Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: vpnuser on May 06, 2021, 04:07:11 PM

Title: Firewall Rule mit MAC Adresse
Post by: vpnuser on May 06, 2021, 04:07:11 PM
Hallo,
ich wil eine Firewall-Rule mit MAC Adresse in der Source erstellen. Die MAC Adresse ist von einem iPhone. Ich habe ein Alias mit der Adresse angelegt und diese in der Firewall Rule als Source eingetragen. Leider funktioniert diese Regel nicht. Wenn ich den Alias aus der Source entferne, dann greift die Regel.

Ich habe die MAC-Adresse mit dem Diagnose Tool "Pacture Capture" ermittelt. Hier der Ausschnitt:
Code Select
WAN
hn1 15:15:14.146968 44:f4:77:xx:xx:xx > 00:50:56:xx:xx:xx, ethertype IPv4 (0x0800), length 78: (tos 0x0, ttl 57, id 0, offset 0, flags [DF], proto TCP (6), length 64)
    xx.xx.xx.208.55916 > xx.xx.xx.29.2052: Flags [S], cksum 0x50f6 (correct), seq 2069898639, win 65535, options [mss 1452,nop,wscale 5,nop,nop,TS val 3031612560 ecr 0,sackOK,eol], length 0


Die Mac-Adresse der Quelle ist hier "44:f4:77:xx:xx:xx". Diese habe ich auch im Alias verwendet, auch versucht nur die ersten 3 Bytes zu verwenden, leider ohne Erfolg. Wo mache ich hier einen Fehler?
Title: Re: Firewall Rule mit MAC Adresse
Post by: chemlud on May 06, 2021, 04:59:11 PM
FW-Regeln nur mit IP.

Also: der MAC eine fixe IP zuweisen (DHCPv4) und dann die Regel für die reservierte IP erstellen...
Title: Re: Firewall Rule mit MAC Adresse
Post by: vpnuser on May 06, 2021, 05:22:21 PM
Quote from: chemlud on May 06, 2021, 04:59:11 PM
Also: der MAC eine fixe IP zuweisen (DHCPv4) und dann die Regel für die reservierte IP erstellen...
Geht leider nicht, da der Zugriff über das Internet erfolgt und somit die IP vom jeweiligen Internet-Provider vergeben wird.
Title: Re: Firewall Rule mit MAC Adresse
Post by: Patrick M. Hausen on May 06, 2021, 05:47:35 PM
Quote from: vpnuser on May 06, 2021, 05:22:21 PM
Geht leider nicht, da der Zugriff über das Internet erfolgt und somit die IP vom jeweiligen Internet-Provider vergeben wird.
D.h. der Anwender mit dem iPhone ist $irgendwo im Internet und greift von außen auf $dinge zu? Dann muss ich Dich enttäuschen - die MAC-Adresse, die Du siehst, ist nicht die vom iPhone sondern die vom Router vor der OPNsense. MAC-Adressen tauchen nur direkt an LAN-Schnittstellen auf, die werden quer durch das Internet nicht weitertransportiert.
Title: Re: Firewall Rule mit MAC Adresse
Post by: vpnuser on May 06, 2021, 05:58:19 PM
@pmhausen Danke, damit wird einiges klar.
Title: Re: Firewall Rule mit MAC Adresse
Post by: lfirewall1243 on May 07, 2021, 08:13:44 PM
Außerdem kann man die MAC adress Filterung bei neueren iOS sowie Android Geräten vergessen, da diese nach einer Zeit neue MACs simulieren...
Title: Re: Firewall Rule mit MAC Adresse
Post by: vpnuser on May 07, 2021, 08:51:14 PM
Quote from: lfirewall1243 on May 07, 2021, 08:13:44 PM
Außerdem kann man die MAC adress Filterung bei neueren iOS sowie Android Geräten vergessen, da diese nach einer Zeit neue MACs simulieren...
In iOS kann man diese Funktionen für individuelle WLANs ausschalten in Einstellungen -> WLAN -> "Private WLAN Adresse" deaktiveren.
Title: Re: Firewall Rule mit MAC Adresse
Post by: lfirewall1243 on May 07, 2021, 08:52:16 PM
Quote from: vpnuser on May 07, 2021, 08:51:14 PM
Quote from: lfirewall1243 on May 07, 2021, 08:13:44 PM
Außerdem kann man die MAC adress Filterung bei neueren iOS sowie Android Geräten vergessen, da diese nach einer Zeit neue MACs simulieren...
In iOS kann man diese Funktionen ausschalten in Einstellungen -> WLAN -> "Private WLAN Adresse" deaktiveren.
Ist default aber an
Und in großen Umgebungen somit nicht wirklich umsetzbar diese zu deaktivieren
Text only | Text with Images