Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2725 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Paketfilter & NAT-Regeln anhand der MAC-Adresse

Clyde
Hallo zusammen,

Ich bin hier seit ein paar Stunden am üben, um für folgendes Problem eine Lösung zu finden:

- eine interne Netzwerkinsel in Form eines Wireless WPA2 Netzwerks soll über ein separates  Interface (eth6) der ASG220 Zugriff auf das Firmennetzwerk (eth0) erhalten.

- diese Clients sind wie der Rest der Clients Mitglied derselben Domäne (inkl. DC, DHCP, DNS)

- der Zugriff der Clients (Paketfilter) soll anhand der MAC-Adresse gefiltert werden

Ich will also anhand der MAC-Adresse den Datenverkehr zwischen 2 Netzwerken über die Firewall steuern. Geht das? Mein Problem liegt prinzipiell an der (Astaro-) Definition eines Clients inkl. MAC-Adresse. 

(Grund für die Idee: unser WAP macht immer wieder Probleme mit den Filtern und Sicherheitseinstellungen. Da dachte ich mir, nimm die Astaro, die hat mehr Leistung und ist stabiler).

Bin für Tips sehr dankbar!

Merci
Clyde


This thread was automatically locked due to age.
  • 0
    'Network Services >> DHCP' 'Static MAC/IP Mappings'

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Clyde

    wie immer - ja und nein. Regeln auf MAC-Basis gibts bei der ASG220 nicht. Nur auf Basis der IP-Nummern. Du kannst aber z.B. dafür sorgen, das deine WLAN-Clients von der Astaro ihre IP-Nummer beziehen.

    Also ganz von vorne:
    Wenn das ganze Transparent laufen soll, dann bridged du die beiden Interface einfach und der vorhandene DHCP-Server verteilt auch an die WLAN-Clients eine IP-Nummer - dann kann man sich aber die Frage stellen, warum 2 Interface auf der Astaro dafür belegen - das geht auch besser im Netz direkt mit einem einfachen AccessPoint.

    Also machen wir ein 2. Netz auf und Routen zwischen den beiden Netzen über die Astaro. Dann brauchst du auch einen zweiten DHCP-Server, der die Nummern verteilt. Das kann der WLAN AccessPoint sein, das kann aber auch die Astaro sein auf dem Interface mit dem WLAN AccessPoint.

    Hier kannst du dann z.B. Statische Adressen vergeben zu MAC-Adressen und genau die IP-Adressen dann im Regelwerk benutzen. Klar - wenn jemand die IP-Nummer kennt, mit der es geht, kann er sich selbst diese IP-Nummer auf seinem Clienten geben - ein MAC-Filter ist das nicht, aber mehr geht mit der Astaro nicht - denke ich - vielleicht ist ja jemand weiter als ich ???

    Das Geschäft mit den MAC-Adressen sollte der WLAN-AccessPoint beherschen, schließlich ist das die Box, die den WLAN-Zugriff im Griff haben muß.

    Gruß Stefan
  • 0
    Hi Clyde,

    nochmal von vorne: Was genau willst Du denn mit der MAC Filterung erreichen? Möchtest Du kontrollieren, dass auch wirklich nur "Deine" Clients via WLAN kommunizieren können?

    Wenn ja, dann nutze doch einfach auf Deinem AP die MAC basierte Filterung oder noch besser schwenke von WPA2 PSK auf WPA mit EAP und ggf. Radius hinten dran, dann musst Du nicht fürchten, dass der Preshared Key an Nichtbefugte weitergegeben wird.

    MAC basierte Firewallregeln gibts bei der Astaro nicht.

    LG
    Christian
  • 0 in reply to christianlouis
    Hi Christian,

    Das Hauptproblem liegt in der Wireless-Verbindung zur Domäne. Immerwieder gibts Unterbrüche, Explorer öffnen im Schneckentempo oder Zugriff auf Archiv-Server werden ganz unterbrochen. Ereignisprotokolle sind dabei leer, hingegen treten diese Probleme mit einem (testweise) LAN-Kabelanschluss dieser Clients nicht auf.

    Liegt also anscheinend an dem dazwischen-geschaltenen WAP (DLink DIR-655)?

    Da dachte ich an eine Sicherheitslösung mittels der Astaro (ähnlich einer DMZ?), sehe aber schon ein, dass der einzig richtige Sicherheits-Checkpunkt der WAP selbst sein sollte...

    Clyde

    __________________
    System-Administrator
    Astaro-User since Dez.2009
    2 x SG230-HA (Fw. V9.x)

  • 0
    Hi Clyde,

    da muss ich ja jetzt mal schamlos Werbung für das neue WLAN Produkt von Astaro machen. Das kannst Du dann statt des D-Link nehmen und damit sollten dann hoffentlich die Performanceprobleme Geschichte sein [;)]

    Allerdings musst Du Dich da noch ein wenig gedulden.

    Liebe Grüße
    Christian