Hallo,
ich wil eine Firewall-Rule mit MAC Adresse in der Source erstellen. Die MAC Adresse ist von einem iPhone. Ich habe ein Alias mit der Adresse angelegt und diese in der Firewall Rule als Source eingetragen. Leider funktioniert diese Regel nicht. Wenn ich den Alias aus der Source entferne, dann greift die Regel.
Ich habe die MAC-Adresse mit dem Diagnose Tool "Pacture Capture" ermittelt. Hier der Ausschnitt:
WAN
hn1 15:15:14.146968 44:f4:77:xx:xx:xx > 00:50:56:xx:xx:xx, ethertype IPv4 (0x0800), length 78: (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto TCP (6), length 64)
xx.xx.xx.208.55916 > xx.xx.xx.29.2052: Flags [S], cksum 0x50f6 (correct), seq 2069898639, win 65535, options [mss 1452,nop,wscale 5,nop,nop,TS val 3031612560 ecr 0,sackOK,eol], length 0
Die Mac-Adresse der Quelle ist hier "44:f4:77:xx:xx:xx". Diese habe ich auch im Alias verwendet, auch versucht nur die ersten 3 Bytes zu verwenden, leider ohne Erfolg. Wo mache ich hier einen Fehler?
FW-Regeln nur mit IP.
Also: der MAC eine fixe IP zuweisen (DHCPv4) und dann die Regel für die reservierte IP erstellen...
Quote from: chemlud on May 06, 2021, 04:59:11 PM
Also: der MAC eine fixe IP zuweisen (DHCPv4) und dann die Regel für die reservierte IP erstellen...
Geht leider nicht, da der Zugriff über das Internet erfolgt und somit die IP vom jeweiligen Internet-Provider vergeben wird.
Quote from: vpnuser on May 06, 2021, 05:22:21 PM
Geht leider nicht, da der Zugriff über das Internet erfolgt und somit die IP vom jeweiligen Internet-Provider vergeben wird.
D.h. der Anwender mit dem iPhone ist $irgendwo im Internet und greift von außen auf $dinge zu? Dann muss ich Dich enttäuschen - die MAC-Adresse, die Du siehst, ist nicht die vom iPhone sondern die vom Router vor der OPNsense. MAC-Adressen tauchen nur direkt an LAN-Schnittstellen auf, die werden quer durch das Internet nicht weitertransportiert.
@pmhausen Danke, damit wird einiges klar.
Außerdem kann man die MAC adress Filterung bei neueren iOS sowie Android Geräten vergessen, da diese nach einer Zeit neue MACs simulieren...
Quote from: lfirewall1243 on May 07, 2021, 08:13:44 PM
Außerdem kann man die MAC adress Filterung bei neueren iOS sowie Android Geräten vergessen, da diese nach einer Zeit neue MACs simulieren...
In iOS kann man diese Funktionen für individuelle WLANs ausschalten in Einstellungen -> WLAN -> "Private WLAN Adresse" deaktiveren.
Quote from: vpnuser on May 07, 2021, 08:51:14 PM
Quote from: lfirewall1243 on May 07, 2021, 08:13:44 PM
Außerdem kann man die MAC adress Filterung bei neueren iOS sowie Android Geräten vergessen, da diese nach einer Zeit neue MACs simulieren...
In iOS kann man diese Funktionen ausschalten in Einstellungen -> WLAN -> "Private WLAN Adresse" deaktiveren.
Ist default aber an
Und in großen Umgebungen somit nicht wirklich umsetzbar diese zu deaktivieren