Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 2727 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Paketfilter & NAT-Regeln anhand der MAC-Adresse

Clyde
Hallo zusammen,

Ich bin hier seit ein paar Stunden am üben, um für folgendes Problem eine Lösung zu finden:

- eine interne Netzwerkinsel in Form eines Wireless WPA2 Netzwerks soll über ein separates  Interface (eth6) der ASG220 Zugriff auf das Firmennetzwerk (eth0) erhalten.

- diese Clients sind wie der Rest der Clients Mitglied derselben Domäne (inkl. DC, DHCP, DNS)

- der Zugriff der Clients (Paketfilter) soll anhand der MAC-Adresse gefiltert werden

Ich will also anhand der MAC-Adresse den Datenverkehr zwischen 2 Netzwerken über die Firewall steuern. Geht das? Mein Problem liegt prinzipiell an der (Astaro-) Definition eines Clients inkl. MAC-Adresse. 

(Grund für die Idee: unser WAP macht immer wieder Probleme mit den Filtern und Sicherheitseinstellungen. Da dachte ich mir, nimm die Astaro, die hat mehr Leistung und ist stabiler).

Bin für Tips sehr dankbar!

Merci
Clyde


This thread was automatically locked due to age.
Parents
  • 0
    Hi Clyde

    wie immer - ja und nein. Regeln auf MAC-Basis gibts bei der ASG220 nicht. Nur auf Basis der IP-Nummern. Du kannst aber z.B. dafür sorgen, das deine WLAN-Clients von der Astaro ihre IP-Nummer beziehen.

    Also ganz von vorne:
    Wenn das ganze Transparent laufen soll, dann bridged du die beiden Interface einfach und der vorhandene DHCP-Server verteilt auch an die WLAN-Clients eine IP-Nummer - dann kann man sich aber die Frage stellen, warum 2 Interface auf der Astaro dafür belegen - das geht auch besser im Netz direkt mit einem einfachen AccessPoint.

    Also machen wir ein 2. Netz auf und Routen zwischen den beiden Netzen über die Astaro. Dann brauchst du auch einen zweiten DHCP-Server, der die Nummern verteilt. Das kann der WLAN AccessPoint sein, das kann aber auch die Astaro sein auf dem Interface mit dem WLAN AccessPoint.

    Hier kannst du dann z.B. Statische Adressen vergeben zu MAC-Adressen und genau die IP-Adressen dann im Regelwerk benutzen. Klar - wenn jemand die IP-Nummer kennt, mit der es geht, kann er sich selbst diese IP-Nummer auf seinem Clienten geben - ein MAC-Filter ist das nicht, aber mehr geht mit der Astaro nicht - denke ich - vielleicht ist ja jemand weiter als ich ???

    Das Geschäft mit den MAC-Adressen sollte der WLAN-AccessPoint beherschen, schließlich ist das die Box, die den WLAN-Zugriff im Griff haben muß.

    Gruß Stefan
Reply
  • 0
    Hi Clyde

    wie immer - ja und nein. Regeln auf MAC-Basis gibts bei der ASG220 nicht. Nur auf Basis der IP-Nummern. Du kannst aber z.B. dafür sorgen, das deine WLAN-Clients von der Astaro ihre IP-Nummer beziehen.

    Also ganz von vorne:
    Wenn das ganze Transparent laufen soll, dann bridged du die beiden Interface einfach und der vorhandene DHCP-Server verteilt auch an die WLAN-Clients eine IP-Nummer - dann kann man sich aber die Frage stellen, warum 2 Interface auf der Astaro dafür belegen - das geht auch besser im Netz direkt mit einem einfachen AccessPoint.

    Also machen wir ein 2. Netz auf und Routen zwischen den beiden Netzen über die Astaro. Dann brauchst du auch einen zweiten DHCP-Server, der die Nummern verteilt. Das kann der WLAN AccessPoint sein, das kann aber auch die Astaro sein auf dem Interface mit dem WLAN AccessPoint.

    Hier kannst du dann z.B. Statische Adressen vergeben zu MAC-Adressen und genau die IP-Adressen dann im Regelwerk benutzen. Klar - wenn jemand die IP-Nummer kennt, mit der es geht, kann er sich selbst diese IP-Nummer auf seinem Clienten geben - ein MAC-Filter ist das nicht, aber mehr geht mit der Astaro nicht - denke ich - vielleicht ist ja jemand weiter als ich ???

    Das Geschäft mit den MAC-Adressen sollte der WLAN-AccessPoint beherschen, schließlich ist das die Box, die den WLAN-Zugriff im Griff haben muß.

    Gruß Stefan
Children
No Data