Jump to content
  • 40
blbulyandavbulyan

Куда подевалась фильтрация по MAC адресам?

Question

66 answers to this question

  • 1
В 11.04.2018 в 17:56, blbulyandavbulyan сказал:

Где в новом веб интерфейсе фильтрация по mac адресам?

Есть новости. Мы с отделом продукции проанализировали, как использовались черные/белые списки. Публикуем выводы здесь. Давайте обсуждать. Возможно, какие-то детали изменятся.

 

Черные/белые списки Wi-Fi

Признаём, проблема, вызвавшая весьма негативную реакцию. Из-за удаления черных/белых списков у пользователей пропала возможность решать следующие задачи:

  1. Блокировать доступ устройствам Wi-Fi к домашней сети.

  2. Блокировать доступ к 2,4 ГГц, вынуждая клиента всегда выбирать 5 ГГц.

  3. Блокировать подключение Wi-Fi репитера не к той точке доступа.

В исходном виде функцию вернуть невозможно. Она противоречит дальнейшим планам по реализации Wi-Fi системы. Каждая из перечисленных задач будет решена в версии 2.13 на новом уровне и гораздо удобнее, а именно:

  1. Добавление более жесткого уровня запрета доступа в модуль ip hotspot. *

  2. Гибкая настройка Band Steering для отдельных устройств.

  3. Автоматическая блокировка MAC-адреса репитера при добавлении в Wi-Fi систему. (Подобные настройки должны делаться без вмешательства пользователя.)

В CLI черные/белые списки Wi-Fi по-прежнему доступны, их удаление не планируется.

* Здесь поясню. В API системы ip hotspot будет добавлен новый уровень запрета для сегментов и хостов. На странице "Приоритеты подключений" добавляется более жесткий режим: "Без доступа к Wi-Fi", куда можно перетаскивать сегменты и хосты. У черных и белых списков в драйвере нет жестких ограничений по размеру, поэтому сформированные списки можно передавать на все будущие устройства домашней Wi-Fi системы.

Использование текущего API "interface mac access-list" в веб-интерфейсе приведет в тупик, а нового API пока нет. Поэтому в 2.12 придется пожить без блокировки Wi-Fi в вебе.


04.08.2018: дальнейший анализ показал, что оптимально делать запрет доступа посегментно. (Первоначальная идея с ip hotspot не позволяет разрешить доступ, например, только в гостевую сеть.) В таком виде ACL реализован в версии 2.13.A.4.0-1 и добавлен в веб-интерфейс. Всем спасибо за конструктивную критику!

 

  • Thanks 1
  • Upvote 11

Share this post


Link to post
Share on other sites
  • 0

ы-ы-ы... где-то уже подобное было... ах, да! windows и кнопулька "Пуск". 99,9% пользователей засерили кирпичами от отсутствия оной. дескать, как же мы, бедняги, наши кампутеры !!!Внимание!!! - выключать будем? мы ж деградировали и иных способов не знаем. в результате кнопку вернули.

"... правильной дорогой идёте, товарисчи!.."

достали!

  • Confused 1
  • Y'r wrong 5

Share this post


Link to post
Share on other sites
  • 0

Вместо тупого флуда лучше бы объяснили @Dmitry Tishkin зачем это вам - ваши пользовательские сценарии, а он бы подумал куда в новый веб это лучше встроить.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
4 часа назад, Le ecureuil сказал:

Вместо тупого флуда лучше бы объяснили @Dmitry Tishkin зачем это вам - ваши пользовательские сценарии, а он бы подумал куда в новый веб это лучше встроить.

Я уже выше писал,что как домашнее решение может не очень актуально. Впрочем может кто-то и дома использует. Но как офисное очень нужное. А Keeneticов  по офисам ведь не мало стоит. В частности я активно фильтрацией пользуюсь именно в офисных сетях. 

Share this post


Link to post
Share on other sites
  • 0

если завтра @Dmitry Tishkin решит, что 8 LAN портов в Ultra II это слишком много для большинства пользователей (а реально это именно так), то ограничатся ли создатели очередной прошивки простой блокировкой "лишних" или к каждому владельцу этих устройств будет проходить специально обученный человек и выдирать "лишние" порты?

нет, ну реально, нафига 8 портов то?

достаточно 4. ну 6. а 8 куда???

  • Upvote 4

Share this post


Link to post
Share on other sites
  • 0

@Dmitry Tishkin  Взываем Вас к здравому смыслу по теме.

Эта тема подымается также в свете отсутствия старого интерфейса - см. сообщения от @Dmitriy Ryabov

https://forum.keenetic.net/topic/4618-http-удалена-поддержка-старого-веб-интерфейса/#comment-54062

 

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

Не пойму, почему разработчики открыто не признаются - невозможно гарантировать детект подключения именно по W-Fi, ведь если девайс подключен к ТД, на главном роутере он виден как проводной и фильтруется из списка. Вины разработчиков в этом нет - задача строить mesh сеть из умных ТД и контроллера за пределами бюджета Keenetic. Без фильтра эта красивая и очень востребованная функция будет хромым дублёром другого механизма - запрета ходить в сеть зарегистрированным/незарегистрированным устройствам. Почему не дать прямой развёрнутый авторитетный ответ с жирной точкой в конце, как умеет @Padavan, @Le ecureuil и @ndm? Зачем юлить и изворачиваться ни два ни полтора? Зачем провоцировать бессмысленную дискуссию?

И кстати, @Dmitry Tishkin - есть рабочий сценарий использования именно этой функции. Ноутбук двухдиапазонный, основной роутер Ultra + AP Omni. С помощью ЧС запрещал ему подключаться к Ultra на 2.4, чтобы принудительно шел на 5. Из-за фильтрации из списка устройств подключенных проводом, после даже кратковременного коннекта к ТД ноутбук из списка удаляется и опять цепляется на 2.4 к Ultra.

Edited by makc22
  • Upvote 2

Share this post


Link to post
Share on other sites
  • 0

Ув. makc22, Вы так хорошо написали, что есть технические сложности в отведенном бюджете, но не написали, что это стандартный функционал всех роутеров, даже за 11 USD, который у меня стоит на работе. Представляете, там это есть!, а может быть и работает, и в Кинетике было, а сейчас за пользователей разрабы решили, что совсем не нужно :shock: и требуют доказательств нужности. Мы не на суде, чтобы что-то доказывать, я голосовал рублем. И Вы, и другие форумчане приводили примеры использования. Что еще надо, поклониться в ножки славному парню Дмитрию Тишкину? Я уважаю его работу, но он игнорирует этот раздел, ничего не ответил по существу вопроса. А некоторые уважаемые мною гуру форума просто тролят тему. Это не обмен мнениями, это откровенное неуважение к форумчанам и в конце концов к потребителю.

Edited by iggo
  • Upvote 4

Share this post


Link to post
Share on other sites
  • 0
18 hours ago, makc22 said:

Не пойму, почему разработчики открыто не признаются - невозможно гарантировать детект подключения именно по W-Fi, ведь если девайс подключен к ТД, на главном роутере он виден как проводной и фильтруется из списка. Вины разработчиков в этом нет - задача строить mesh сеть из умных ТД и контроллера за пределами бюджета Keenetic. Без фильтра эта красивая и очень востребованная функция будет хромым дублёром другого механизма - запрета ходить в сеть зарегистрированным/незарегистрированным устройствам.

@makc22: верно улавливаете суть. Стоит добавить, что технологии Wi-Fi систем разрабатываются не вендорами конечных изделий, а поставщиками чипсетов. Никакие финансовые вливания не помогут сделать полноценный mesh, если разработчик чипа это не предусмотрел. У них идет своя работа, мы за этим внимательно следим, но не стоит ждать появления дешевых умных ТД. Будут или дешевые, или умные, так устроен этот рынок.

Функция запрета доступа, безусловно, будет дорабатываться. Она изначально задумывалась в виде: разрешить ассоциацию с ТД, после чего умным образом сообщить хозяину или самому клиенту, что доступ запрещен, и тут же кнопка "разрешить" в мобильном приложении, и прочее. Фильтр по MAC-адресам эту идею полностью ломает.

Что касается умных сетей, нам никуда не деться от сценария, когда люди ставят домой дополнительные ТД для улучшения зоны покрытия. Даже если они из бюджетного железа, и там будет непонятный псевдо-роуминг, в наших силах сделать их настройку более удобной.

18 hours ago, makc22 said:

рабочий сценарий использования именно этой функции. Ноутбук двухдиапазонный, основной роутер Ultra + AP Omni. С помощью ЧС запрещал ему подключаться к Ultra на 2.4, чтобы принудительно шел на 5. Из-за фильтрации из списка устройств подключенных проводом, после даже кратковременного коннекта к ТД ноутбук из списка удаляется и опять цепляется на 2.4 к Ultra.

Мы сами попросили Дмитрия "держать оборону" здесь во избежание худших проблем в поддержке. Поведение, когда клиента пинают с ТД, сильно зависит от клиента. Грубо говоря, если ТД по маякам ему очень нравится, но там тупой фильтр, он может вообще забить на SSID или начать спрашивать PSK по второму разу, и это выглядит отвратительно. В Вашем сценарии надо делать настройку — предпочтение по диапазону для отдельных клиентов, чтобы это так и выглядело в GUI.

  • Upvote 3
  • Confused 1

Share this post


Link to post
Share on other sites
  • 0
2 минуты назад, AndreBA сказал:

Хитро...(Вы поняли про что) :wink:

да, но не из хитрости, а дабы другим было тоже быстрее  найти.. и не оффтоп)

а Вам  - спасибо! пытаюсь сделать по статье

Share this post


Link to post
Share on other sites
  • 0
В 30.05.2018 в 18:16, ndm сказал:

На странице "Приоритеты подключений" добавляется более жесткий режим: "Без доступа к Wi-Fi", куда можно перетаскивать сегменты и хосты.

Вот это хорошо, будем ждать. Лишь бы на мою Гигу вышла)

Edited by Sergei Kazennikov

Share this post


Link to post
Share on other sites
  • 0

А у меня такая радость: галочку вы убрали из веб-морды, а в кишках она где-то осталась. И теперь я не могу ни одного нового устройства подключить к вайфаю. Спасибо за заботу!

А когда хочу зарегистрировать вручную пользователя, то на кнопку "зарегистрировать" окно просто не реагирует. Браво!

Вы бы хоть спросили, прежде чем делать.

Share this post


Link to post
Share on other sites
  • 0
8 часов назад, Ибрагим Жапильщик сказал:

Вы бы хоть спросили, прежде чем делать.

Вы читали эту тему полностью? Разработчики отвечали на вопросы.

8 часов назад, Ибрагим Жапильщик сказал:

А у меня такая радость: галочку вы убрали из веб-морды, а в кишках она где-то осталась. И теперь я не могу ни одного нового устройства подключить к вайфаю.

Если не много настроек, то полный сброс и настройка с нуля.

Или через cli редактировать.

Share this post


Link to post
Share on other sites
  • 0

@Ибрагим Жапильщик да, у некоторых пользователей воспроизводится данный баг с регистрацией нового хоста в Домашнем сегменте. Если и после сброса у Вас воспроизводится проблема, то можно сделать регистрацию в консоли, введя следующие команды:

known host MYCOMP a8:1e:84:85:f2:xx
ip dhcp host MYCOMP a8:1e:84:85:f2:xx 192.168.1.44
system configuration save

получаем:

2018-07-13-screen.png

Share this post


Link to post
Share on other sites
  • 0
В 13.07.2018 в 17:20, enpa сказал:

@Ибрагим Жапильщик да, у некоторых пользователей воспроизводится данный баг с регистрацией нового хоста в Домашнем сегменте. Если и после сброса у Вас воспроизводится проблема, то можно сделать регистрацию в консоли, введя следующие команды:


known host MYCOMP a8:1e:84:85:f2:xx
ip dhcp host MYCOMP a8:1e:84:85:f2:xx 192.168.1.44
system configuration save

получаем:

2018-07-13-screen.png

НЕ РАБОТАЕТ. Устройство зарегистрировано, подключиться к сети не дает, при этом в гостевой сеть работает и на 2,4 и на 5 ГГц. И, отвечая, предыдущему оратору про то, что разработчики отвечали, хочу сказать - у меня нет времени мониторить все форумы в мире, чтобы выловить изменения в работе тех вещей, которые УЖЕ РАБОТАЮТ. Не трогайте работающее.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
12 часа назад, Ибрагим Жапильщик сказал:

НЕ РАБОТАЕТ. Устройство зарегистрировано, подключиться к сети не дает, при этом в гостевой сеть работает и на 2,4 и на 5 ГГц. И, отвечая, предыдущему оратору про то, что разработчики отвечали, хочу сказать - у меня нет времени мониторить все форумы в мире, чтобы выловить изменения в работе тех вещей, которые УЖЕ РАБОТАЮТ. Не трогайте работающее.

Не обновляй работающее. Все согласно вашей логике. Если уж подписался на обновления, будь добр следи за ходом разработки. Я обновляю все вручную и никаких претензий кроме себя быть не может.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0

Вот еще один кейс.

Стоит роутер в небольшом офисе. Была включена фильтрация по белому списку. Понадобилось, в первый раз за много времени, дать доступ новому устройству, но как сами понимаете нужной функции в интерфейсе найти не смогли. Получается интересная ситуация: можно пойти по тупому пути и сбросить настройки роутера, а потом заново перенастраивать и создавать этот список уже в новом функционале, либо шерстить вашу документация как же там в CLI эти функции работают.

И самый главный вопрос: почему убрали функцию из веба, но не отключили ее в CLI? Какие-то полумеры. Если уж решили никого не предупредив выпилить ИСПОЛЬЗУЕМЫЙ функционал, так делайте до конца.

23 часа назад, keshun сказал:

Не обновляй работающее. Все согласно вашей логике. Если уж подписался на обновления, будь добр следи за ходом разработки. Я обновляю все вручную и никаких претензий кроме себя быть не может.

Этот функционал включен по умолчанию. Роутеры Kinetic относятся к классу SOHO, т.е. для домашнего использования "включил и забыл". Большинство даже задумываться про это обновление не будет.

Share this post


Link to post
Share on other sites
  • 0
22 часа назад, Роман «An1metall» Бардашов сказал:

относятся к классу SOHO, т.е. для домашнего использования "включил и забыл". Большинство даже

Знать не знает , что там есть функция белого списка и куча других фич, и пароль от WI-FI оказывается можно менять. Вы сами сказали это роутер для дома и там нафиг не нужна такая фильтрация. Засунули его в офис и требуете функционал CISCO.

Share this post


Link to post
Share on other sites
  • 0
В 15.07.2018 в 11:16, Роман «An1metall» Бардашов сказал:

почему убрали функцию из веба, но не отключили ее в CLI?

Потому что была заявлена изначально в техописании.

Share this post


Link to post
Share on other sites
  • 0

а как с консоли получить эти списки (черные и белые) ? в том числе на старых прошивках?

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, VecH сказал:

а как с консоли получить эти списки (черные и белые) ? в том числе на старых прошивках?

Чуть выше уже писали как...

Share this post


Link to post
Share on other sites
  • 0

Скорее всего я неверно выразился, или меня наверно поняли

мне нужно не разрешать/запрещать

а посмотреть текущие списки в cli

 

подозреваю что проще будет

system configuration save
more startup-config

и уже там grep-ать списки

неужели штатных вариантов кроме этого нет?

Share this post


Link to post
Share on other sites
  • 0
4 минуты назад, VecH сказал:

Скорее всего я неверно выразился, или меня наверно поняли

мне нужно не разрешать/запрещать

а посмотреть текущие списки в cli

 

подозреваю что проще будет


system configuration save
more startup-config

и уже там grep-ать списки

неужели штатных вариантов кроме этого нет?

2018-07-17_160415.png.1d6e7ea980c1f094f3d91972ef5a08b7.png

Либо скачать startup-config и в нем посмотреть

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, T@rkus сказал:

 

  Показать содержимое

2018-07-17_160415.png.1d6e7ea980c1f094f3d91972ef5a08b7.png

Либо скачать startup-config и в нем посмотреть

Как посмотреть я и сам оттуда уже описал

Ладно, утрирую вопрос:

У меня только консоль линуксовая, как я могу скачать этот файл через без огромного геморроя в виде шастанья wget-ом с предварительным сохранением cookie и т.д.?

Share this post


Link to post
Share on other sites
  • 0
21 час назад, VecH сказал:

У меня только консоль линуксовая, как я могу скачать этот файл через без огромного геморроя в виде шастанья wget-ом...

А чем вам внезапно не угодил православный wget с прямой ссылкой аля http://my.keenetic.net/ci/startup-config.txt???

Share this post


Link to post
Share on other sites
  • 0
root@pve:~/test# wget --user=admin --password=pass1234 http://10.2.33.37/startup-config.txt
--2018-07-18 19:55:35--  http://10.2.33.37/startup-config.txt
Connecting to 10.2.33.37:80... connected.
HTTP request sent, awaiting response... 401 Unauthorized
Authentication selected: Digest realm="ZyXEL Keenetic III", nonce="0h1PWz+QkxbKqcViq2f0E91ITtF7nVWN", qop="auth"
Reusing existing connection to 10.2.33.37:80.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: /error.html?code=404&ref=%2Fstartup-config.txt [following]
--2018-07-18 19:55:36--  http://10.2.33.37/error.html?code=404&ref=%2Fstartup-config.txt
Reusing existing connection to 10.2.33.37:80.
HTTP request sent, awaiting response... 401 Unauthorized
Authentication selected: Digest realm="ZyXEL Keenetic III", nonce="0h1PW0LAaVUzblFgCNYAoVWJxzMyrtdu", qop="auth"
Reusing existing connection to 10.2.33.37:80.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: ‘startup-config.txt’

startup-config.txt                                              [ <=>                                                                                                                                     ]     938  --.-KB/s    in 0s

2018-07-18 19:55:36 (160 MB/s) - ‘startup-config.txt’ saved [938]
root@pve:~/test# cat startup-config.txt
<!DOCTYPE html>
<html><head>
<meta charset="utf-8"/>
<title></title>
<script>

var s = location.search.substr(1),
    query = {};
if (s) {
        var a = s.split('&');
        for (var i = 0; i < a.length; ++i) {
                var l = a[i].split('=');
                query[l[0]] = decodeURIComponent(l[1]);
        }
}

var start = /^\/[A-Z]{2}\/([a-z0-9_-]*)\.html(.*)$/.exec(query.ref);

if (start && query.ref) {
        var ref = query.ref.split('?'),
            ref_query = {},
            a = (ref[1] || '').split('&');
        for (var i = 0; i < a.length; ++i) {
                var l = a[i].split('=');
                ref_query[l[0]] = decodeURIComponent(l[1]);
        }
        location.replace('/#'+start[1]+'/back='+encodeURIComponent(ref_query.back));
} else {
        var redir = /^\/([A-Z]{2})\/([a-z0-9_-]*)\/([a-z0-9_-]*)\.html(.*)$/.exec(query.ref);
        if (redir)
                window.localStorage.l10n_lang = redir[1];
        location.replace(redir && query.code == '404' ? '/#'+redir[2]+'.'+redir[3] : '/#error/'+s);
}

</script></head><body></body></html>

 

Share this post


Link to post
Share on other sites
  • 0
wget "http://10.2.33.37/ci/startup-config.txt" --user="admin" --password="password"

заработало

Edited by VecH

Share this post


Link to post
Share on other sites
  • 0
10 минут назад, VecH сказал:

wget "http://10.2.33.37/ci/startup-config.txt" --user="admin" --password="password"

заработало

Почему-то нисколько не удивлён...

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.

  • Recently Browsing   0 members

    No registered users viewing this page.

×