Имеется микротик, который не умеет(как и все микротики) цеплять пользователей в отдельные VLAN'ы на 802.11. Фичреквест висит давно и делать его пока не собираются. Соответственно получается, что сейчас коммуникация внутри wifi сети абсолютно не контролируется и очень бы хотелось изменить эту ситуацию.
Для авторизации конечно выбираем WPA2-Enterprise с RADIUS сервера. Ставим default-forwarding в no, это порежет коммуникацию между клиентами на L2, arp в reply-only, записи в arp таблицу будет добавлять только dhcp сервер. Клиентам раздаем адреса из подсетей /30, у каждого своя подсеть, где только адрес хоста и отдельный адрес гейта. Тогда весь трафик между клиентами будет проходить уже через L3 и мы будем иметь возможность контролировать его через ip firewall(резать коммуникацию, закрывать порты etc). Взять другую подсеть клиент не сможет, так-как гейт не захочет добавлять от клиента записей в arp таблицу. Соответственно arp спуфинг, фейковые dhcp сервера работать так же не будут.
Вроде ничего не упустил? Как-то можно обойти подобную защиту? Через пару дней я конечно протестирую это схему на реальном железе, сейчас нет свободного микротика, что б попробовать.
