Re: Synology RT6600ax Router Review
: wt sie 02, 2022 7:53 pm
nie nie, aż tak dobrze to nie ma. Przy okazji tej dopytki, warto wskazać że SRM obsługuje Radius Server i możesz sobie ustawić sieć WPA2/3 klasy Enterprise i to jest fajna wiadomość, bo do logowania nie przysyłasz hasła do sieci SSID tylko używasz określonego konta.
Ale odpowiadając szczegółowo na pytanie:
Chodzi o usługę Safe Access, która nie działa poprawnie.
W praktyce masz taką sytuację:
1) możesz sobie ustawić profil sieciowy 'internet / lan / wifiabc' w Safe Access i przypisać do niego regułę filtrowania, np. blokującą cały ruch.
2) Jeśli ktoś będzie łączył np. do sieci 'wifiabc' (posiadającą filtrowanie blokuje w safe access ), to taka stacja powinno być zablokowana sieciowo
3) Taka stacja próbująca się podpiąc do sieci wifiabc, nie będzie mógł zrobić czegokowwiek sieciowo, do czasu jeśli jej na to nie pozwolisz, poprzez przepięcie jej do innego profilu użytkownika.
4) W logu w Safe Access widzisz taką stację, która próbowała się wbić w zdarzeniach niepożądanych tego profilu sieciowego wifiabc.
I dotychczas było tak, że taki config stanowił taką formę zabezpieczenie, na krzywe wpinanie do sieci przez userów którzy znają np. pass do wifiabc, a nie znają MAC address. W innych przełącznikach można łączyć IP-MAC-VENDOR-PORT, wiec nawet jak ktos dostanie MAC, to ma i tak utrudnione działanie z podszyciem.
Wracając do tematu, problem , o który pytasz polega na tym, że w 1.3 RC ten mechanizm działa tylko częściowo.
Działa:
1) jak wpinasz stację i niestety po dłuższej chwili dostrzegasz próbę podłączenia w Safe Access.(w rt2600ac na 1.2.5 komunikat pojawiał się ad hoc).
Nie działa:
1) w sytuacji, kiedy stworzysz maszynę wirtualną np. na Hyper-V i ustawisz interfejs sieciowy zewnętrzny, wskazując dla tego interfejsu swoją kartę sieciową, która jest już dopuszczona w Safe Access do komunikacji. Wówczas nie działa mechanizm filtrowania lub działa nieprawidłowo, ponieważ pozwala ta sytuacja na nieelegancki i niefinezyjny włam.
Safe Access najwidoczniej (przypuszczam) weryfikuje MAC adres fizyczny karty sieciowej fizycznej (już wcześniej dopuszczonej w safe access), a nie realny MAC adres hosta maszyny wirtualnej (rozny od mac sieciowki fizycznej).
Daje to pewnie możliwości.
Wcześniej, na SRM 1.2.5 (i dużo wcześniej) działa poprawnie, a teraz po prostu siadasz przy PC, logujesz się poprawnym hasłem do konta administracyjnego (90% właśnie takiego konto umieszczone w tej grupie), a jak nie masz, to łamiesz (dziecinnie proste, od ok 20 lat, są nawet proste narzędzia) i tym kontem odpalasz hypervisora HyperV, dodajesz siec j/w, dodajesz obraz dysku swojej stacji (z całym arsenałem) i hulaj dusza piekła nie ma.
Nawiasem mówiąc, dziś support odpisał mi (o ile dobrze zrozumiałem w przelocie), że safe access nie jest obecnie wspierany (lub w pełni wspierany).
Kur, ja kupiłem niecałe 2 tyg temu RT6600AX z powodu, czkającego Thread Management i właśnie safe Access, a tu taki fckup.
Mam nadzieję, że wyjaśniłem poprawnie, ajk coś to pytaj śmiało.