Jak ustawić filtrację MAC na określonym porcie LAN w TP-LINK TL-WR743ND?

Witam,
czy jest możliwość ustawienia na określonym porcie LAN routera filtracji MAC?
Chodzi o to żeby zapobiec takiej sytuacji (narazie czysto teoretycznie): mam dwa routery Wi-Fi (konretnie TP-LINK TL-WR743ND). Jeden jest podłączony do switcha, od którego otrzymuje Internet po kablu i przekazuje go dalej po kablu i Wi-Fi. Drugi router jest podłączony do LAN tego pierwszego i również rozdziela Internet na kabel i Wi-Fi.

Teraz o co mi chodzi: Sieć bezprzewodową zaszyfruję na obu routerach WPA2 + filtracja MAC. Tutaj niemam problemu. Na drugim routerze (nie podłączonym do switch'a) wyłączę porty LAN (ma nie być dostępu po kablu).
Natomiast na pierwszym routerze mógłbym wyłączyć wszystkie porty LAN prócz tego do którego jest wpięty drugi router. Istnieje jednak ryzyko, że ktoś może podłączyć zamiast drugiego routera np. switch a poprzez niego inne urządzenia. Tego własnie chcę uniknąć i stąd moje pytanie czy jest coś takiego jak filtracja MAC interfejsów LAN czy może jakiś mechanizm, któy zapobiegnie takiej sytuacji?
Wtedy ustawiłbym MAC (zezwól) drugiego routera na porcie LAN pierwszego i jeżeli ktokolwiek chciałby pod ten port wpiąć inne urządzenie - nie przepuści go.

W tp-linkach raczej takiej opcji nie znajdziesz, jak nie znajdziesz opcji wyłączania portów LAN, chyba że jest to jakieś inne oprogramowanie na nich zainstalowane, które na to pozwala.

Aha, wydawało mi się, że gdzieś widziałem opcję wyłączania portów LAN - widać coś mi sie pewnie pomieszało.

No nic, jeżeli ktoś ma pomysł jak rozwiązać mój problem na owym sprzęcie to czekam na propozycje.


Przekopałem moje dwa routery TP-LINK i faktycznie niema możliwości wyłączenia określonych portów LAN jak zapewnił @rikardo67.

Próbując przegryźć się przez ten problem doszedłem do wniosku, że dla moich potrzeb wystarczyłoby filtrowanie MAC w sieci LAN ale także niema zdaje sie takiej możliwości.
Jak ustawiam filtrowanie MAC, to działa ono tylko dla Wi-Fi natomiast komputery podłączone kablem do routera mają dostęp do sieci.

Próbowałem również korzystać z ACL i działa to w ten sposób, że jeśli zezwolę w filtracji MAC danym urządzeniom na dostęp do sieci natomiast w ACL (zezwól) ich nie uwzględnię (uwzględnię tylko jedno urządzenie podłączone kablem do portu LAN) to łączą się z siecią ale niemają dostępu do Internetu. Chcąc aby miały dotęp do Internetu musiałbym wszystkie adresy z filtracji MAC wrzucić do ACL'a.


Czy jest jakieś rozwiązanie, które zezwoli tylko na dostęp urządzenia o określonym adresie MAC do sieci po LAN (port Ethernet) i nie będzie kolidowało z urządzeniami bezprzewodowymi (gdzie ustawiona jest także filtracja MAC)?

Potrzebuję takiego rozwiązania do projektu dlatego wałkuję temat.

Wiem co chcesz osiągnąć, ale mam pytanie odnośnie sieci, albo i nie, bo nie napisałeś w jakim celu ci to jest potrzebne.Ale jest opcja w DHCP " Address Reservation" i tam można powiązać MAC z IP i wtedy jak podepniesz pod niego po LAN-e 2 swiche 48 z kompami to i tak tylko te kompy będą miały dostęp które są podane w " Address Reservation" filtrowanie po MAC-u jest tylko po WI-FI >Wireless>Wireless MAC Filtering" i tam można podać który może połaczyć sie do routera.
EDIT
włączanie-wyłaczanie portów na 100% jest w mikro-tiku

Czytałem o tym " Address Reservation" i o ile dobrze zrozumiałem to najpierw muszę powiązać MAC każdego użytkownika w sieci z adresem IP i potem na podstawie IP ustalam kto ma dostęp a kto nie na zasadzie określonej puli adresów bodajże, nie?
I tu pytanie: czy koncepcja nie posypie się w przypadku gdy któryś z użytkowników w sieci zmieni sobie IP?

Tak jak napisałem: "Potrzebuję takiego rozwiązania do projektu dlatego wałkuję temat."

Może doradzisz mi jak rozwiązać najlepiej na tym sprzęcie co pisałem taki przypadek, że mam dwa te routerki Wi-Fi, jeden odbiera neta ze switcha i daje na LAN i radio oraz po kablu daje neta drugiemu takiemu samemu routerkowi Wi-Fi i z kolei ten też daje neta na LAN i radio.
Użytkownicy łączący się po Wi-Fi są uwierzytelniani po MAC + szyfrowanie WPA2. Dodatkowo niechcę żeby ktokolwiek wpiął sobie swojego APka, switch etc. do któregoś portu LAN mojego routerka i ciągnął neta. Dlatego szukam rozwiązania żeby ograniczyć dostęp do LANu.
Ewentualnie mógłbym zastosować jeden router Wi-Fi i jeden APek z jednym LANem ale wtedy ktoś jakby odpiął tego APeka to i tak ciągnie neta a pozatym chce mieć kilka portów LAN na obu routerach żeby sieć łatwo dała się przystosowywać do przyszłościowych potrzeb - inny sprzęt po kablu, np. TV, kolejny switch, stacjonarny host.
Dla potrzeb projektu taka dość ważna wg mnie zaleta.

Cytat:

Może doradzisz mi jak rozwiązać najlepiej na tym sprzęcie co pisałem taki przypadek, że mam dwa te routerki Wi-Fi, jeden odbiera neta ze switcha i daje na LAN i radio oraz po kablu daje neta drugiemu takiemu samemu routerkowi Wi-Fi i z kolei ten też daje neta na LAN i radio.

A gdzie jest DHCP? przychodzi ze swicha, jest inny serwer DHCP bo piszesz "jeden odbiera neta ze switcha i daje na LAN i radio" Na jakich zasadach jest ten net, pppoe, dynamiczy ip,statyczny ip, no i czy nie ma blokady podziału tego neta.

DHCP byłby włączony na tym routerku, który jest podpięty do switcha a na drugim routerku wyłączam DHCP (adresy przydziela router wpięty do switcha).
Niema blokady podziału neta.
Na WANie routera podpiętego do switcha ustawiłbym statyczne IP.

Więc tak zrób, podłcz net do WAN a resztę powinieneś zrobić w DHCP, czyli ilość przydzielanych IP i powiązanie IP<-->MAC powinno załatwić sprawę, drugi router w zależności czy ma tylko przedłużyć sieć, podłączasz kabelek do portu LAN lub jako druga sieć i podłączyc do WAN, na dodatek w routerze jest jeszcze "IP & MAC Binding" możesz to jeszcze wykorzystać.

Grzebałem troche dzisiaj przy konfirguracji tych routerków i doszedłem do wniosku, że te porty LAN można "zablokować" w moim przypadku raczej tylko w jeden sposób.
Włączyć na jednym routerze DHCP, na drugim wyłączyć i przydzielić pulę adresów ręcznie (tzn. jak mamy 3 urządzenia w sieci to pulę ustawiamy tylko na te 3 urządzenia) a samym urządzeniom ręcznie w zakładce "Address Reservation" ustawiamy adresy IP (z naszej puli) kojarząc je z adresami MAC naszych urządzeń.
W przypadku gdybyśmy wyłączyli na obu urządzeniach DHCP to aby mieć połączenie z routerem którymkolwiek należałoby ręcznie ustawić IP w konfiguracji urządzenia gdyż samo "Address Reservation" nie ustawi i nie przydzieli naszej karcie sieciowej adresu skojarzonego z naszym MAC jeśli mamy wyłączony DHCP.
W przypadku gdy mamy włączony DHCP na jednym routerze i ustawimy większą pulę niż liczba urządzeń w "Address Reservation" wówczas naszym urządzeniom zostanie przypisany właściwy IP skojarzony z MAC ale każde inne urządzenie połączy się czy to po Wi-Fi czy LAN i otrzyma IP z puli adresów.

Także chyba nie będę bawił się w zabezpieczanie portów LAN ani też prawdopodobnie w kojarzenie IP z MAC skoro ta metoda działa na owych urządzeniach w ten sposób.

Kolego @rikardo67, widzę, że ogarniasz temat bardziej ode mnie. Czy zgadzasz się z tym co napisałem?
Chyba w takim wypadku najlepiej zabezpieczyć tylko Wi-Fi mając do dyspozycji owe urządzenia i na jednym z routerów włączyć DHCP i ustawić określoną pulę adresów, z której ma je przydzielać, nie?

Dokładnie tak, załóżmy że potrzebujesz 10 adresów ip +1 dla routera, wiec ustawiasz 11 IP w zakresie dhcp i te kompy parujesz z mac i raczej żadem inny komp nie powinien ci się na lewo nie podłączy.Morzesz sobie dopasować maske do ilosci urządzeń.