Aller au contenu

Accès autorisé avec une adresse MAC


Pinpon_112

Messages recommandés

Bonjour,

Je souhaiterai limiter mon réseau invité aux seuls appareils dont l'adresse MAC aurait été enregistrées.

Comment puis-je faire ?

J'ai essayé de mettre un filtre mais je ne peux pas introduire un appareil qui n'a pas encore été connecté.  Puis-je le faire si je connais l'adresse MAC du dit appareil ?

Si oui, comment faire ? 

Merci pour votre aide.

Lien vers le commentaire
Partager sur d’autres sites

@oracle7

Merci.  Pour tout te dire, j'avais déjà été voir mais lorsque je voulais créer un filtre, je devais sélectionner un objet qui s'était déjà connecté.  Il est vrai que je n'avais pas pensé pouvoir écrire un nouvel objet et je n'avais pas été plus loin que le bout de mon nez, pour une fois 😉

Lien vers le commentaire
Partager sur d’autres sites

On notera que le filtrage par adresse MAC n'est pas une sécurité parfaite. On peut faire du spoofing (récupérer l'adresse MAC d'un PC connecté et modifier l'adresse MAC de sa propre carte pour accéder au réseau en question).

Ceci étant dit, c'est déjà un premier pas très très pertinent pour sécuriser un réseau et bloquera déjà 99% des gens.

Lien vers le commentaire
Partager sur d’autres sites

Autre question plus technique, est-il envisageable, pour un utilisateur non enregistrer qui viendrait chez moi, de faire en sorte qu'il puisse se connecter sans que je ne doive à l'avance l'enregistrer dans la base ?

Je m'explique, lorsqu'il voudrait se connecter, il essaye.  Le réseau reconnait qu'il n'est pas dans la base.  Je reçois alors une notification me demandant de l'ajouter dedans.  Tout est déjà repris dans la notification reçue.  Je n'aurais qu'à accepter ou refuser et le filtre est créé d'un côté ou de l'autre.

Est-ce possible et si oui comment ?

Merci pour votre aide.

Lien vers le commentaire
Partager sur d’autres sites

@Pinpon_112

Bonjour,

Autant je comprends ta demande de fonctionnalité, je la trouve personnellement justifiée et ce serait bien qu'elle existe mais autant je crains qu'en fait tu n'en demandes trop dans l'état actuel du RT2600ac, du moins à ma modeste connaissance il ne fait pas cela.

C'est toutefois une excellente suggestion à faire au support Synology. Tu peux toujours ouvrir un ticket dans ce sens et voir quelle sera leur réponse. Fais nous un retour ...

De toutes façons, ton réseau "invité" est distinct du réseau local où se trouve ton NAS par ex, donc à toi d'interdire ou pas la communication entre les deux et par exemple juste limiter les accès via ce réseau "invité" à rien du tout ou au minimum dans le pare-feu du routeur et/ou du NAS. C'est toi qui vois ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Hello à tous,

 

Pour information, le filtrage par adresse MAC du RT2600AC ne fonctionne que pour les clients Wifi !

Tout appareil filaire raccordé au routeur obtiendra une IP dans la plage DHCP configurée et de manière automatique.

Il est toutefois possible de renseigner une adresse Mac dans ce filtre au préalable, sans que l'appareil concerné n'ait été connecté au réseau local auparavant.

A contrario, je trouve que l'intérêt de la fonctionnalité que tu souhaiterais est limité. Un nouveau client qui tenterait de se connecter sur le réseau Wifi Invité aura forcément eu accès à la clé du réseau...et donc eu la communication de ta part de cette clé (normalement) 🙂. Pourquoi derrière intégrer un autre niveau d'approbation, à fortiori si le filtrage Mac est activé ?

Par contre, tu peux mettre en place des sécurités supplémentaires pour mieux contrôler les accès au réseau invité :

- un portail captif : un page web via laquelle le client est obligé de se réauthentifier et réclamer l'accès au réseau wifi (comme pour les hotspots publics) à intervalle régulier.

- le cloisonnement entre  ton réseau local et le réseau invité et même l'impossibilité d'échanger des infos entre clients du réseau wifi invité (découverte du réseau, partage de fichier via certains protocoles)

- des plages horaires définies sur le réseau invité

- limiter le nombre de connexions au wifi invité

Personnellement je pense que c'est déjà pas mal du tout...en plus du filtrage/contrôle DNS que tu peux aussi personnaliser sur la plage d'IP spécifique au réseau Invité.

 

 

Lien vers le commentaire
Partager sur d’autres sites

@church

il y a 2 minutes, church a dit :

A contrario, je trouve que l'intérêt de la fonctionnalité que tu souhaiterais est limité. Un nouveau client qui tenterait de se connecter sur le réseau Wifi Invité aura forcément eu accès à la clé du réseau...et donc eu la communication de ta part de cette clé (normalement) 🙂. Pourquoi derrière intégrer un autre niveau d'approbation, à fortiori si le filtrage Mac est activé ?

 

OK, mais cela évitera de mettre tous ces appareils ou de transmettre la clé à quelqu'un d'autre.  En ayant la demande avec l'adresse MAC, cela évitera à tous le monde d'aller dans les entrailles de l'appareil pour chercher son adresse MAC et ensuite à moi, d'aller dans le routeur pour introduire cette dernière.

il y a 3 minutes, church a dit :

un portail captif : un page web via laquelle le client est obligé de se réauthentifier et réclamer l'accès au réseau wifi (comme pour les hotspots publics) à intervalle régulier.

 

Peux-tu m'aider à installer cela ?  J'ai essayer avec mon smartphone et je devais d'abords introduire la clé du wifi avant d'arriver sur la page en question.  Ce qui n'est pas souhaité dans ce cas-là.

Lien vers le commentaire
Partager sur d’autres sites

 

Est ce que ce mode de connexion simplifié que tu recherches ne pourrait pas être comblé avec l'appairage WPS proposé par le routeur (appairage par pression du bouton WPS ou code PIN) ?

Note : tu peux choisir d'activer les règles du filtrage Mac au réseau Invité...ou pas !

Pour le portail captif c'est simple et dispo dans le menu Wifi (depuis l'interface web) :

 

 

2020-10-23 16_34_58-Synology Router - GateWay.png

Lien vers le commentaire
Partager sur d’autres sites

@church

il y a 4 minutes, church a dit :

Est ce que ce mode de connexion simplifié que tu recherches ne pourrait pas être comblé avec l'appairage WPS proposé par le routeur (appairage par pression du bouton WPS ou code PIN) ?

Je connais le bouton mais je ne sais pas comment cela marche !

il y a 4 minutes, church a dit :

Pour le portail captif c'est simple et dispo dans le menu Wifi (depuis l'interface web) :

 

C'est ce que j'avais fait.  Mais lorsque j'ai voulu essayer, mon smartphone m'a d'abords demandé la clé du wifi.  Ensuite, je suis arrivé sur cette page.  Normal ou pas ?

Lien vers le commentaire
Partager sur d’autres sites

L'activation du WPS te permet de faciliter la connexion d'un client :

- soit en actionnant le bouton WPS du routeur et en te connectant depuis le client

- soit en générant un code PIN depuis le routeur, code qui sera à renseigner dans l'interface de connexion du client.

En activant le portail captif, tu dois bien tomber sur une page web sur laquelle tu dois valider/authentifier le périphérique. Cette page peut être standardisée ou personnalisée en uploadant une image, ou tu peux utiliser une redirection vers une page Synology. Le comportement que tu as eu me semble donc normal.

 

Lien vers le commentaire
Partager sur d’autres sites

@church

il y a 2 minutes, church a dit :

En activant le portail captif, tu dois bien tomber sur une page web sur laquelle tu dois valider/authentifier le périphérique. Cette page peut être standardisée ou personnalisée en uploadant une image, ou tu peux utiliser une redirection vers une page Synology. Le comportement que tu as eu me semble donc normal.

 

Donc si je te comprend bien, ce n'est pas parce que j'ai renseigné la clé WiFi que je serai automatiquement connecté ?  Je devrai validé la page en question pour être réellement connecté ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 4 minutes, Pinpon_112 a dit :

@church

Donc si je te comprend bien, ce n'est pas parce que j'ai renseigné la clé WiFi que je serai automatiquement connecté ?  Je devrai validé la page en question pour être réellement connecté ?

C'est exactement ça 🙂 ! Le périphérique devra se réauthentifier via cette page web, selon le délai que tu vas définir, s'il veut avoir accès aux services proposés par ta connexion wifi.

D'emblée ce système exclu un usage de la connexion par certains types de périphériques Wifi (objets connectés en tout genre), bots scannant les réseaux wifi environnant, etc...puisqu'il faut une action manuelle pour la réauthentification à intervalle régulier.

Lien vers le commentaire
Partager sur d’autres sites

Le 23/10/2020 à 16:09, oracle7 a dit :

C'est toutefois une excellente suggestion à faire au support Synology. Tu peux toujours ouvrir un ticket dans ce sens et voir quelle sera leur réponse. Fais nous un retour ...

Bonjour,

J'ai reçu une réponse de Synology.  La voici :

Citation

Bonjour,

Merci d'avoir contacté le support Synology

Cette option n'est malheureusement pas disponible sur nos appareils.

Toutefois, votre suggestion est bien prise en compte et je vais transmettre celle-ci à nos équipes de développement afin qu’elles étudient la possibilité d’ajouter cette fonctionnalités.

Notez cependant que l'intégration de fonctionnalités dépendra du nombre de retours de nos clients, ainsi que des ressources dont nous disposons et de notre stratégie.

Plus nous avons de retours utilisateurs sur une fonctionnalité, plus forte est la possibilité que celle-ci soit intégrée et plus rapidement. Mais nous ne pourrons garantir que cela soit nécessairement ajoutée selon ces points.


Bien cordialement

Christophe
Technical Support

 

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.