Router czy UTM

MikroTik CCR1009-7G-1C-1S+ zakupiony. Rzeczywiście router daje duże możliwości, od kilku dni uczę się jego obsługi. Bardzo by mi zależało, aby na nim uruchomić m.in. hotspota. Do routera mam podłączone Ubiquity Unifi LR. Przeglądam różne tutoriale w internecie, ale nie mogę się natknąć na właściwą konfigurację, która pomogła by mi to zestawić.
Założenie jest takie, aby użytkownicy otrzymywali statyczne adresy ip autoryzowane po adresach mac. Natomiast osoby spoza sieci korzystały tylko z hotspota (panel logowania). W późniejszym etapie było by super, aby gdzieś dało się logować wszystkie połączenia użytkowników korzystających z hotspota. Czy mogę Was prosić o wskazówki jak to skonfigurować?

Filtrowanie MAC od niedawna jest zaimplentowane w Unifi Controller. Masz VMkę czy Unifi Cloud Key? W kontrolerze jest coś takiego jak guest portal i tam można uruchomić hotspot. Jeśli potrzebujesz, możesz też postawić serwer RADIUS, np. FreeRADIUS i wskazać go w kontrolerze.

Z RADIUSem można spiąć też MT. Jednak to rozwiązanie ma jedną wadę - MT uwierzytelnia się za pomocą CHAP, więc na RADIUSie musisz trzymać hasła w postaci jawnej i niestety nie zepniesz tego z np. LDAP czy AD. Choć podobno da się przy pomocy RADIUS Proxy. Dotyczy to przynajmniej logowania do Winbox. Przy SSH spokojnie można korzystać z RADIUS + LDAP.

IPki przydzielam z MT i tam przypisuje je użytkownikom.

Ciekawy temat!
Ostatnio myślałem o wymianie mojego UBIQUITI EdgeRouter Lite 3 na coś od Mikrtika.

Jakieś problemy z EdgeRouter? Na grupach FB spotkałem się raczej z opinią, że Edge zjada MT. Pytam z ciekawości, bo nigdy nie miałem do czynienia z ER.

Ja bardziej chciałem zakupić MT żeby poznać te urządzenia.
Nie miałem nigdy styczności z Mikrotikiem.
Ale dobrze wiedzieć, że EdgeRouter zjada MT :slight_smile:

Podobno :wink: tak tylko czytałem :slight_smile:

MT robi naprawdę fajne urządzenia. Zawsze możesz poznać system na VBox :wink:

Przepraszam, że w tym miejscu, ale nie chcę zakładać nowego wątku.
Niestety przez swoją nieprzemyślaną decyzję zablokowałem sobie dostęp do routera standardowymi kanałami (przeglądarka, WinBox). Na routerze mam już pewną konfigurację, do której dojście zajęło mi trochę prób i czasu - nie chciałbym jej stracić. Poprzez ssh też mnie nie wpuszcza. Pozostaje port szeregowy - podłączyłem komputer z routerem kablem RS-232 lecz nie za bardzo mogę nawiązać komunikację (może coś źle wykonuję?)
Router ma jeszcze wejście mini USB - może tutaj jest jakaś możliwość zalogowania się do niego? Czy mogę prosić o wskazówki jakim jeszcze sposobem mogę dostać się do routera?

Spróbuj netinstall. Winbox do przesyłania hasla używa protokołu chap. Istnieją apki, które przechwytują hasło, ponieważ chap wysyła je otwartym tekstem.

Na przyszłość, wysyłaj sobie konfigurację na maila. Jeśli masz zachowany backup na dysku MT, to możesz śmiało go resetować i przywrócić backup, o ile nie zrobiłeś go na hasło :wink:

Raz byłem zmuszony resetować MT i backup mnie uratował :wink:

Znalazłem inny sposób, może rozwiązanie przyda się dla kogoś innego: istnieje oficjalne narzędzie na stronie Mikrotika o nazwie Neighbour viewer for Windows, które wyszukuje urządzenia Mikrotika i pozwala podłączyć się do nich poprzez telnet - niezależnie od blokujących reguł w firewallu, tak jak to miało miejsce w moim przypadku. Przy pomocy linii poleceń można wiele odkręcić, a w zasadzie całe zło jakie się samemu sobie wyrządziło :slight_smile:

Backup też by pomógł, tylko go nie zrobiłem. Teraz przed każdą większą zmianą trzeba będzie zapisać konfigurację routera.

A widzisz, całkowicie z głowy wyleciał mi mactelnet. Tu faktycznie omijasz firewall, bo to druga warstwa.

Do tego nawet nie jest potrzebny neigbor viewer, bo winbox też pokaże Ci wszystkie MT jakie wyczai razem z ich mac adresami.