В школе имеется сервер DHCP на базе openmediavault. Стоят точки доступа и повторители. Пароль от WiFi периодически узнают ученики и с недавнего времени пул адресов начал забиваться.(я конечно увеличил количество доступных адресов, изменением маски), но суть в том, что ученикам нужно запретить доступ к нашей сети. Есть ли ещё какие либо способы это сделать, кроме радиуса и разграничения по mac адресам. Можно было бы и Радиус поднять, но в сети есть 2 точки доступа не поддерживающих проверку подлинности enterprise. А по маку запрещать - тоже не вариант, так как на точках доступа список разрешённых устройств доступен только в пределах 64. К тому же подключение других устройств, без внесения их мак адресов в таблицу, тоже иногда необходимо.

Как временная мера не использовать DHCP сервер и прописывать IP и т..п. в ручную.
Как постоянная мера смена оборудования и применение одноразовых паролей (например выдача паролей кому надо с утра на один день).

Пароль от WiFi периодически узнают ученики »
Откуда?

Откуда? »
Я узнал, что пароль своим ученикам выдал один из учителей. К тому же не редко учителя или завучи дают пользоваться своими ноутами ученикам в различных целях. Но это уже моя вина, ещё многие работают под админом

Я узнал, что пароль своим ученикам выдал один из учителей. »
Это должно решаться административно, служебкой на имя директора с последующим взысканием в любой форме.

К тому же не редко учителя или завучи дают пользоваться своими ноутами ученикам в различных целях »
На достаточно долгое время, чтобы те успели полазить по системе и вытащить пароль?

ещё многие работают под админом »
Это действительно ваша вина. Исправляйте. Либо не допускайте такие устройства в сеть. До приведения в соответствие, так сказать.

А включить фильтр по МАС на ваших роутерах можно?
Сделать сеть скрытой можно?
Просто узнать и указать адреса нужных вам и вашим коллегам девайсов.

А включить фильтр по МАС на ваших роутерах можно? »
Изначально вообще хотел сделать сеть на маках без паролей, чтобы юзеры могли перемещаться по школе со своими устройствами и не париться с введением пароля, да и безопасность бы немного повысилась, но потом понял, что на роутерах в фильтрации по маку доступно только 64 адреса. Это на данный момент мало. Вот если бы как-то это можно было реализовать централизовано на сервере, вопрос отпал бы самим собой.

Сделать сеть скрытой можно? »
Скрывать сеть уже поздно, так как наименование знают, а ssid опять везде менять я уже не буду. Та и скрытие сети не даст должного эффекта.

carloscom,

Исходя из того, что вы описали про учителей, которые рассказывают пароли и дают свои ноутбуки с административными привилегиями ученикам... Я бы просто чаще менял пароли.

Исходя из того, что вы описали про учителей, которые рассказывают пароли и дают свои ноутбуки с административными привилегиями ученикам... Я бы просто чаще менял пароли. »
Это конечно нужно, но смена пароля - дело проблематичное, ведь мне приходится ходить по всем устройствам, как школьным, так и мобильным, планшетам учителей, некоторым нужно вводить пароль самому, потому что они не разбираются в этом. Но да, как только я переведу всех с админов на обычных пользователей, я всё равно поменяю пароль. Тогда нужно мак адреса личных устройств пользователей всё равно переписать, чтобы мониторить кто подключается к сети. Если подключится неизвестный мне мак, то пароль, возможно, известен сторонним лицам. Хотя это может быть и новое устройство учителя. Тут уж наверное лучше не придумаешь

А сколько у вас точек доступа в школе?
Неужели 64 адреса на одну точку мало?
Те кабинеты (девайсы), что рядом с одной точкой имеют доступ только в одном месте (на этой точке)
Другие девайсы (удаленные кабинеты) не прописывать. Не нужно всем по школе с вайфаем бегать.
Прописывать всех только на их рабочих местах.
На всех точках прописать только директора, админа, и того школьника, кто больше пива принесет админу :)
И обязательно записать у кого какой МАС!
Если придет к вам человек с погонами и спросит кто порнуху распространяет и схему бомбы скачал, то вам проще будет ответить.

Еще один вариант с паролями:
Резко уменьшаем колл-во адресов выделяемых для DHCP, меняем пароль, увеличиваем время аренды адреса до 1 мес.
Если кого то из учителей не пустит (не хватит адресов) - чуток добавить.
Теперь не все школьники даже зная пароль смогут подключится - нет свободных адресов, все в аренде.
Но список МАС лучше иметь. Хотя бы лишие выщелкивать можно.

и того школьника, кто больше пива принесет админу »
:teeth: это лайк, однозначно)

Прописывать всех только на их рабочих местах. »
Всё равно ноуты таскают куда угодно в зависимости от ситуации. Но я думаю, не будет проблем дописывать их уже по месту. Я как-то затупил насчёт фильтрации. Действительно на каждой же точке доступа ведь по 64 адреса. А с перемещениями разберусь(главное чтобы не было перемещений во времени. А то я этих "продвинутых" юзверей знаю)

На всех точках прописать только директора, админа »
А если прописать только админа, то вскоре можно увидеть нашествие зомби, так сказать в живую, не с экранов телевизора))

Немного недопонял про таблицу фильтрации мак адресов и раздул целую тему. Спасибо большое, буду пробовать это решение.

Можно было бы и Радиус поднять, но в сети есть 2 точки доступа не поддерживающих проверку подлинности enterprise. »
Заменить или отключить их нельзя? WPA Enterprise идеально подошёл бы для решения вашей проблемы. Преподы, конечно, могут и свои личные пароли раздавать, но в этом случае сразу станет известно, кому бить морду делать выговор с занесением. Ну и разрешить подключаться только с одного устройства одновременно. Потом, пароли можно экспайрить автоматом. PSK в принципе тоже можно менять раз в месяц скажем, но в разномастной сети это гемор.

Но список МАС лучше иметь. Хотя бы лишие выщелкивать можно. »
Да, контроль и только контроль! Но есть проблема, когда к нам из районо приходит начальство и просит подключиться к сети со своих мобильных, будет проблематично брать их телефоны и выискивать мак адреса. Но я думаю, в таких нечастых случаях, можно просто отключить временно фильтрацию на конкретной точке.
А есть смысл вообще в пароле, если всё фильтруется по мак-адресу? Ведь всё равно никто больше не подключится, а если уже и будут хакать, то и пароль не поможет. У нас детки телефонами телевизоры включают

Заменить или отключить их нельзя? WPA Enterprise идеально подошёл бы для решения вашей проблемы. Преподы, конечно, могут и свои личные пароли раздавать, но в этом случае сразу станет известно, кому бить морду делать выговор с занесением. Ну и разрешить подключаться только с одного устройства одновременно. Потом, пароли можно экспайрить автоматом. PSK в принципе тоже можно менять раз в месяц скажем, но в разномастной сети это гемор. »
Радиус - отличное решение, даже как для практики. Но мне кажется для меня пока сложное. Думаю обойдусь мак-фильтрацией. Да и заменить роутеры пока не предоставляется возможным в связи с печальным финансированием.

carloscom, в принципе, если точки совместимы со сторонними прошивками вроде OpenWRT, то можно прошить на них, а там и ограничений по мак адресам нет и 802.1x есть.

в принципе, если точки совместимы со сторонними прошивками вроде OpenWRT, то можно прошить на них, а там и ограничений по мак адресам нет и 802.1x есть. »
Точки на гарантии. Перепрошивать не желательно. Я думаю, что путь, который указал мне Kirill_S будет самый верный)

Точки на гарантии. Перепрошивать не желательно. »
Так можно ж откатиться, только если не прошить неверной прошивкой и окирпичить. Я так понял, что точки дешман и их не жалко, а бояться... вы ж не собрались до пенсии в школе сидеть? Можно самому купить и потренироваться на ней, в конце концов. Чай не Cisco или Aruba какие с четырёхзначными ценниками в твёрдых деньгах.

Anton04, DJ Mogarych, dislike, Kirill_S, Казбек, В общем, после применения фильтрации по mac-адресу, повторители перестали пинговаться и у клиентов пропал интернет. Эту проблему я описывал в другой теме. Разработчики ASUS пока молчат. ((

А есть смысл вообще в пароле, если всё фильтруется по мак-адресу? »

Ещё какой есть, никто не отменял подмену мак адреса, а так для подключения нужно знать верный мак адрес и пароль к сети.

В общем, после применения фильтрации по mac-адресу, повторители перестали пинговаться и у клиентов пропал интернет. »

Значит не прописали мак адреса самих точек доступа куда надо. ;)

А всего-то надо дать по шапке учителю, который сливает пароли.

А всего-то надо дать по шапке учителю, который сливает пароли. »
В случае PSK отловить крота крайне сложно. Да и затраченные усилия в ходе "следствия" усилия не стоят того. Не такое уж и страшное "преступление" – тут скорее преступники те, кто закупают сохо оборудование там, где нужен энтерпрайз, наверняка с откатами, с лихвой перекрывающими стоимость взрослого железа.