+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Горячая точка и CB3 или Delibrant CPE

Горячая точка и CB3 или Delibrant CPE, RouterOS

surfnet

Guest

01.07.2005 19:45:00

Кто-нибудь здесь использует режим Hotspot и клиенты подключаются через Wi-Fi бриджи, где MAC-адрес бриджа используется для аутентификации? И все компьютеры, подключенные к нему, получают DHCP IP-адрес? Если я не использую режим Hotspot, в ARP-таблице отображается MAC-адрес CB3 бриджа. Если я переключаюсь в режим Hotspot, то в ARP-таблице отображается MAC-адрес сетевой карты клиента. Я думаю, ответ кроется в ARP-режиме. Я использую hotspot bridge с reply-only arp и wlan4 находится в группе бриджей, а значение arp по умолчанию включено.

name=“Hotspot” mtu=1500 arp=reply-only mac-address=00:02:6F:20:B2:E6 forward-protocols=ip,arp,appletalk,ipx,ipv6,other stp=no priority=32768 ageing-time=5m forward-delay=15s garbage-collection-interval=5s hello-time=2s max-message-age=20s
name=“wlan4” mtu=1500 mac-address=00:02:6F:20:B2:E6 arp=enabled disable-running-check=no interface-type=Atheros AR5212 radio-name=“00026F20B2E6” mode=ap-bridge ssid=“SNC4” frequency=2412 band=2.4ghz-b scan-list=default-ism rate-set=default supported-rates-b=1Mbps,2Mbps,5.5Mbps,11Mbps supported-rates-a/g=6Mbps,9Mbps,12Mbps,18Mbps,24Mbps,36Mbps,48Mbps,54Mbps basic-rates-b=1Mbps basic-rates-a/g=6Mbps max-station-count=2007 ack-timeout=dynamic tx-power=default noise-floor-threshold=default periodic-calibration=default burst-time=disabled fast-frames=no dfs-mode=none antenna-mode=ant-a wds-mode=disabled wds-default-bridge=none wds-ignore-ssid=no update-stats-interval=disabled default-authentication=yes default-forwarding=no hide-ssid=no 802.1x-mode=none disconnect-timeout=3s on-fail-retry-time=100ms

jarosoup Guest	#2 0 02.07.2005 01:30:00 Тебе нужно аутентифицировать MAC-адрес ПК/роутера, находящегося за бриджем, а не сам бридж.

hitek146

Guest

02.07.2005 03:33:00

Зачем вообще проверять подлинность моста? Трафик точки доступа по своей природе немного небезопасен, и идея точки доступа в том, чтобы пользователи могли легко подключаться к AP, который изначально не знает, кто перед ним. Идея использования MAC-аутентификации с точкой доступа заключается в том, чтобы известные пользователи могли подключаться к точке доступа без необходимости входить в систему каждый раз. Когда CB3 работает в качестве моста, а не клиента, он не может напрямую завершить интерфейс клиента точки доступа, так что в чем риск небезопасности, если не проводить MAC-аутентификацию моста? Только устройства, которые могут работать как клиенты, будут проходить MAC-аутентификацию, потому что любой другой способ кажется бессмысленным… Скажите, зачем вам это нужно? Hitek

surfnet

Guest

02.07.2005 05:14:00

Понимаете, в чём дело. Сейчас я использую Mikrotik для фиксированного беспроводного подключения. Но пытаюсь настроить ограничения полосы пропускания с лёгкостью конфигурирования, то есть через RADIUS. Если я настрою пользователей как PPPoE, то им потребуется PPPoE-клиент. Если я использую Hotspot, я могу установить ограничение скорости и не устанавливать никакого программного обеспечения на машину пользователя. Если я просто использую RADIUS-безопасность на беспроводном интерфейсе, я не получаю настроек скорости. Так что логичный выбор – Hotspot. Но я не хочу заниматься каждым устройством, которое есть у каждого клиента. Я хочу, чтобы сервис был как у других провайдеров широкополосного доступа, где вы покупаете услугу и подключаете сколько угодно клиентов за своим роутером... Как DSL или кабельное телевидение.

hitek146

Guest

02.07.2005 10:54:00

Итак, вопрос остается… Если вы планируете аутентификацию и ограничение скорости (rate-limit) через аутентификацию точки доступа (hotspot), то зачем вообще нужна MAC-аутентификация? В какой момент вы хотите, чтобы соединение точки доступа прекращалось – на коммутаторе (bridge) или на компьютере клиента? Если вы хотите, чтобы соединение точки доступа прекращалось на компьютере клиента и, следовательно, ограничивать скорость каждого устройства, вам придется работать с каждым компьютером и его MAC-адресом. Если же вы просто хотите прекращать соединение на уровне коммутатора, тем самым ограничивая только его общую пропускную способность, вам стоит использовать другой режим работы, а не hotspot…

surfnet Guest	#6 0 02.07.2005 14:38:00 Ну ладно, уговорил... Тогда скажи, какой режим, кроме hotspot, позволит мне реализовать аутентификацию на MAC-адресе клиентского моста и настроить параметры RADIUS?

hitek146

Guest

02.07.2005 20:55:00

С точкой доступа через hotspot скорость данных ограничена на конечном устройстве. Поскольку CB3 или Deliberant bridge не могут завершить точку доступа hotspot, ограничить скорость данных с hotspot для bridge нельзя. Вы могли бы это сделать, используя MT в качестве bridge, потому что можно использовать EoIP-туннель поверх PPPoE-соединения для бриджения сети и ограничить полосу пропускания PPPoE-соединения… Думаю, наконец-то понял, что вы хотите сделать, но это не характер оборудования, которое вы используете… Кабельный модем аутентифицируется по MAC-адресу и выступает в роли bridge, но получает значения скорости данных из специального конфигурационного файла DOCSIS, а не в результате аутентификации MAC. Стандартный DSL-модем использует PPPoE для подключения к точке доступа, поэтому может ограничивать скорость данных таким образом. Факт в том, что нет никаких положений для прозрачного bridge-устройства Senoa или Deliberant для завершения hotspot и получения настроек скорости данных PPP… Если вам просто нужно аутентифицировать bridge, вы пробовали использовать стандартный режим AP и ограничить скорость IP-соединения вместо PPP-соединения, подобно тому, как вы ограничиваете скорость клиента, используя беспроводной список доступа? Думаю, атрибут RADIUS “Ascend-Data-Rate” может вам помочь… Hitek

surfnet

Guest

03.07.2005 01:33:00

Ну вот, похоже, дело налаживается… СПАСИБО! То есть ты говоришь, я могу просто использовать интерфейсный радиус безопасности и задавать ограничения скорости? Было бы здорово. Или есть способ использовать этот радиус для назначения пула IP-адресов, как в хотспоте?

hitek146

Guest

03.07.2005 07:43:00

Не знаю, как твой бридж будет справляться с трансляциями, поэтому удобство использования DHCP может быть под вопросом. Я всё маршрутизирую и никогда не использую бриджи, так что кто-то другой, возможно, окажется для тебя полезнее… Hitek

Alessio_Garavano Guest	#10 0 24.08.2005 03:43:00 Привет, надеюсь, ты меня понял, я из Аргентины… Ну, я решил ту же проблему, назначив статичные IP-адреса клиентам и создав статические записи для этих IP-адресов в mangle, чтобы отмечать все пакеты от этого IP-адреса меткой `hs-auth mark-flow`, и генерируя статические Simple Queues для этого IP-адреса с нужной полосой пропускания для этого клиента… Всё отлично работает… MAC Authentication в таких случаях невозможен… С уважением и надеюсь помочь тебе, Алессио.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры