Просмотр полной версии : WiFi
день добрый, а есть здесь знатоки/любители/борцы с ЛВС вообще и ВиФи в частности?
дано:
дом, инет, вифи роутер, "глухие" углы в доме и рядом ;-), репитер.
требуется:
расширить покрытие вифи на "глухие" углы
сделано...да в принципе, расширилось, но возникла сложность: на роутере есть возможность "забанить" конкретные устройства, (пользую в "награду" за достижения сына ;-) ), так вот при установке репитера выяснилось, что устройства, забаненные роутером, все же получают доступ в сеть, путем подключения к репитеру (и он уже от своего лица оформляет регистрацию в сети и получение айпи адреса. при этом все ограничения как бы сохраняются - роутер честно рапортует о не допущении определенных дивайсов в сеть, а то что "их" айпи гроздью висят на репитере - так про это "уговора не было" :-))
собственно вопрос - это как то лечится или....???
Cosinus1024
17.11.2015, 19:06
Насчёт репитера не знаю, у меня немного по другому, хотя похожая ситуация (одна точка доступа не везде видна). Сделал так - в локальной сети висит вторая точка доступа (по сути такой же роутер), но на ней отключил почти все функции (т.е. без роутинга, раздачи адресов и тд). В результате при попытке подключиться к ней запрос адреса идёт через вторую точку и по кабелю до основного роутера, который и выделяет адреса. Таким образом, всей организацей ведает основной 1й роутер, а дополнительный просто точка доступа к локалке.
Вот как то так)
Судя по всему, у вас не в режиме репитера , а просто вторая точка доступа с теми-же настройками сети, кроме фильтрации MAC.
Скажите какой роутер и какая точка доступа ?
роутер: зухель кинетик 4г
репитер: комфаст wr150n
в настройках репитера (через веб интерфейс) таки значится, что включен режим репитера (на выбор предлагаютя режимы: роутер/репитер/точка доступа)- раздача айпи запрещена, имя сети совпадает с именем сети "от роутера".
Если сын технически подкованный, то поможет только смена пароля на wifi-сеть - и MAC, и IP возможно подменить.
А даже если и смена пароля - можно, например, воткнуться в Ethernet между репитером и роутером 8)
А эта возможность "забанить" в роутере - она по MAC или по IP?
Smarzhic
21.11.2015, 14:02
тут хорошо разжовано про организацию wifi сетей http://interface31.ru/tech_it/2014/07/postroenie-setey-wi-fi-planirovanie-i-inspektirovanie.html
Cosinus1024
22.11.2015, 01:18
А эта возможность "забанить" в роутере - она по MAC или по IP?
Кстати да, важный вопрос по диагностике проблемы. Вероятнее всего по MAC, поскольку IP похоже раздаётся, но хотелось бы знать точнее.
И ещё - когда подключается "забаненое" устройство - IP один и тот же?
Что можно попробовать:
1) собственно смена пароля. А то и имени точки доступа. И на всякий случай паролей доступа к админкам (веб-интерфейсам).
2) забанить устройство и в репитере тоже. Не знаю, позволит ли, надо копаться.
3) (опять же если позволяет) настроить доступ по принципу "белого" списка, т.е. разрешено только явно перечисленным устройствам.
4) А может вместо репитера поиграться с расположением роутера, только с дополнительной антенной? Кинетик позволяет без проблем, у меня в машине такой.
В общем, если подходить к теме всерьёз, то нужны ответы на следующие вопросы:
1. Насколько технически подкован блокируемый?(и о каком возрасте речь?)
2. Помимо Wi-Fi есть ли провода(или порты), куда можно воткнуться незаметно? Если да, то закрытие вайфая проблему не решит.
3. Какой бюджет решения? Может, вместо двух недорогих вай-фай железок поставить одну мощную, которая будет решать вопросы с доступом(а кинетик оставить как интернет-гейт, отключив в нём вай-фай).
Слишком много неизвестных, ведь речь может идти как о том, чтобы пятилетний пацан с планшета интернет не видел, так и о том, что 15-летний лоб с современными познаниями в IT не смог пробиться в сеть.
- "лоб" таки 15 летний, ну почти :-) но вроде в наглую не лезет.
- "воткнуться не заметно" -низзя, ибо инет через МТС-овский "свисток" :-)
- роутер таки позволяет выбирать принцип пускания по белому/черному списку. кстати, да чет не подумал, по умолчанию пользую черный...
- да, вся "баня" по MAC.
- устройства, подключенные через репитер получают свой собственный, фиксированный АйПи роутером (т.е. роутер типа, догадывается, что то вот это конкретное железо мобила/планшет сына и выдаёт им их постоянные АйПишки). при этом в веб-интерфейсе кинетика "официально" висят те, кому доступ разрешен, и репитер, с перечислением АйПи подключенных через него дивайсов...
- "воткнуться не заметно" -низзя, ибо инет через МТС-овский "свисток" :-)
А причем тут свисток? На Zyxel 4G есть аж два Ethernet-порта. Наверняка хоть один да свободен 8)
роутер типа, догадывается, что то вот это конкретное железо мобила/планшет сына и выдаёт им их постоянные АйПишки
"типа догадывается" или, как положено, сделана статическая привязка MAC к IP в таблице, с читаемыми именами?
Но, как бы то ни было - для подделки IP вообще ничего не нужно - всё делается стандартными средствами, имеющимися в большинстве систем, а подделка MAC - чуть сложнее (http://habrahabr.ru/sandbox/62871/), но тоже без особо сложных подпрыгиваний решается.
Из простого и конструктивного могу предложить смену пароля на WiFi. Да, это не очень удобно, но ведь вы, наверное, не каждый день блокируете-разблокируете доступ? 8)
А из "нормальных" решений, которые приходят в голову - нужна авторизация доступа по логину-паролю, это, увы, без дополнительного железа я сделать не вижу способа. Хотя, может, упускаю что-то.
А вообще, не знаю, как у вас, но у нас симку с безлимитным 4G можно взять за 650 рублей в месяц, в 15 лет такие деньги можно и заработать, наверное 8)
- да, 1 порт свободен, пока. (в другом "гордо торчит" сетевой диск)
- ну не спец по сетям, я. в таблице подключаемых устройств напротив стоят галки "постоянный АйПи" у всех "домашних" дивайсов, включая злосчастный репитер.
- сменить пароль - это конечно мысль, но как выясняется, дома в инет не ходят только холодильник и плита/духовка :-( каждый раз, когда этот "лоб" приносит гордо "пару" со школы (что то у него этот год "на расслабоне" начался) менять пароль на всех дивайсах - ну его нафиг...ленивый я...мне проще тогда вместе с сыном отрубать репитер.
тут инет стоит 1круб/50гб трафика. ночи-бесплатно.
Cosinus1024
23.11.2015, 13:26
Отрубание репитера - это вариант. Проще всего.
Если есть желание подзаморочиться - можно попробовать вариант как у меня - от роутера кабель к точке доступа. Тогда всё равно роутер ведает всем доступом, в том числе фильтрацией по MAC и раздачей IP. И, кстати, тогда будет две точки доступа с двумя разными паролями (можно одну отключить или сменить пароль).
Свободный RJ45 - это дыра, конечно, но подключиться незаметно достаточно сложно, провод отследить легко. А потом, это вариант не для всех. Если чадо ходит с телефона/планшета, то что порт есть, что его нет - без разницы.
подключите wr150n через провод. И посмотрите внимательнее настройки, там должно быть возможность выбора основного устройства для авторизации по wifi. При правльной настройке, сеть обычно прописывать не надо.
Свободный RJ45 - это дыра, конечно, но подключиться незаметно достаточно сложно, провод отследить легко. А потом, это вариант не для всех. Если чадо ходит с телефона/планшета, то что порт есть, что его нет - без разницы.
Если всё раскинуто по стене по типу "паук, поджидающий добычу" - то да. А если лежит в шкафу или на тумбочке - то сделать отводку тоненькими проводками в ближайший ящик или за шкаф, а там повесить дешёвую точку доступа - то почему бы и нет 8)
Ну это я так, профессиональное искажение 8)
Cosinus1024
24.11.2015, 01:36
...сделать отводку тоненькими проводками в ближайший ящик или за шкаф, а там повесить дешёвую точку доступа - то почему бы и нет 8)
Возможно, согласен. Но вероятность обнаружения провода достаточно высокая в сравнении с б/пров. Имеем два кабеля: LAN + питание, значит занята ещё розетка. Хотя может сейчас бывают точки с питанием PoE, тогда один кабель. Потом, требуются деньги на покупку пусть даже дешёвой точки, которую при обнаружении могут конфисковать. Так что минусов достаточно.
В случае необходимости взлома лично я б начал с попытки обойти фильтр MAC и/или IP. Или подождать, когда снова разрешат доступ - тогда можно попытаться подобрать пароль к админке.
Ещё вариант - попробовать просто всё сбросить. К слову, роутеры с RJ11 типа Fritz!Box позволяют элементарный сброс набором номера на телефоне. Правда, у нас такие редкость. На Кинетике, если не ошибаюсь, кнопка сброса вообще аппаратная.
Потом, в случае взлома надо ещё не дать понять, что взломал. Т.е. фразы типа "Ну пап! Ну включи! Ну пожалуйста!" не отменяются:улыбочка:
З.Ы. Что-то мы удаляемся в деструктивную составляющуюю:комп:
DiskMan, в настройках репитера нет фильтрации по MAC-адресам? Можете скинуть инструкции, с ходу не могу её найти в интернете.
инструкция на бумаге примитивна: включите устройство, выберите режим (точка/роутер/репитер), выберите источник инета, нажмите "коннект". все поздравляем!
все "танцы с бубном" для тонкой доводки -это уж самостоятельно в меру фантазии/знаний не русского языка/сетестроения и терминологии ...
есть фильтрация по ай пи, но...галки стоят, айпи устройств сына забиты в список, что никак не мешает устройствам цепляться...
видимо самый простой вариант - сменить имя "репитерной сети" (или как правильно обозвать территории им покрываемую?) и в некоторых домашних устройствах добавить ее в списки подключения. типа, вот в зомбоящике в зале мне нафиг не надо подключаться к сети через репитер, в дальнем чулане...себе и жене в мобилах/планшете добавить "новую" сеть и успокоиться...
подключить репитер через шнурок к роутеру - конечно вариант, но, роутер стоит на 1 этаже, а репитер - на другом, практически по диагонали через весь дом...в принципе можно раскошелится на что-то типа "пауэрлайн" - сеть по силовым проводам (розеткам)- но ценник порядка 3круб за пару устройств несколько охлаждает пыл.
Отрубание репитера - это вариант. Проще всего.
Если есть желание подзаморочиться - можно попробовать вариант как у меня - от роутера кабель к точке доступа. Тогда всё равно роутер ведает всем доступом, в том числе фильтрацией по MAC и раздачей IP. И, кстати, тогда будет две точки доступа с двумя разными паролями (можно одну отключить или сменить пароль).
Свободный RJ45 - это дыра, конечно, но подключиться незаметно достаточно сложно, провод отследить легко. А потом, это вариант не для всех. Если чадо ходит с телефона/планшета, то что порт есть, что его нет - без разницы.
у "чада" успело накопиться: планшет/ноут/мобила/ПиэСПи/Вии и вся эта электроника ходит в инет через вифи. :-)
и как минимум комп надо периодически "пущать" в сеть, ибо - дневник - электронный, некоторые задания по информатике - делаются/сдаются на сайте, да и остальные предметники частенько к заданию аттачат файлы...
подключите wr150n через провод. И посмотрите внимательнее настройки, там должно быть возможность выбора основного устройства для авторизации по wifi. При правльной настройке, сеть обычно прописывать не надо.
спасибо, гляну при случае (пока просто отключил фиговину)
vBulletin® v4.2.5, Copyright ©2000-2024, Jelsoft Enterprises Ltd. Перевод: zCarot