Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 3422 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wlan Gäste sperren

Maersu
Guten Abend zusammen.

Ich betreibe 2 Richtfunk Netzwerke. Aus Technischen Gründen ist es mir noch nicht gelungen diese zu verschlüsseln. Da wir relativ abseitz wohnen, hatte ich bis jetzt noch nie fremde gäste im Netz. Jedoch entdeckte ich vorhin dass ein unbekannter Laptop angemeldet ist. Über den ASG konnte ich sehen dass er eine IP Vom ASG DHCP Server bezogen hat. Vorübergehend ist nun der DHCP Server Deaktiviert was ein nicht allzugrosses Problem darstellt da alle IPs Statisch sind.

Gibt es nun eine möglichkeit diese MAC Adresse zu sperren oder eine Benutzeranmeldung zu machen? So im Stil dass beim Verbinden ins Lan eine Seite vom ASG kommt bei der Benutzer und Passwort eingegeben werden müssen um zugriff ins Netzwerk zu erhalten.

Hoffe ihr versteht was ich meine und könnt mir einen Tipp geben. 


Freundliche Grüsse

Märsu


This thread was automatically locked due to age.
  • 0
    Hallo Märsu,

    dazu gab es schon einige Fragen hier im Board. Wenn ich das richtig im Kopf habe, kann man es wohl nur so machen, das man entweder den DHCP deaktiviert und die Clients manuell konfiguriert oder im DHCP Server das Static Mapping zu aktivieren.

    Obwohl auch das nur die halbe Miete wäre, denn sobal jemand deinen (unverschlüsselten) WLAN Treffic mitsnifft und den IP Bereich errät (was ja nicht sooo schwierig ist...) ist er wieder mit dabei. Du müsstest dann für alle deine Rechner Objekte anlegen und alle Regeln, Proxys usw. darauf beschränken.

    Gruß
    Manfred
  • 0 in reply to Hallowach2

    Obwohl auch das nur die halbe Miete wäre, denn sobal jemand deinen (unverschlüsselten) WLAN Treffic mitsnifft und den IP Bereich errät (was ja nicht sooo schwierig ist...) ist er wieder mit dabei. Du müsstest dann für alle deine Rechner Objekte anlegen und alle Regeln, Proxys usw. darauf beschränken.

    Gruß
    Manfred


    .... und auch das bringt nur bedingt was.

    Fassen wir zusammen:

    Die ASG kann:

    - die Gruppe der Clients einschränken, die DHCP Leases bekommen (also nur diesen MAC Adressen IPs zuweisen)
    - Clients auf Basis von IP Adressen (Layer 3) Zugriffe per Paketfilter erlauben oder verbieten
    - Zugriffe auf HTTP / HTTPS durch einen transparenten Proxy von einer Useranmeldung abhängig machen
    - Zugriffe und Paketfilterregeln von einem erfolgreich per VPN authentisierten User abhängig machen (und ggf. dessen Gruppenzugehörigkeit).

    Die ASG kann nicht:
    - Paketfilterregel auf MAC Basis vergeben
    - Zugriffe auf das LAN per MAC Filter verhindern oder andere Netzwerkzugangskontrollen (802.1x) mit Ausnahme von 802.1x mit RADIUS Backend auf den Astaro eigenen APs machen
    - verhindern, dass jemand eine "freigeschaltete" IP, die DHCP technisch per MAC Adresse zugeordnet ist, aber derzeit nicht genutzt wird, als statische IP in seine Konfiguration einträgt.

    Für Dich heißt das, dass Du das offene WLAN als nicht vertrauenswürdiges Zugangsnetzwerk betrachten solltest (vergleichbar mit dem Internet) und aus diesem Netz nur entsprechend abgesicherte Verbindungen erlauben solltest. Die Filterung anhand einer - leicht zu verändernden  - MAC Adresse ist hier nur sehr bedingt sinnvoll. 

    Eine Alternative kann der transparente Proxy sein, wobei dieser lediglich den Zugriff auf HTTP/HTTPS kontrolliert, jedoch nicht automatisch nach erfolgreicher Anmeldung eine Paketfilterregel freischalten kann. Du kannst also derzeit z.B. nicht einen SMB Zugriff von der Anmeldung am transparenten Proxy abhängig machen. Entsprechende Funktionen sind jedoch spätestens bei einem "echten" Hotspot innerhalb der ASG wünschenswert und werden dann (hoffentlich) auch eingebaut werden. Aber das ist Zukunftsmusik.

    Die derzeit verlässlichste Methode, den Netzwerkzugriff zu kontrollieren, ist der Einsatz einer VPN Verbindung, was jedoch die Installation eines Clients auf allen Rechnern voraussetzt. In einer gemanagten Umgebung sollte das aber kein Problem sein und innerhalb einer Familie auch nicht - wenn auch lästig.

    Darf ich darüber hinaus fragen, was die technischen Probleme sind, die Dich an der Verschlüsselung Deiner Richtfunkstrecken hindern?

    Liebe Grüße
    Christian
  • 0 in reply to christianlouis
    Danke für eure Antworten. 

    Es ersteunt mich einwenig, dass das bei dieser eigentlich sehr umfänglichen Software nicht geht. Aber egal. Ich schliesse daraus dass die Verschlüsselung die einzig wahre lösung ist.

    Zum Problem: Da es sich bei den Verbindungen um Bridges handelt, ist auf der gegenseite nicht wie gewöhnlich ein Rechner sondern ein Wlan Router der als Client eingestellt ist. Genau genommen um einen D-Link DWL 2100AP. Wenn ich das Netz nun verschlüssle, die Daten beim Client auch eingebe, kommt keine Verbindung zu stande. Da es leider bei beiden sehr viele Einstellungsmöglichkeiten gibt, ist es wohl nur eine Sache des ausprobierens und der Gedult. Leider fehlt mir in letzter Zeit auch die Zeit da es sehr aufwändig ist und 2 Personen braucht.

    Denn: Wenn ich beim Client sitze und die Versschlüsselung beim "Sender" vornehme, aber die verbindung dann nicht klappt, muss ich wider vom eigentlichen Netz aus die Einstellung ändern, da ich vom Client aus ja keine Verbindung mehr ins Netz habe.


    So Viel geschriben und wenig damit gesagt. Falls jemand von euch sich gut auskennt mit Wlan Security soll er sich doch bitte bei mir Melden. 

    Danke und einen schönen Abend