Ограничение доступа к WiFi сети
 

В школе имеется сервер DHCP на базе openmediavault. Стоят точки доступа и повторители. Пароль от WiFi периодически узнают ученики и с недавнего времени пул адресов начал забиваться.(я конечно увеличил количество доступных адресов, изменением маски), но суть в том, что ученикам нужно запретить доступ к нашей сети. Есть ли ещё какие либо способы это сделать, кроме радиуса и разграничения по mac адресам. Можно было бы и Радиус поднять, но в сети есть 2 точки доступа не поддерживающих проверку подлинности enterprise. А по маку запрещать - тоже не вариант, так как на точках доступа список разрешённых устройств доступен только в пределах 64. К тому же подключение других устройств, без внесения их мак адресов в таблицу, тоже иногда необходимо.

Как временная мера не использовать DHCP сервер и прописывать IP и т..п. в ручную.
Как постоянная мера смена оборудования и применение одноразовых паролей (например выдача паролей кому надо с утра на один день).

Откуда?

Я узнал, что пароль своим ученикам выдал один из учителей. К тому же не редко учителя или завучи дают пользоваться своими ноутами ученикам в различных целях. Но это уже моя вина, ещё многие работают под админом

Это должно решаться административно, служебкой на имя директора с последующим взысканием в любой форме.

На достаточно долгое время, чтобы те успели полазить по системе и вытащить пароль?

Это действительно ваша вина. Исправляйте. Либо не допускайте такие устройства в сеть. До приведения в соответствие, так сказать.

А включить фильтр по МАС на ваших роутерах можно?
Сделать сеть скрытой можно?
Просто узнать и указать адреса нужных вам и вашим коллегам девайсов.

Изначально вообще хотел сделать сеть на маках без паролей, чтобы юзеры могли перемещаться по школе со своими устройствами и не париться с введением пароля, да и безопасность бы немного повысилась, но потом понял, что на роутерах в фильтрации по маку доступно только 64 адреса. Это на данный момент мало. Вот если бы как-то это можно было реализовать централизовано на сервере, вопрос отпал бы самим собой.

Скрывать сеть уже поздно, так как наименование знают, а ssid опять везде менять я уже не буду. Та и скрытие сети не даст должного эффекта.

carloscom,

Исходя из того, что вы описали про учителей, которые рассказывают пароли и дают свои ноутбуки с административными привилегиями ученикам... Я бы просто чаще менял пароли.

Это конечно нужно, но смена пароля - дело проблематичное, ведь мне приходится ходить по всем устройствам, как школьным, так и мобильным, планшетам учителей, некоторым нужно вводить пароль самому, потому что они не разбираются в этом. Но да, как только я переведу всех с админов на обычных пользователей, я всё равно поменяю пароль. Тогда нужно мак адреса личных устройств пользователей всё равно переписать, чтобы мониторить кто подключается к сети. Если подключится неизвестный мне мак, то пароль, возможно, известен сторонним лицам. Хотя это может быть и новое устройство учителя. Тут уж наверное лучше не придумаешь

А сколько у вас точек доступа в школе?
Неужели 64 адреса на одну точку мало?
Те кабинеты (девайсы), что рядом с одной точкой имеют доступ только в одном месте (на этой точке)
Другие девайсы (удаленные кабинеты) не прописывать. Не нужно всем по школе с вайфаем бегать.
Прописывать всех только на их рабочих местах.
На всех точках прописать только директора, админа, и того школьника, кто больше пива принесет админу :)
И обязательно записать у кого какой МАС!
Если придет к вам человек с погонами и спросит кто порнуху распространяет и схему бомбы скачал, то вам проще будет ответить.

Еще один вариант с паролями:
Резко уменьшаем колл-во адресов выделяемых для DHCP, меняем пароль, увеличиваем время аренды адреса до 1 мес.
Если кого то из учителей не пустит (не хватит адресов) - чуток добавить.
Теперь не все школьники даже зная пароль смогут подключится - нет свободных адресов, все в аренде.
Но список МАС лучше иметь. Хотя бы лишие выщелкивать можно.

:teeth: это лайк, однозначно)

Всё равно ноуты таскают куда угодно в зависимости от ситуации. Но я думаю, не будет проблем дописывать их уже по месту. Я как-то затупил насчёт фильтрации. Действительно на каждой же точке доступа ведь по 64 адреса. А с перемещениями разберусь(главное чтобы не было перемещений во времени. А то я этих "продвинутых" юзверей знаю)

А если прописать только админа, то вскоре можно увидеть нашествие зомби, так сказать в живую, не с экранов телевизора))

Немного недопонял про таблицу фильтрации мак адресов и раздул целую тему. Спасибо большое, буду пробовать это решение.

Заменить или отключить их нельзя? WPA Enterprise идеально подошёл бы для решения вашей проблемы. Преподы, конечно, могут и свои личные пароли раздавать, но в этом случае сразу станет известно, кому бить морду делать выговор с занесением. Ну и разрешить подключаться только с одного устройства одновременно. Потом, пароли можно экспайрить автоматом. PSK в принципе тоже можно менять раз в месяц скажем, но в разномастной сети это гемор.

Да, контроль и только контроль! Но есть проблема, когда к нам из районо приходит начальство и просит подключиться к сети со своих мобильных, будет проблематично брать их телефоны и выискивать мак адреса. Но я думаю, в таких нечастых случаях, можно просто отключить временно фильтрацию на конкретной точке.
А есть смысл вообще в пароле, если всё фильтруется по мак-адресу? Ведь всё равно никто больше не подключится, а если уже и будут хакать, то и пароль не поможет. У нас детки телефонами телевизоры включают

Радиус - отличное решение, даже как для практики. Но мне кажется для меня пока сложное. Думаю обойдусь мак-фильтрацией. Да и заменить роутеры пока не предоставляется возможным в связи с печальным финансированием.

carloscom, в принципе, если точки совместимы со сторонними прошивками вроде OpenWRT, то можно прошить на них, а там и ограничений по мак адресам нет и 802.1x есть.

Точки на гарантии. Перепрошивать не желательно. Я думаю, что путь, который указал мне Kirill_S будет самый верный)

Так можно ж откатиться, только если не прошить неверной прошивкой и окирпичить. Я так понял, что точки дешман и их не жалко, а бояться... вы ж не собрались до пенсии в школе сидеть? Можно самому купить и потренироваться на ней, в конце концов. Чай не Cisco или Aruba какие с четырёхзначными ценниками в твёрдых деньгах.

Anton04, DJ Mogarych, dislike, Kirill_S, Казбек, В общем, после применения фильтрации по mac-адресу, повторители перестали пинговаться и у клиентов пропал интернет. Эту проблему я описывал в другой теме. Разработчики ASUS пока молчат. ((

Ещё какой есть, никто не отменял подмену мак адреса, а так для подключения нужно знать верный мак адрес и пароль к сети.

Значит не прописали мак адреса самих точек доступа куда надо. ;)

А всего-то надо дать по шапке учителю, который сливает пароли.

Использование радиомостов и повторителей это совсем плохо.
В школе всегда можно провода протянуть.
И скорость вырастет и просто настраивать.
Если школьнику пива не продали так пусть поможет локалку тянуть :)

Фильтр по МАС делает ненужным пароли.
Для проверяющих можно временно отключить фильтр, а можно узнать их МАС (2-4 адреса) и добавить (записать в табличку кто есть ху и ху есть кто!). К вам чаще одни и те же люди приходят наверняка.

согласен! Так и буду делать. Главное разобраться с глючными повторителями.
Теперь я уж понял, что с самого начала нужно было всё завязывать проводами. Но всё равно один повторитель, что в мастерской, останется. К нему я уже кабель не протяну. Мне уже самому не терпится разобраться в чём проблема этих повторителей, лёжа на диванчике с пивком, наблюдая как школьники т̶я̶н̶у̶т̶ помогают мне тянуть локалку!

Всё прописано верно. Глючно работают устройства а режиме повторителя. Я уже себе всю голому сломал, пытаясь понять в чём проблема. Буду нести в сервис второй раз.

И поставлять в школу, в класс информатики, компьютеры с домашней версией 10-тки - это тоже издевательство над админом. Я уже устал рабочие столы после детей переворачивать)