802.1x

Zdravím,

jak řešíte zabezpečení wifi, pokud chcete aby šlo připojit jen konkrétní zařízení - ideálně tak aby nastavení nebylo přenositelné? Potřebuji připojit tablety/telefony a notebooky (Windows XP +, Android, Apple) klientů, tak aby zaměstnanci nemohli na síti parazitovat.
Pak by se mi hodilo kdyby šlo snadno poznat připojení konkrétního klienta na úrovni GW (mikrotik) kvůli pravidlům FW, netflow a ocenil bych i grafy využití konkrétním zařízením.

Mám kombinaci Unify AP + HP switche + Mikrotik jako GW.

Zatím jsem si říkal, že by pro mě bylo nejsnadnější udělat jednu wifi síť / VLAN (AP - GW) bez přístupu k internetu a na každém zařízení nastavit PPTP tunel rovnou na mikrotik. Ale říkám si zda není nějaká snadnější cesta.

Jen jsme teď koukal, že u PPTP iface mikrotik grafy automaticky nedělá.

Nějaké tipy, nebo odkaz na best practice?

AHARAZ: zítra

AHARAZ: já bych taky poprosil :-)

AHARAZ: nahraj to někam na fikeshare. lepší než nic.

FATBOZZ: Hmm maximálně mohu nabídnout staženou wiki jako pdf s linky po PDF + záložky cca 30MB a neví zda je to celé...

Anebo jestli je neco novejsiho, primo od mkt ?

FATBOZZ: Jen dost starý, ale zkusím to nechat někoho nějak podojit.

AHARAZ: A nemas nejaky export v supliku ?

AHARAZ: Naposled jim to asi fungovalo v rijnu 2014 :/

FATBOZZ: To jsem byl já dva roky zpět, ale tu funkčnost z té wiki imho vyřezali. Bylo tam "create book" jako volba co uměla udělat PDF z celé wiki. Teď to tam nikde nevidím a není moc čas to hledat.

Je to někdo kdo si rozumí s mikrotik CRS? hrozně mě to sere a nejsem schopnej na tom nastavit úplně základní funkcionalitu tag/untag vlan do portů, ocenil bych nějakou konzultac... počta kdyžtak..

AHARAZ: Este takovy postreh. Kdyz se odpoji wlan od kolegy na protejsi strane treba jen disable iface a znovu nahodi, tak se vsechno sparuje, wifi se vidi, ping z wlan co jsou proti sobe projde, ale treba z eth0 mikrotiku neprojde na ten wlan iface. Padá to random, nevim jak bych tomu mohl pomoc :(

FATBOZZ: Zkusil jsem i downgrade na 5.26, bezezmeny

FATBOZZ: Někdo nejaky napad ?
Podarilo se mi zatim jen resit to bez rebootu routeru, kdyz v OSFP zmenim interfaces all network type z broadcastu na ptp a zase zpet. Zatim finalni reseni bych videl na reset do tovaru a zase nastavit odznova ne nahrat konfig ( vubec se mi do toho nechce ). Nejaky lepsi reseni ? Abych se i priznal ani nevim jak osfp trablšůtovat.

AHARAZ: pada, facebook sem zkousel a obcas to chytlo i sajty co nemelo ;)


Blocking http/https Facebook via automated address-list in Mikrotik | Syed Jahanzaib Personnel Blog to Share Knowledge !
https://aacable.wordpress.com/2014/02/11/blocking-httphttps-facebook-via-automated-address-list/