Todas las colecciones
Redes Inalámbricas (enlaces)
MikroTik
MikroTik - Wireless Access-List "lista-blanca" / "lista-negra" / "Contraseñas por equipo" / "Acceso por Horario"
MikroTik - Wireless Access-List "lista-blanca" / "lista-negra" / "Contraseñas por equipo" / "Acceso por Horario"

En este articulo se explica como crear una lista de mac-address bloqueadas o permitidas para conectarse. Así como accesos personalizados.

Raúl Aragón avatar
Escrito por Raúl Aragón
Actualizado hace más de una semana

El filtrado por MAC Address es un mecanismo adicional para limitar las conexiones inalámbricas de los clientes.

1.- Lo primero que se tiene que hacer es desactivar el parámetro "default-autentication" de las interfaces inalámbricas.

/interface wireless
set [ find default-name=wlan1 ] default-authentication=no
set [ find default-name=wlan2 ] default-authentication=no

Datos a considerar al realizar esta acción:

  • Esto es para cada interface inalámbrica que tenemos disponible en el router.

  • Al quitar esta opción el security-profile ya no será la forma de autentificación inalámbrica.

  • En otras palabras no hay acceso a red inalámbrica hasta generar llenar registros en el Access-List.

2.- Ahora procedemos a realizar la lista de "mac-address"
Nota: interface=any es para que se aplique la todas las interfaces inalámbricas que tenga el router (wlan1 y wlan2 ...);
si el router es de solo un radio se puede seleccionar tan solo "interface=wlan1".

2.1.- Lista Blanca:

/interface wireless access-list
add comment=device1 interface=any mac-address=44:D9:E7:DD:0B:79
add comment=device2 interface=any mac-address=50:32:37:A0:DE:EC
add comment=device3 interface=any mac-address=50:32:37:A6:87:17
add comment=device4 interface=any mac-address=00:51:ED:10:62:7A

2.2.- Lista Negra:

/interface wireless access-list
add authentication=no comment=device1 interface=any mac-address=44:D9:E7:DD:0B:79
add authentication=no comment=device2 interface=any mac-address=50:32:37:A0:DE:EC
add authentication=no comment=device3 interface=any mac-address=50:32:37:A6:87:17
add authentication=no comment=device4 interface=any mac-address=00:51:ED:10:62:7A
add interface=any

Nota: RouterOS nos permite usar tanto la Lista-Blanca y la Lista-Negra al mismo tiempo. Así que podemos permitir conexiones de equipos como denegar la conexión de otros equipos.

2.3.- Contraseña personalizada por equipo:
Ya sea que a todos los equipos registrados requieran la misma contraseña bien se les puede solicitar una contraseña diferente a cada dispositivo:

/interface wireless access-list
add comment=device1 interface=any mac-address=44:D9:E7:DD:0B:79 private-pre-shared-key=password1
add comment=device2 interface=any mac-address=50:32:37:A0:DE:EC private-pre-shared-key=password2

2.4.- Horario de acceso por dispositivo:

/interface wireless access-list
add comment=device1 interface=any mac-address=44:D9:E7:DD:0B:79 time=8h-18h,mon,tue,wed,thu,fri

Formato de time:
Hora: 00h00m00s-00h00m00s; h:horas m:minutos, s:segundos
Dias: mon,tue,wed,thu,fri,sat,sun

La combinación de todos estas opciones se pueden mezclar a los requerimientos particulares.

Configuración a travez de Winbox

Crear lista de interfaces:

1.- Identificar las interfaces inalámbricas:

2.- En cada interface inalámbrica desactivar el parámetro "default-autentication"

3.- Crear la lista con las mac-address de los equipos:

Parametros:

MAC Address: se especifica la dirección física del equipo al que se le aplicara la regla. (si no se activa este parámetro la regla sera general y no importa que equipo se trate de conectar se le aplicara la regla).

Interface: aqui se especifica a que interface inalambrica se le aplicara la regla: por default es any por lo que si el router tiene varios interfaces inalámbricas se aplicara a todas.
nota (podemos elegir solo aplicarla a una interface de así quererlo)

Signal Strenght Range: en este parámetro especificaremos el mínimo y máximo nivel de señal requerido para que se conecte el cliente, esto es para evitar que el cliente se conecte desde muy lejos y afecte a los demás clientes.

Authentication: al marcar este parámetro estamos dando acceso al cliente, al desmarcarlo lo estamos rechazando.

Private Pre Shared Key: es la contraseña que se le pedirá al cliente para conectarse, puede ser una contraseña por registro.

Time: es para establecer un horario de conexión el formato es de (horas:minutos:segundos)

Days: marcar que dias de la semana se aplicara la regla de conexión.

Al final tendremos una lista con las políticas de conexión que requiramos:

¿Ha quedado contestada tu pregunta?