Куда подевалась фильтрация по MAC адресам?

[blbulyandavbulyan 19]

Где в новом веб-интерфейсе фильтрация по mac адресам?

[ndm 5,069]

В 11.04.2018 в 17:56, blbulyandavbulyan сказал:

Где в новом веб интерфейсе фильтрация по mac адресам?

Есть новости. Мы с отделом продукции проанализировали, как использовались черные/белые списки. Публикуем выводы здесь. Давайте обсуждать. Возможно, какие-то детали изменятся.

 

Черные/белые списки Wi-Fi

Признаём, проблема, вызвавшая весьма негативную реакцию. Из-за удаления черных/белых списков у пользователей пропала возможность решать следующие задачи:

1. Блокировать доступ устройствам Wi-Fi к домашней сети.

2. Блокировать доступ к 2,4 ГГц, вынуждая клиента всегда выбирать 5 ГГц.

3. Блокировать подключение Wi-Fi репитера не к той точке доступа.

В исходном виде функцию вернуть невозможно. Она противоречит дальнейшим планам по реализации Wi-Fi системы. Каждая из перечисленных задач будет решена в версии 2.13 на новом уровне и гораздо удобнее, а именно:

1. Добавление более жесткого уровня запрета доступа в модуль ip hotspot. *

2. Гибкая настройка Band Steering для отдельных устройств.

3. Автоматическая блокировка MAC-адреса репитера при добавлении в Wi-Fi систему. (Подобные настройки должны делаться без вмешательства пользователя.)

В CLI черные/белые списки Wi-Fi по-прежнему доступны, их удаление не планируется.

* Здесь поясню. В API системы ip hotspot будет добавлен новый уровень запрета для сегментов и хостов. На странице "Приоритеты подключений" добавляется более жесткий режим: "Без доступа к Wi-Fi", куда можно перетаскивать сегменты и хосты. У черных и белых списков в драйвере нет жестких ограничений по размеру, поэтому сформированные списки можно передавать на все будущие устройства домашней Wi-Fi системы.

Использование текущего API "interface mac access-list" в веб-интерфейсе приведет в тупик, а нового API пока нет. Поэтому в 2.12 придется пожить без блокировки Wi-Fi в вебе.

---

04.08.2018: дальнейший анализ показал, что оптимально делать запрет доступа посегментно. (Первоначальная идея с ip hotspot не позволяет разрешить доступ, например, только в гостевую сеть.) В таком виде ACL реализован в версии 2.13.A.4.0-1 и добавлен в веб-интерфейс. Всем спасибо за конструктивную критику!

 

[enpa 547]

Контроль доступа по MAC-адресам для беспроводной сети Wi-Fi - пример настройки в cli \ консоли (статья из базы знаний Keenetic).

[T@rkus 441]

4 часа назад, Le ecureuil сказал:

Вместо тупого флуда лучше бы объяснили @Dmitry Tishkin зачем это вам - ваши пользовательские сценарии, а он бы подумал куда в новый веб это лучше встроить.

Я уже выше писал,что как домашнее решение может не очень актуально. Впрочем может кто-то и дома использует. Но как офисное очень нужное. А Keeneticов  по офисам ведь не мало стоит. В частности я активно фильтрацией пользуюсь именно в офисных сетях. 

[Dmitriy Ryabov 10]

если завтра @Dmitry Tishkin решит, что 8 LAN портов в Ultra II это слишком много для большинства пользователей (а реально это именно так), то ограничатся ли создатели очередной прошивки простой блокировкой "лишних" или к каждому владельцу этих устройств будет проходить специально обученный человек и выдирать "лишние" порты?

нет, ну реально, нафига 8 портов то?

достаточно 4. ну 6. а 8 куда???

[iggo 341]

@Dmitry Tishkin  Взываем Вас к здравому смыслу по теме.

Эта тема подымается также в свете отсутствия старого интерфейса - см. сообщения от @Dmitriy Ryabov

https://forum.keenetic.net/topic/4618-http-удалена-поддержка-старого-веб-интерфейса/#comment-54062

 

[makc22 10]

Не пойму, почему разработчики открыто не признаются - невозможно гарантировать детект подключения именно по W-Fi, ведь если девайс подключен к ТД, на главном роутере он виден как проводной и фильтруется из списка. Вины разработчиков в этом нет - задача строить mesh сеть из умных ТД и контроллера за пределами бюджета Keenetic. Без фильтра эта красивая и очень востребованная функция будет хромым дублёром другого механизма - запрета ходить в сеть зарегистрированным/незарегистрированным устройствам. Почему не дать прямой развёрнутый авторитетный ответ с жирной точкой в конце, как умеет @Padavan, @Le ecureuil и @ndm? Зачем юлить и изворачиваться ни два ни полтора? Зачем провоцировать бессмысленную дискуссию?

И кстати, @Dmitry Tishkin - есть рабочий сценарий использования именно этой функции. Ноутбук двухдиапазонный, основной роутер Ultra + AP Omni. С помощью ЧС запрещал ему подключаться к Ultra на 2.4, чтобы принудительно шел на 5. Из-за фильтрации из списка устройств подключенных проводом, после даже кратковременного коннекта к ТД ноутбук из списка удаляется и опять цепляется на 2.4 к Ultra.

Edited May 13, 2018 by makc22

[iggo 341]

Ув. makc22, Вы так хорошо написали, что есть технические сложности в отведенном бюджете, но не написали, что это стандартный функционал всех роутеров, даже за 11 USD, который у меня стоит на работе. Представляете, там это есть!, а может быть и работает, и в Кинетике было, а сейчас за пользователей разрабы решили, что совсем не нужно и требуют доказательств нужности. Мы не на суде, чтобы что-то доказывать, я голосовал рублем. И Вы, и другие форумчане приводили примеры использования. Что еще надо, поклониться в ножки славному парню Дмитрию Тишкину? Я уважаю его работу, но он игнорирует этот раздел, ничего не ответил по существу вопроса. А некоторые уважаемые мною гуру форума просто тролят тему. Это не обмен мнениями, это откровенное неуважение к форумчанам и в конце концов к потребителю.

Edited May 13, 2018 by iggo

[ndm 5,069]

18 hours ago, makc22 said:

Не пойму, почему разработчики открыто не признаются - невозможно гарантировать детект подключения именно по W-Fi, ведь если девайс подключен к ТД, на главном роутере он виден как проводной и фильтруется из списка. Вины разработчиков в этом нет - задача строить mesh сеть из умных ТД и контроллера за пределами бюджета Keenetic. Без фильтра эта красивая и очень востребованная функция будет хромым дублёром другого механизма - запрета ходить в сеть зарегистрированным/незарегистрированным устройствам.

@makc22: верно улавливаете суть. Стоит добавить, что технологии Wi-Fi систем разрабатываются не вендорами конечных изделий, а поставщиками чипсетов. Никакие финансовые вливания не помогут сделать полноценный mesh, если разработчик чипа это не предусмотрел. У них идет своя работа, мы за этим внимательно следим, но не стоит ждать появления дешевых умных ТД. Будут или дешевые, или умные, так устроен этот рынок.

Функция запрета доступа, безусловно, будет дорабатываться. Она изначально задумывалась в виде: разрешить ассоциацию с ТД, после чего умным образом сообщить хозяину или самому клиенту, что доступ запрещен, и тут же кнопка "разрешить" в мобильном приложении, и прочее. Фильтр по MAC-адресам эту идею полностью ломает.

Что касается умных сетей, нам никуда не деться от сценария, когда люди ставят домой дополнительные ТД для улучшения зоны покрытия. Даже если они из бюджетного железа, и там будет непонятный псевдо-роуминг, в наших силах сделать их настройку более удобной.

18 hours ago, makc22 said:

рабочий сценарий использования именно этой функции. Ноутбук двухдиапазонный, основной роутер Ultra + AP Omni. С помощью ЧС запрещал ему подключаться к Ultra на 2.4, чтобы принудительно шел на 5. Из-за фильтрации из списка устройств подключенных проводом, после даже кратковременного коннекта к ТД ноутбук из списка удаляется и опять цепляется на 2.4 к Ultra.

Мы сами попросили Дмитрия "держать оборону" здесь во избежание худших проблем в поддержке. Поведение, когда клиента пинают с ТД, сильно зависит от клиента. Грубо говоря, если ТД по маякам ему очень нравится, но там тупой фильтр, он может вообще забить на SSID или начать спрашивать PSK по второму разу, и это выглядит отвратительно. В Вашем сценарии надо делать настройку — предпочтение по диапазону для отдельных клиентов, чтобы это так и выглядело в GUI.

[Gemini_rus 0]

В 12.04.2018 в 10:30, Le ecureuil сказал:

А где в старом web фильтрация по MAC? 

https://help.keenetic.com/hc/ru/articles/213969309-Контроль-доступа-по-MAC-адресам-для-беспроводной-сети-Wi-Fi

 

[AndreBA 1,056]

2 минуты назад, Илья Жив-в сказал:

https://help.keenetic.com/hc/ru/articles/213969309-Контроль-доступа-по-MAC-адресам-для-беспроводной-сети-Wi-Fi

 

Хитро...(Вы поняли про что) 

[Gemini_rus 0]

2 минуты назад, AndreBA сказал:

Хитро...(Вы поняли про что) 

да, но не из хитрости, а дабы другим было тоже быстрее  найти.. и не оффтоп)

а Вам  - спасибо! пытаюсь сделать по статье

[Sergei Kazennikov 1]

В 30.05.2018 в 18:16, ndm сказал:

На странице "Приоритеты подключений" добавляется более жесткий режим: "Без доступа к Wi-Fi", куда можно перетаскивать сегменты и хосты.

Вот это хорошо, будем ждать. Лишь бы на мою Гигу вышла)

Edited July 1, 2018 by Sergei Kazennikov

[Ибрагим Жапильщик 1]

А у меня такая радость: галочку вы убрали из веб-морды, а в кишках она где-то осталась. И теперь я не могу ни одного нового устройства подключить к вайфаю. Спасибо за заботу!

А когда хочу зарегистрировать вручную пользователя, то на кнопку "зарегистрировать" окно просто не реагирует. Браво!

Вы бы хоть спросили, прежде чем делать.

[AndreBA 1,056]

8 часов назад, Ибрагим Жапильщик сказал:

Вы бы хоть спросили, прежде чем делать.

Вы читали эту тему полностью? Разработчики отвечали на вопросы.

8 часов назад, Ибрагим Жапильщик сказал:

А у меня такая радость: галочку вы убрали из веб-морды, а в кишках она где-то осталась. И теперь я не могу ни одного нового устройства подключить к вайфаю.

Если не много настроек, то полный сброс и настройка с нуля.

Или через cli редактировать.

[enpa 547]

@Ибрагим Жапильщик да, у некоторых пользователей воспроизводится данный баг с регистрацией нового хоста в Домашнем сегменте. Если и после сброса у Вас воспроизводится проблема, то можно сделать регистрацию в консоли, введя следующие команды:

known host MYCOMP a8:1e:84:85:f2:xx
ip dhcp host MYCOMP a8:1e:84:85:f2:xx 192.168.1.44
system configuration save

получаем:

[Ибрагим Жапильщик 1]

В 13.07.2018 в 17:20, enpa сказал:

@Ибрагим Жапильщик да, у некоторых пользователей воспроизводится данный баг с регистрацией нового хоста в Домашнем сегменте. Если и после сброса у Вас воспроизводится проблема, то можно сделать регистрацию в консоли, введя следующие команды:

known host MYCOMP a8:1e:84:85:f2:xx
ip dhcp host MYCOMP a8:1e:84:85:f2:xx 192.168.1.44
system configuration save

получаем:

НЕ РАБОТАЕТ. Устройство зарегистрировано, подключиться к сети не дает, при этом в гостевой сеть работает и на 2,4 и на 5 ГГц. И, отвечая, предыдущему оратору про то, что разработчики отвечали, хочу сказать - у меня нет времени мониторить все форумы в мире, чтобы выловить изменения в работе тех вещей, которые УЖЕ РАБОТАЮТ. Не трогайте работающее.

[keshun 3]

12 часа назад, Ибрагим Жапильщик сказал:

НЕ РАБОТАЕТ. Устройство зарегистрировано, подключиться к сети не дает, при этом в гостевой сеть работает и на 2,4 и на 5 ГГц. И, отвечая, предыдущему оратору про то, что разработчики отвечали, хочу сказать - у меня нет времени мониторить все форумы в мире, чтобы выловить изменения в работе тех вещей, которые УЖЕ РАБОТАЮТ. Не трогайте работающее.

Не обновляй работающее. Все согласно вашей логике. Если уж подписался на обновления, будь добр следи за ходом разработки. Я обновляю все вручную и никаких претензий кроме себя быть не может.

[Роман «An1metall» Бардашов 0]

Вот еще один кейс.

Стоит роутер в небольшом офисе. Была включена фильтрация по белому списку. Понадобилось, в первый раз за много времени, дать доступ новому устройству, но как сами понимаете нужной функции в интерфейсе найти не смогли. Получается интересная ситуация: можно пойти по тупому пути и сбросить настройки роутера, а потом заново перенастраивать и создавать этот список уже в новом функционале, либо шерстить вашу документация как же там в CLI эти функции работают.

И самый главный вопрос: почему убрали функцию из веба, но не отключили ее в CLI? Какие-то полумеры. Если уж решили никого не предупредив выпилить ИСПОЛЬЗУЕМЫЙ функционал, так делайте до конца.

23 часа назад, keshun сказал:

Не обновляй работающее. Все согласно вашей логике. Если уж подписался на обновления, будь добр следи за ходом разработки. Я обновляю все вручную и никаких претензий кроме себя быть не может.

Этот функционал включен по умолчанию. Роутеры Kinetic относятся к классу SOHO, т.е. для домашнего использования "включил и забыл". Большинство даже задумываться про это обновление не будет.

[keshun 3]

22 часа назад, Роман «An1metall» Бардашов сказал:

относятся к классу SOHO, т.е. для домашнего использования "включил и забыл". Большинство даже

Знать не знает , что там есть функция белого списка и куча других фич, и пароль от WI-FI оказывается можно менять. Вы сами сказали это роутер для дома и там нафиг не нужна такая фильтрация. Засунули его в офис и требуете функционал CISCO.

[iggo 341]

В 15.07.2018 в 11:16, Роман «An1metall» Бардашов сказал:

почему убрали функцию из веба, но не отключили ее в CLI?

Потому что была заявлена изначально в техописании.

[VecH 0]

а как с консоли получить эти списки (черные и белые) ? в том числе на старых прошивках?

[Mamay 487]

2 часа назад, VecH сказал:

а как с консоли получить эти списки (черные и белые) ? в том числе на старых прошивках?

Чуть выше уже писали как...

[VecH 0]

Скорее всего я неверно выразился, или меня наверно поняли

мне нужно не разрешать/запрещать

а посмотреть текущие списки в cli

 

подозреваю что проще будет

system configuration save
more startup-config

и уже там grep-ать списки

неужели штатных вариантов кроме этого нет?

[T@rkus 441]

4 минуты назад, VecH сказал:

Скорее всего я неверно выразился, или меня наверно поняли

мне нужно не разрешать/запрещать

а посмотреть текущие списки в cli

 

подозреваю что проще будет

system configuration save
more startup-config

и уже там grep-ать списки

неужели штатных вариантов кроме этого нет?

Либо скачать startup-config и в нем посмотреть

[VecH 0]

1 минуту назад, T@rkus сказал:

 

  Показать содержимое

Либо скачать startup-config и в нем посмотреть

Как посмотреть я и сам оттуда уже описал

Ладно, утрирую вопрос:

У меня только консоль линуксовая, как я могу скачать этот файл через без огромного геморроя в виде шастанья wget-ом с предварительным сохранением cookie и т.д.?

[Mamay 487]

21 час назад, VecH сказал:

У меня только консоль линуксовая, как я могу скачать этот файл через без огромного геморроя в виде шастанья wget-ом...

А чем вам внезапно не угодил православный wget с прямой ссылкой аля http://my.keenetic.net/ci/startup-config.txt???

[VecH 0]

root@pve:~/test# wget --user=admin --password=pass1234 http://10.2.33.37/startup-config.txt
--2018-07-18 19:55:35--  http://10.2.33.37/startup-config.txt
Connecting to 10.2.33.37:80... connected.
HTTP request sent, awaiting response... 401 Unauthorized
Authentication selected: Digest realm="ZyXEL Keenetic III", nonce="0h1PWz+QkxbKqcViq2f0E91ITtF7nVWN", qop="auth"
Reusing existing connection to 10.2.33.37:80.
HTTP request sent, awaiting response... 302 Moved Temporarily
Location: /error.html?code=404&ref=%2Fstartup-config.txt [following]
--2018-07-18 19:55:36--  http://10.2.33.37/error.html?code=404&ref=%2Fstartup-config.txt
Reusing existing connection to 10.2.33.37:80.
HTTP request sent, awaiting response... 401 Unauthorized
Authentication selected: Digest realm="ZyXEL Keenetic III", nonce="0h1PW0LAaVUzblFgCNYAoVWJxzMyrtdu", qop="auth"
Reusing existing connection to 10.2.33.37:80.
HTTP request sent, awaiting response... 200 OK
Length: unspecified [text/html]
Saving to: ‘startup-config.txt’

startup-config.txt                                              [ <=>                                                                                                                                     ]     938  --.-KB/s    in 0s

2018-07-18 19:55:36 (160 MB/s) - ‘startup-config.txt’ saved [938]

root@pve:~/test# cat startup-config.txt
<!DOCTYPE html>
<html><head>
<meta charset="utf-8"/>
<title></title>
<script>

var s = location.search.substr(1),
    query = {};
if (s) {
        var a = s.split('&');
        for (var i = 0; i < a.length; ++i) {
                var l = a[i].split('=');
                query[l[0]] = decodeURIComponent(l[1]);
        }
}

var start = /^\/[A-Z]{2}\/([a-z0-9_-]*)\.html(.*)$/.exec(query.ref);

if (start && query.ref) {
        var ref = query.ref.split('?'),
            ref_query = {},
            a = (ref[1] || '').split('&');
        for (var i = 0; i < a.length; ++i) {
                var l = a[i].split('=');
                ref_query[l[0]] = decodeURIComponent(l[1]);
        }
        location.replace('/#'+start[1]+'/back='+encodeURIComponent(ref_query.back));
} else {
        var redir = /^\/([A-Z]{2})\/([a-z0-9_-]*)\/([a-z0-9_-]*)\.html(.*)$/.exec(query.ref);
        if (redir)
                window.localStorage.l10n_lang = redir[1];
        location.replace(redir && query.code == '404' ? '/#'+redir[2]+'.'+redir[3] : '/#error/'+s);
}

</script></head><body></body></html>

 

[VecH 0]

wget "http://10.2.33.37/ci/startup-config.txt" --user="admin" --password="password"

заработало

Edited July 18, 2018 by VecH

[Mamay 487]

10 минут назад, VecH сказал:

wget "http://10.2.33.37/ci/startup-config.txt" --user="admin" --password="password"

заработало

Почему-то нисколько не удивлён...

[VecH 0]

в пути между глаз пролетел кусок /ci/

[Александр Владимирович 2]

Полностью поддерживаю топикстартера. Офигенно удобная была вещь, да в сраном длинке 100 летней давности есть и прекрасно работает. Например современные телефоны видят обе сети, как мне теперь сказать какому в какую сеть можно? Да и вообще новый интерфейс УБОГИЙ. Раньше был простой и понятный. Зачем так резко все менять, люди за года привыкли где что и как, с закрытыми глазами все можно было сделать, а теперь пипец! БЕСИТ. Поменяли так оставьте и старую версию, пусть она ставится/включается не явно, но пусть будет.