
<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">ср, 18 серп. 2021 о 22:19 Maksym Tulyuk <<a href="mailto:maksym@tulyuk.com">maksym@tulyuk.com</a>> пише:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">


<div>


<div name="messageBodySection">


<div dir="auto">Привіт!<br>


<br>


Твоя задача ідеально вписуєтся в 802.1х, але якщо світчі не вміють, то я би створював web формочку, яка запускає скрипти що включают чи виключают порти.<br>


<br></div></div></div></blockquote><div><br></div><div>та знаю, що 802.1х вирішував би питання... не вміють світчі його :(<br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div name="messageBodySection"><div dir="auto">


В тебе VPN server є?</div>


</div>


<div name="messageSignatureSection"><br></div></div></blockquote><div><br>Угу. на базі ocserv docker (a la Cisco AnyConnect)<br><br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><div name="messageSignatureSection">


<div>


<div dir="auto">Максим</div>


</div>


</div>


<div name="messageReplySection">On 18 Aug 2021, 06:12 +0200, Oleh Hrynchuk <<a href="mailto:oleh.hrynchuk@gmail.com" target="_blank">oleh.hrynchuk@gmail.com</a>>, wrote:<br>


<blockquote type="cite" style="border-left:thin solid grey;margin:5px;padding-left:10px">


<div dir="ltr">Всім доброго дня.<br>


<br>


А як зараз елеґантно вирішують стандартну задачу MAC-based filtering при підключенні до офісної LAN? Щоби ніякий гість не втикнувся своїм лептопом у вільну ethernet-розетку на офісі. Якщо хоче - нехай юзає WiFi для доступу в Інтернет, але ресурси офісної сітки для нього мють бути закриті<br>


<br>


Вихідні дані:<br>


1. Port based VLANs на кількох світчах Mikrotik CSS326-24G-2S+RM (на жаль не вміють 802.1x)<br>


2. Mikrotik hex S (iGS760) "router on stick", що розрулює усі ці VLANs. На нього заходить також шнурок від ISP<br>


3. На цьому ж роутері для кожної VLAN свій DHCP-server з окремим DHCP pool<br>


4. До деяких портів CSS326 підключені "wifi-мильниці" TP-Link та ZyXEL.<br>


5. Цих "мильниць" штук 5-6. Всі в режимі роутерів. Отримують свої WAN ІР-адреси по static DHCP з роутера hex S. І роздають WiFi для тих, хто фізично не може дотягнутися до ethernet-розеток. Ну і надають також свої ethernet-порти для підключення до офісної LAN<br>


<br>


Що хочу:<br>


<br>


1. Виділити WiFi в окрему VLAN і від"єднати її від офісної "робочої" мережі. Залишити цю "WiFi VLAN" виключно для доступу guests в Internet. "Робоча" офісна LAN має бути виключно на ethernet.<br>


2. Фільтрувати доступ до LAN по MAC-адресах клієнтів. Список усіх МАС-адрес робочих станцій наших офісних працівників вже зібрав<br>


3. Було би дуже добре мати якийсь свій офісний LDAP-сервак з усією інформацією про юзерів, групи, права доступу, і звідти брати усю інформацію при спробах юзерів отримати якийсь ІТ-сервіс<br>


<br>


<br>


Як тут правильно все зробити?<br>


На гадку спадає OpenLDAP з інформацією про юзерів-групи + FreeRadius, до якого звертатиметься hex S router при видачі IP-адрес end users.<br>


Типу:<br>


EndUser --> router DHCP --> FreeRadius --> OpenLDAP і відповідь в зворотному порядку.<br clear="all">


<div><br></div>


--<br>


<div dir="ltr">


<div dir="ltr">


<div>Regards,<br>


/oleh hrynchuk</div>


</div>


</div>


</div>


_______________________________________________<br>


uanog mailing list<br>


<a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>


<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a><br></blockquote>


</div>


</div>


_______________________________________________<br>


uanog mailing list<br>


<a href="mailto:uanog@uanog.kiev.ua" target="_blank">uanog@uanog.kiev.ua</a><br>


<a href="https://mailman.uanog.kiev.ua/mailman/listinfo/uanog" rel="noreferrer" target="_blank">https://mailman.uanog.kiev.ua/mailman/listinfo/uanog</a></blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr"><div>Regards,<br>/oleh hrynchuk</div></div></div></div>