Ubiquiti Unifi AP Mac address szűrés

Hálózatok általános

Sziasztok!

Nemsokára a munkahelyemen lesz két Ubiquiti Unifi AP wifi eszköz, melyre MAC adress szűrést kellene megoldani. Tudom az eszköz ezt azért nem tudja, mert egyáltalán nem biztonságos, és könnyen kijátszható, de szükség van rá.

Hogyan lehetne megoldani?

Én először arra gondoltam, hogy a tűzfalon az iptables-ben engedélyezem a wifi ip-címéről érkező engedélyezett MAC-című gépeket. Azonban felvetteték hogy nem lehetne-e megcsinálni ipset-el, hogy az képes-e rá, mert gyorsabb lenne. Szerintetek a kettő közül valamelyik megoldás jó-e?

Az ipset tud-e MAC címeket kezelni? Fel lehet-e erre használni?

A két ubiquiti eszközön különböző gépek lesznek engedélyezve. A kettő összesen kb. 100-200 közötti MAC címet kellene engedélyezni. Persze nem mind egyszerre van fent a wifin.

Előre is köszönöm a segítséget.

  • 6337 megtekintés

( arpi_esp v | 2014. 08. 26., k – 04:29 )

>Tudom az eszköz ezt azért nem tudja

szerintem tudja, legalabbis lehet tiltani mac alapjan eszkozoket

Igen lehet tiltani MAC alapján, de előre nem lehet megadni, hogy melyik MAC című gépek csatlakozhatnak.

Én is gondoltam freeradius-ra, végülis még nem is vetettem el, csak azért kezdtem el iptables-be gondolkodni, mert az talán gyorsabban megy nekem. A freeradiushoz nem túl sok magyar leírás van. Persze tudom egy informatikusnak tudnia kellene angolul, de van aki ért a gépekhez, viszont az idegennyelv nagyon nehezen megy neki. Azért majd még nézelődök freeradius vonalon is.

Én azt csináltam, hogy az a háló amikről az unifik szórják a wifibe a cuccot egy routeren volt és ott vettem fel static dhcp-be akik netezhetnek, más meg nem ka ugye ip-t. (pont azért mert a jelszó rendszeresen kiszivárgott és megkértek gyorsba csináljak vele valamit -nem az én rendszerem amúgy-)Persze be tudnának esetleg maguknak fix ip-t állítani a diákok, de nem tudnak.

--
Rózsár Gábor (muszashi)

( _ventura_ v | 2014. 08. 26., k – 08:19 )

Ha nem hasznaljatok az unifi kontrollert, akkor openwrt-t tegyel ra, és azt állítasz be amit akarsz.

Fedora 20, Thinkpad x220

( elod v | 2014. 08. 26., k – 08:32 )

MAC szűrés azért kell mert nem diszciplinálhatók a felhasználók?

Azért van szükség a MAC szürésre, mert ha csak simán jelszóval védem, az kikerülhet, és használhatják olyanok, akiknek nem kellene. Iskoláról van szó, és a diákok azok akik nem használhatják. MAC szűréssel eddig még nem volt gond, csak a TP-Link-nél a 64 db MAC korlát szűkös, ezért lett Ubiquiti Unifi, meg persze azért, mert ez könnyen bővíthető, hogy le legyen fedve az egész épület majd idővel.

Az a baj, ha a diákok nem is szereznék meg egy tanár felhasználónevét vagy jelszavát, akkor is ott vannak a kollégisták. Nekik is van egy Wifi, amire csak ők mehetnek fel. A diákok viszont nagyon gyorsan át adják egymásnak a hozzáféréseiket, és mindjárt nem csak a kollégisták lógnának a neten.

Mindenesetre ezt átgondolom még azért. Egyenlőre maradnék a freeradius Mac ellenőrzésénél, csak nem tudom sikerül-e beállítanom. Most foglalkozok elősször Radius-al, és egyenlőre még nem igazán látom át, és egyértelmű leírást sem találtam a beállításához.

Pont ez kellene nekem. Jelenleg csak tesztelés alatt van a rendszer user/pass simán fájlból olvasva - szépen működik. Bevallom őszintén, hogy nem olvastam el a freeradius minden csingilingijét.
Milyen fájlba tegyem a megengedett MAC címeket?
Esetleg egy link a dokumentációra. Sajnos a google a MAC-re folyton a Macintosht dobja.

Az archívum kedvéért a megoldás freeradiussal:

Ha a users fileban ilyenek vannak:
teszt Cleartext-Password := "123321" , Calling-Station-Id := "00:08:22:1F:11:4E"

Akkor mindkettőnek kell stimmelnie.

A sites-enabled/default fileba az authorize alá kell egy
rewrite.calling_station_id sor.

Van azért néhány finomság, hogy működjön:
az eap.conf-ban a copy_request_to_tunnel = no paramétert yes-re kell állítani (kétszer van a file-ban lehet, hogy a peap szekcióban elég átállítani, de én átírtam a ttls szekcióban is).

Innentől ízlés kérdése:
Mivel én nagybetűkkel és kettősponttal szeretem a MAC címeket a policy.conf végén átírtam a normalizálást (szerintem a default nem is működik ha nagybetűkkel jön a MAC cím):

Az újsorok:
mac-addr = ([0-9a-fA-F]{2})[^0-9a-fA-F]?([0-9a-fA-F]{2})[^0-9a-fA-F]?([0-9a-fA-F]{2})[^0-9a-fA-F]?([0-9a-fA-F]{2})[^0-9a-fA-F]?([0-9a-fA-F]{2})[^0-9a-fA-F]
?([0-9a-fA-F]{2})

Called-Station-Id := "%{toupper:%{1}:%{2}:%{3}:%{4}:%{5}:%{6}}"

A helyük értelemszerűen meglesz a fileban.

( dNi | 2015. 03. 18., sze – 01:22 )

Bocsi a félig OFF-ért, de gondoltam nem nyitok neki új témát, ha már Unifi AP-ről van szó.

Jelenleg egy ilyen Mikrotik eszközt használok itthon router / switch / ap-nak egyben: http://routerboard.com/CRS125-24G-1S-2HnD-IN
Sajnos az elhelyezése miatt a wifi jel elég rossz a ház nagy részén, éppen ezért úgy gondoltam, hogy veszek egy külön AP-t, amit optimálisabban tudok elhelyezni, viszont semmi tapasztalatom a Unifi eszközökkel. Érdemes ilyet vásárolni? Kb. 10 eszköz lógna rajta ( pár laptop, telefon, tablet vegyesen ). Típus szerint egy UAP-LR-rel szemezek.

Aki esetleg rendelkezik tapasztattal, örülnék ha megosztaná velem, előre is köszönöm.

---
http://www.vultr.com/?ref=6814182

Gyakorlatilag a kontroller szoftver magához drótozza az AP-t, ezután egységes rendszerként lehet konfigurálni az összeset (a kontrolleren keresztül). Készít egy pár statisztikát meg egy őrült nagy MongoDB-t. Lehet figyelni hogy ki mennyit töltött le, hány kliens van épp a rendszerben és ki tudja még mit.

Otthonra, egy AP-hez felesleges.

+1

Van LR változatunk is. Jó antennával rendelkező cuccal mennek szépen, a gyengébb (telefonok, tablet-ek tipikusan) eszközzel rendelkezők viszont szoktak panaszkodni. De ez nem az AP sara.
Ebből max teljesítményt EU-s normák miatt nem tudsz kisajtolni, US-re téve viszont igen.

Több mint 10 eszközt is simán kiszolgál. Nálunk csúcsidőben 30-40 kliens lóg egy AP-n ami azért sok, ezért tervezzük a bővítést.

Az AirRouter is jó, de discontinued. OpenWRT azért szépen megy rajta. A HP változatát vettem valakinek, két hegyi kabanna lefedésére. Laptoppal itt is pöpec volt minden az óccó tablet már kínlódott.

Jelenleg egy külön szobában vannak a hálózati dolgok, és sajnos a mikrotik előtt egy elég nagy hálózati nyomtató és egy NAS is van. Éppen arra vannak a szobák, amerre ezek az eszközök árnyékolnak, úgy gondolom ez az elsődleges probléma, hiszen korábban előbbre volt a mikrotik, akkor nem volt ennyi gond a wifivel. Terveim szerint vennék egy UAP-LR-t, amit az előszoba plafonra felbiggyesztve belőné azt a pár szobát szépen, ami az előszobából nyílik.

---
http://www.vultr.com/?ref=6814182

Nem hitvitát akarok nyitni, de ha Mikrotikezel, akkor vegyél inkább egy Mikrotik cAP-t - elvileg azt is tudod központilag managelni, bár ezt a részét még én sem próbáltam.
Unifi sem rossz, a controller webes felületéről pikk-pakk configolható, de szerintem ott kezdődik az értelme, ha min. 8-10 AP-val teleszórsz egy irodaépületet.

-------------------------------^v-----------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"