день добрый, а есть здесь знатоки/любители/борцы с ЛВС вообще и ВиФи в частности?
дано:
дом, инет, вифи роутер, "глухие" углы в доме и рядом ;-), репитер.
требуется:
расширить покрытие вифи на "глухие" углы
сделано...да в принципе, расширилось, но возникла сложность: на роутере есть возможность "забанить" конкретные устройства, (пользую в "награду" за достижения сына ;-) ), так вот при установке репитера выяснилось, что устройства, забаненные роутером, все же получают доступ в сеть, путем подключения к репитеру (и он уже от своего лица оформляет регистрацию в сети и получение айпи адреса. при этом все ограничения как бы сохраняются - роутер честно рапортует о не допущении определенных дивайсов в сеть, а то что "их" айпи гроздью висят на репитере - так про это "уговора не было" :-))
собственно вопрос - это как то лечится или....???

Насчёт репитера не знаю, у меня немного по другому, хотя похожая ситуация (одна точка доступа не везде видна). Сделал так - в локальной сети висит вторая точка доступа (по сути такой же роутер), но на ней отключил почти все функции (т.е. без роутинга, раздачи адресов и тд). В результате при попытке подключиться к ней запрос адреса идёт через вторую точку и по кабелю до основного роутера, который и выделяет адреса. Таким образом, всей организацей ведает основной 1й роутер, а дополнительный просто точка доступа к локалке.
Вот как то так)

Судя по всему, у вас не в режиме репитера , а просто вторая точка доступа с теми-же настройками сети, кроме фильтрации MAC.

Скажите какой роутер и какая точка доступа ?

роутер: зухель кинетик 4г
репитер: комфаст wr150n
в настройках репитера (через веб интерфейс) таки значится, что включен режим репитера (на выбор предлагаютя режимы: роутер/репитер/точка доступа)- раздача айпи запрещена, имя сети совпадает с именем сети "от роутера".

Если сын технически подкованный, то поможет только смена пароля на wifi-сеть - и MAC, и IP возможно подменить.
А даже если и смена пароля - можно, например, воткнуться в Ethernet между репитером и роутером 8)

А эта возможность "забанить" в роутере - она по MAC или по IP?

тут хорошо разжовано про организацию wifi сетей http://interface31.ru/tech_it/2014/07/postroenie-setey-wi-fi-planirovanie-i-inspektirovanie.html

А эта возможность "забанить" в роутере - она по MAC или по IP?

Кстати да, важный вопрос по диагностике проблемы. Вероятнее всего по MAC, поскольку IP похоже раздаётся, но хотелось бы знать точнее.
И ещё - когда подключается "забаненое" устройство - IP один и тот же?

Что можно попробовать:
1) собственно смена пароля. А то и имени точки доступа. И на всякий случай паролей доступа к админкам (веб-интерфейсам).
2) забанить устройство и в репитере тоже. Не знаю, позволит ли, надо копаться.
3) (опять же если позволяет) настроить доступ по принципу "белого" списка, т.е. разрешено только явно перечисленным устройствам.
4) А может вместо репитера поиграться с расположением роутера, только с дополнительной антенной? Кинетик позволяет без проблем, у меня в машине такой.

В общем, если подходить к теме всерьёз, то нужны ответы на следующие вопросы:

1. Насколько технически подкован блокируемый?(и о каком возрасте речь?)
2. Помимо Wi-Fi есть ли провода(или порты), куда можно воткнуться незаметно? Если да, то закрытие вайфая проблему не решит.
3. Какой бюджет решения? Может, вместо двух недорогих вай-фай железок поставить одну мощную, которая будет решать вопросы с доступом(а кинетик оставить как интернет-гейт, отключив в нём вай-фай).


Слишком много неизвестных, ведь речь может идти как о том, чтобы пятилетний пацан с планшета интернет не видел, так и о том, что 15-летний лоб с современными познаниями в IT не смог пробиться в сеть.

- "лоб" таки 15 летний, ну почти :-) но вроде в наглую не лезет.
- "воткнуться не заметно" -низзя, ибо инет через МТС-овский "свисток" :-)
- роутер таки позволяет выбирать принцип пускания по белому/черному списку. кстати, да чет не подумал, по умолчанию пользую черный...
- да, вся "баня" по MAC.
- устройства, подключенные через репитер получают свой собственный, фиксированный АйПи роутером (т.е. роутер типа, догадывается, что то вот это конкретное железо мобила/планшет сына и выдаёт им их постоянные АйПишки). при этом в веб-интерфейсе кинетика "официально" висят те, кому доступ разрешен, и репитер, с перечислением АйПи подключенных через него дивайсов...

- "воткнуться не заметно" -низзя, ибо инет через МТС-овский "свисток" :-)

А причем тут свисток? На Zyxel 4G есть аж два Ethernet-порта. Наверняка хоть один да свободен 8)




роутер типа, догадывается, что то вот это конкретное железо мобила/планшет сына и выдаёт им их постоянные АйПишки

"типа догадывается" или, как положено, сделана статическая привязка MAC к IP в таблице, с читаемыми именами?

Но, как бы то ни было - для подделки IP вообще ничего не нужно - всё делается стандартными средствами, имеющимися в большинстве систем, а подделка MAC - чуть сложнее (http://habrahabr.ru/sandbox/62871/), но тоже без особо сложных подпрыгиваний решается.

Из простого и конструктивного могу предложить смену пароля на WiFi. Да, это не очень удобно, но ведь вы, наверное, не каждый день блокируете-разблокируете доступ? 8)

А из "нормальных" решений, которые приходят в голову - нужна авторизация доступа по логину-паролю, это, увы, без дополнительного железа я сделать не вижу способа. Хотя, может, упускаю что-то.

А вообще, не знаю, как у вас, но у нас симку с безлимитным 4G можно взять за 650 рублей в месяц, в 15 лет такие деньги можно и заработать, наверное 8)

- да, 1 порт свободен, пока. (в другом "гордо торчит" сетевой диск)
- ну не спец по сетям, я. в таблице подключаемых устройств напротив стоят галки "постоянный АйПи" у всех "домашних" дивайсов, включая злосчастный репитер.
- сменить пароль - это конечно мысль, но как выясняется, дома в инет не ходят только холодильник и плита/духовка :-( каждый раз, когда этот "лоб" приносит гордо "пару" со школы (что то у него этот год "на расслабоне" начался) менять пароль на всех дивайсах - ну его нафиг...ленивый я...мне проще тогда вместе с сыном отрубать репитер.
тут инет стоит 1круб/50гб трафика. ночи-бесплатно.

Отрубание репитера - это вариант. Проще всего.
Если есть желание подзаморочиться - можно попробовать вариант как у меня - от роутера кабель к точке доступа. Тогда всё равно роутер ведает всем доступом, в том числе фильтрацией по MAC и раздачей IP. И, кстати, тогда будет две точки доступа с двумя разными паролями (можно одну отключить или сменить пароль).
Свободный RJ45 - это дыра, конечно, но подключиться незаметно достаточно сложно, провод отследить легко. А потом, это вариант не для всех. Если чадо ходит с телефона/планшета, то что порт есть, что его нет - без разницы.

подключите wr150n через провод. И посмотрите внимательнее настройки, там должно быть возможность выбора основного устройства для авторизации по wifi. При правльной настройке, сеть обычно прописывать не надо.

Свободный RJ45 - это дыра, конечно, но подключиться незаметно достаточно сложно, провод отследить легко. А потом, это вариант не для всех. Если чадо ходит с телефона/планшета, то что порт есть, что его нет - без разницы.

Если всё раскинуто по стене по типу "паук, поджидающий добычу" - то да. А если лежит в шкафу или на тумбочке - то сделать отводку тоненькими проводками в ближайший ящик или за шкаф, а там повесить дешёвую точку доступа - то почему бы и нет 8)

Ну это я так, профессиональное искажение 8)

...сделать отводку тоненькими проводками в ближайший ящик или за шкаф, а там повесить дешёвую точку доступа - то почему бы и нет 8)
Возможно, согласен. Но вероятность обнаружения провода достаточно высокая в сравнении с б/пров. Имеем два кабеля: LAN + питание, значит занята ещё розетка. Хотя может сейчас бывают точки с питанием PoE, тогда один кабель. Потом, требуются деньги на покупку пусть даже дешёвой точки, которую при обнаружении могут конфисковать. Так что минусов достаточно.
В случае необходимости взлома лично я б начал с попытки обойти фильтр MAC и/или IP. Или подождать, когда снова разрешат доступ - тогда можно попытаться подобрать пароль к админке.
Ещё вариант - попробовать просто всё сбросить. К слову, роутеры с RJ11 типа Fritz!Box позволяют элементарный сброс набором номера на телефоне. Правда, у нас такие редкость. На Кинетике, если не ошибаюсь, кнопка сброса вообще аппаратная.
Потом, в случае взлома надо ещё не дать понять, что взломал. Т.е. фразы типа "Ну пап! Ну включи! Ну пожалуйста!" не отменяются:улыбочка:
З.Ы. Что-то мы удаляемся в деструктивную составляющуюю:комп:

DiskMan, в настройках репитера нет фильтрации по MAC-адресам? Можете скинуть инструкции, с ходу не могу её найти в интернете.

инструкция на бумаге примитивна: включите устройство, выберите режим (точка/роутер/репитер), выберите источник инета, нажмите "коннект". все поздравляем!
все "танцы с бубном" для тонкой доводки -это уж самостоятельно в меру фантазии/знаний не русского языка/сетестроения и терминологии ...
есть фильтрация по ай пи, но...галки стоят, айпи устройств сына забиты в список, что никак не мешает устройствам цепляться...
видимо самый простой вариант - сменить имя "репитерной сети" (или как правильно обозвать территории им покрываемую?) и в некоторых домашних устройствах добавить ее в списки подключения. типа, вот в зомбоящике в зале мне нафиг не надо подключаться к сети через репитер, в дальнем чулане...себе и жене в мобилах/планшете добавить "новую" сеть и успокоиться...
подключить репитер через шнурок к роутеру - конечно вариант, но, роутер стоит на 1 этаже, а репитер - на другом, практически по диагонали через весь дом...в принципе можно раскошелится на что-то типа "пауэрлайн" - сеть по силовым проводам (розеткам)- но ценник порядка 3круб за пару устройств несколько охлаждает пыл.

Отрубание репитера - это вариант. Проще всего.
Если есть желание подзаморочиться - можно попробовать вариант как у меня - от роутера кабель к точке доступа. Тогда всё равно роутер ведает всем доступом, в том числе фильтрацией по MAC и раздачей IP. И, кстати, тогда будет две точки доступа с двумя разными паролями (можно одну отключить или сменить пароль).
Свободный RJ45 - это дыра, конечно, но подключиться незаметно достаточно сложно, провод отследить легко. А потом, это вариант не для всех. Если чадо ходит с телефона/планшета, то что порт есть, что его нет - без разницы.

у "чада" успело накопиться: планшет/ноут/мобила/ПиэСПи/Вии и вся эта электроника ходит в инет через вифи. :-)
и как минимум комп надо периодически "пущать" в сеть, ибо - дневник - электронный, некоторые задания по информатике - делаются/сдаются на сайте, да и остальные предметники частенько к заданию аттачат файлы...

подключите wr150n через провод. И посмотрите внимательнее настройки, там должно быть возможность выбора основного устройства для авторизации по wifi. При правльной настройке, сеть обычно прописывать не надо.

спасибо, гляну при случае (пока просто отключил фиговину)