iKuai爱快流控路由

标题: 爱快软路由内网设备能否上外网的优先级次序提问 [打印本页]

作者: 人生之际    时间: 2021-3-4 13:39
标题: 爱快软路由内网设备能否上外网的优先级次序提问
我使用爱快软路由,希望对上网设备有些限制,比如某些客户机不能上外网(绝对不能)

我查看了爱快的上网限制方面的配置,没有提及禁止上网的优先级判断问题。比如,任意一个连到内网设备A
1.Web认证
2.PPPOE拨号,这里还有个“强制客户端拨号上网”的选项
3.PPTP,L2TP,OpenVPN拨号
4.行为管控:MAC访问控制:黑名单,白名单
5.安全设置:ACL规则(我理解是从上到下匹配)
6.安全设置:ARP绑定,这里有个"非绑定MAC不允许上网"的选项
大概看到上面6个限制(不管其他个别的网址黑名单,URL强行跳转,二级路由禁止等)

对于客户端A:如果通过了(1),是不是就无其他限制,可以上网了,还是要看4,5,6?
如果通过了(2),是不是无就无其他限制,可以上网了,还是要看4,5,6?
如果(2)勾选了“强制客户端拨号上网”,是不是3,4,5,6不用看,肯定不能上网了?
如果通过了(3),是不是无就无其他限制,可以上网了,还是要看4,5,6?

如果上面1,2,3都不做(相当于只是开机连接到内网获取了DHCP的IP地址,可能是不同网段,不同VLAN)
那么假设4是白名单上网,是不是A不在这个名单里的,5,6不用看,肯定不能上网了?
下面依次类推,也就是说A是不是要全部判断通过,才能上网,还是到了那个阶段就不再判断后续限制,就可以上网。
一直看文档,但是没有看到一个明确的判断流程。希望解疑


Btw:
其实我像完成的这样的功能(不开WEB认证):
1.普通内网客户端(有线无线)LAN1区段进行PPPOE等拨号认证通过的,直接可以上网。
2.普通内网客户端(有线无线)LAN1区段不拨号的,行为管控:MAC访问控制:白名单. 只有手工加入白名单MAC地址的,才能上网(可以再受ACL规则的限制)
3.特殊GUEST SSID(无线网段):我开了个vlan101:标记101,单独一个DHCP段,和Lan1隔开,客户SSID和内网隔离的,直接可以上网。

现在(3.)似乎也受白名单控制,不能像PPPOE拨号一样直接在行为管控前就旁路出去上网。
这就比较搞了,因为这个SSID我专门为单位客户和员工手机准备的,流动性很大,不可能客户来手机连接了这个GUEST SSID,管理员还要去查它的MAC是什么,再加入白名单,客户才能上网。

作者: zhanglcpal    时间: 2021-3-4 14:00
第2条,开web认证,指定认证IP范围,认证账号绑定mac可以曲线救国。
或者直接绑定钉钉做接入管理更方便。
作者: 爱快技术支持09    时间: 2021-3-4 15:13
您好,您这几个需求两点冲突
1. LAN1下面既有拨号的也有不拨号的,这就形成了一个问题,要不要开“强制拨号上网”,开了您这不拨号的上不了网,不开您这拨号的就没有什么意思了

2.这不拨号上网的需要受到mac控制,那么就有两个选择。开mac黑白名单和非绑定mac不允许上网,但是这样肯定会影响到访客wifi
这两个冲突在这里,目前无法做到楼主需求





欢迎光临 iKuai爱快流控路由 (https://bbs.ikuai8.com/) Powered by Discuz! X3.3