступа. Разумеется, решение можно дополнить аутентификацией по MAC адресу и т.д..
Задача данной статьи показать главные ошибки при создании правил, показать где можно контролировать работу правил и предложить возможные решения.
Обращайтесь в нашу компанию за помощью. Сертифицированные специалисты помогут вам настроить оборудование. Также мы можем предложить вам надёжные решения в сфере IT (Интернет, телефония, удалённый доступ...)