
<html xmlns="http://www.w3.org/1999/xhtml">

<head>

<title></title>

</head>

<body>

<div name="messageBodySection">

<div dir="auto">Привіт!<br />

<br />

Твоя задача ідеально вписуєтся в 802.1х, але якщо світчі не вміють, то я би створював web формочку, яка запускає скрипти що включают чи виключают порти.<br />

<br />

В тебе VPN server є?</div>

</div>

<div name="messageSignatureSection"><br />

<div class="matchFont">

<div dir="auto">Максим</div>

</div>

</div>

<div name="messageReplySection">On 18 Aug 2021, 06:12 +0200, Oleh Hrynchuk <oleh.hrynchuk@gmail.com>, wrote:<br />

<blockquote type="cite" style="border-left-color: grey; border-left-width: thin; border-left-style: solid; margin: 5px 5px;padding-left: 10px;">

<div dir="ltr">Всім доброго дня.<br />

<br />

А як зараз елеґантно вирішують стандартну задачу MAC-based filtering при підключенні до офісної LAN? Щоби ніякий гість не втикнувся своїм лептопом у вільну ethernet-розетку на офісі. Якщо хоче - нехай юзає WiFi для доступу в Інтернет, але ресурси офісної сітки для нього мють бути закриті<br />

<br />

Вихідні дані:<br />

1. Port based VLANs на кількох світчах Mikrotik CSS326-24G-2S+RM (на жаль не вміють 802.1x)<br />

2. Mikrotik hex S (iGS760) "router on stick", що розрулює усі ці VLANs. На нього заходить також шнурок від ISP<br />

3. На цьому ж роутері для кожної VLAN свій DHCP-server з окремим DHCP pool<br />

4. До деяких портів CSS326 підключені "wifi-мильниці" TP-Link та ZyXEL.<br />

5. Цих "мильниць" штук 5-6. Всі в режимі роутерів. Отримують свої WAN ІР-адреси по static DHCP з роутера hex S. І роздають WiFi для тих, хто фізично не може дотягнутися до ethernet-розеток. Ну і надають також свої ethernet-порти для підключення до офісної LAN<br />

<br />

Що хочу:<br />

<br />

1. Виділити WiFi в окрему VLAN і від"єднати її від офісної "робочої" мережі. Залишити цю "WiFi VLAN" виключно для доступу guests в Internet. "Робоча" офісна LAN має бути виключно на ethernet.<br />

2. Фільтрувати доступ до LAN по MAC-адресах клієнтів. Список усіх МАС-адрес робочих станцій наших офісних працівників вже зібрав<br />

3. Було би дуже добре мати якийсь свій офісний LDAP-сервак з усією інформацією про юзерів, групи, права доступу, і звідти брати усю інформацію при спробах юзерів отримати якийсь ІТ-сервіс<br />

<br />

<br />

Як тут правильно все зробити?<br />

На гадку спадає OpenLDAP з інформацією про юзерів-групи + FreeRadius, до якого звертатиметься hex S router при видачі IP-адрес end users.<br />

Типу:<br />

EndUser --> router DHCP --> FreeRadius --> OpenLDAP і відповідь в зворотному порядку.<br clear="all" />

<div><br /></div>

--<br />

<div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">

<div dir="ltr">

<div>Regards,<br />

/oleh hrynchuk</div>

</div>

</div>

</div>

_______________________________________________<br />

uanog mailing list<br />

uanog@uanog.kiev.ua<br />

https://mailman.uanog.kiev.ua/mailman/listinfo/uanog<br /></blockquote>

</div>

</body>

</html>