Guten Tag Gemeinde,
ich bin nicht der IT Admin Profi, und ja bisher habe ich mit der fritbox meine Zeit gehabt.
Dennoch stösst man doch bei einigen Themen an seine Grenzen, die ich mit der Fritzbox einfach nicht umsetzen kann.
Dazu gehört eine Umfangreiche IP Block Liste, gerade für diesen Tiktok xxxxx.
Eine Sozialmedia Plattform die sich so schlecht blocken lässt, gehört eigentlich verboten.
Auch benötige ich die Möglichkeit die Geschwindigkeit einiger Teilnehmer nach aussen ins Internet zu drosseln.
Ein anderer wichtiger Punkt ist, das ich nur den Geräten eine IPV6 Adresse verpassen möchte, die auch auch von aussen erreichen möchte.
Andere Teilnehmer im LAN sollen intern weiterhin mit IPV4 unterwegs sein.
Ich denke das ich das mit KEA IVP6 und Rerservation und keinem Pool hinbekommen hatte. Ob das nach ablauf der Leases noch gegeben war, kann ich nicht mehr überprüfen weil meine Config eben von mir resetet würde weil ich das webinterface nicht mehr erreicht habe.
Warum das passiert ist, kann ich nur ahnen.
Ich glaube das OPNSense mit dem einfachsten Feature IP Adresse nur wenn MAC Adresse in der Whitelist (HOST / oder auch Reserevation ja nach Dienst) steht einfach nicht klar kommt oder ich einfach einen Denkfehler habe.
Also die Übung ist, IPV4 Adressen sollen nur Rechner bekommen, die ich vorher definiert habe.
Der Hintergrund ist, das viele Geräte Handys usw sich bei jeder neuen SW oder wie auch immer eine eigene MAC Adresse bauen, und ich dann am ende gar nicht mehr weiß wer wer ist. Daher habe ich das bisher allen Teilnehmern die sowas machen in meinem WLAN verboten.
Also musste das ausgeschaltet werden.
Wenn ich aber nicht mehr mit der MAC Adress Whiteliste arbeiten kann, dann hilft mir dieses OPNsense Projekt einfach gar nicht.
ICh kann über Aliases und Firewall Whitelisten aufbauen für erlaubten Traffic, ja das ist richtig, aber ich möchte das der unbekannte gar nicht erste eine IP vom DHCP bekommt.
Ich habe den deault DHCP genommen Dnsmasq DNS & DHCP, wenn ich dort den Pool entferne und nur Hosts hinterlege, dann dauert es nicht lange, nachdem alles leases abgelaufen sind, geht nichts mehr.
Das gleiche mit KEA, erst sah es gut aus, aber dann heute morgen ging nichts mehr.
Gibt es für dieses MAC DHCP IVP4 Thema eine Lösung?
Danke euch
Eine Lösung dafür, Geräte per MAC Adresse zuverlässig eindeutig zu identifizieren, gibt es nicht.
Ich würde einfach alle nicht vertrauenswürdigen Geräte in ein Gäste-/IOT-VLAN sperren, wo sie nur Internet bekommen, aber nicht auf den Rest zugreifen dürfen.
Denk in Sicherheit/Policy per VLAN/Interface/SSID, nicht per Gerät. Und dann ist es wurst, wer wer ist.
Es gibt natürlich Enterprise-Lösungen für so etwas:
1. 802.1x
Authentifizierung schon auf Layer 2. Benötigt einen managed Switch bzw. Accesspoint, die das können, eine PKI, und einen RADIUS-Server.
2. VPN
Die Geräte kommen vom WLAN aus nirgends hin, außer zum VPN-Server. Dort müssen sie sich anmelden, damit sie ins Internet kommen.
Liebe Grüße,
Patrick
Danke für deine Antwort.
Die MAC Adresse eines Teilnehmers ist doch dem DHCP Server bekannt?
Sonst könnte er ja keine statischen Adressen bedienen.
Und wenn die MAC Adresse nicht bekannt ist, dann könnte er doch eine IP verwehren.
Man muss nicht immer davon ausgehen das die MAC Adresse gefaked wird, das würde ich ausschließen.
Ich möchte die Teilnehmer im LAN einfach eindeutig identifizieren und keine toten IPs in meiner Liste haben.
Weil die Firewall funktioniert mit dem MAC Filter recht gut.
Warum bekommt das die Fritzbox hin und OPNsense mit Quelloffen und so weiter tut sich so schwer damit?
Der alte ISC DHCP kannte die Option "Deny unknown clients", dann muss man natürlich alle Clients als Static Mappings eintragen. Zur Sicherheit sollte man dann noch den IP-Range leeren, dann werden eben keine dynamischen IPs vergeben.
Ist aber Augenwischerei: Wann immer sich ein Client selbst statisch eine IP konfiguriert, kann er zugreifen.
Besser ist es also, solche Clients gar nicht erst ins Netz zu lassen, beispielsweise, indem man eine MAC-Liste in Unifi für das WLAN definiert oder eben 802.1x mit Freeradius auf der OpnSense und Switches oder Access Points, die das können. Dabei geht auch MAC-Authentifizierung, das muss nicht per Zertifikat erfolgen.
[Ist aber Augenwischerei: Wann immer sich ein Client selbst statisch eine IP konfiguriert, kann er zugreifen.]
Wenn es jemand soweit geschafft hat, dann hat er eben sich eine IP geholt, aber eben auf dem eigenen Weg, das macht er einmal aber nicht 10 mal, weil die Firewall blockt das dann weg.
Ich denke ja in Ziele, mein Ziel ist es meine Liste sauber zu haben, und eben kein Traffic dank Firewall.
Wenn du sagst das geht nur mit dem alten ISC DHCP, welcher aber in der 25.7 X Version nur noch rudimentär drin ist. Viele Menüpunkte wie "Static Mappings" oder auch die Option "Deny unknown clients" war wahrscheinlich bei den Allgemeinen Einstellungen?
Wenn man bei KEA im Subnet und dann im Pool die IPs, welche erlaubt sind, einträgt, würde das gehen?
Also jede IP einzeln, keine Range.
Und es geht eigentlich um die WLAN Teilnehmer, diese kommen über die 2 als IPClient Confifurierten Fritzboxen [MESH] WLAN Teilnehmer ins Netzwerk.
Ob die MAC sperre bei unbekannten WLAN Teilnehmern noch greift muss ich erstmal überprüfen.
Dazu kommt noch ein MESH Repeater, das WLAN funktioniert recht gut im MESH, das möchte ich nicht ersetzen.
Wie soll die Firewall das "wegblocken"? Pflegst Du dort etwa die MACs oder die dazugehörigen IPs alle nochmal zusätzlich außerhalb der DHCP-Reservierungen?
Falls nicht, werden doch alle IPs im LAN Internet-Zugriff haben, oder? Mal ganz abgesehen davon, dass sie im LAN sowieso alles dürfen, weil diesen Traffic die Firewall ja überhaupt nicht sieht...
Wie gesagt: wenn man das will, führt an Kontrolle schon auf Ebene des Access-Layer nichts vorbei.
Falls Du dennoch meinst, damit fein zu sein:
Static Mappings sind Reservierungen und "Deny Unknown Clients" ist in den Einstellungen, ja.
Man kann mit Kea DHCP - trotz Fehlens einer entsprechenden Option - den selben Effekt erzielen, indem man einfach leere Pool-Ranges definiert. Dann werden ja nur feste Reservierungen vergeben, die man bei diesem Ansatz ohnehin pflegen muss (wohin sonst sollte sonst die Liste der erlaubten MACs?).
ja ich habe eine Regel die alles im LAN verbietet.
Und darüber eine MAC Regel mit Aliases die genau den definierten Geräten alles erlaubt.
Damit war die für mich einfache Regel schnell gemacht und verhielt sich so wie ich wollte.
Naja wenn man es genau nimmt, wenn sie eine IP haben, dann könnten sie sich innerhalb des LANs unterhalten ja.
Aber vom LAN ins WAN wurde durch die Regel nichts kommen.
Um jeglichen Traffic zu unterbinden, müsste man die immer wieder genannten Switches haben, aber das war nicht mein Ziel.
Wie ich ja schon schrieb es geht mehr um die WLAN Geräte.
Kann KEA wirklich mit einem Leeren Pool umgehen?
Oder war mein Problem eher das mein DNS auf der WAN Seite ist, aktuell fahre ich nur einen Test Aufbau um die Familie nicht zu stressen mit halb fertigen Sachen.
Ich hatte bei jeder Reservation als DNS den AdguardHome auf der WAN Seite definiert.
Also eins von beiden war das Problem, ggf, hatte sich auch beide DHCP Server blockiert, ich hab es einfach nicht mehr rausbekommen, weil ich das WI nicht mehr erreich habe. Auch über die shell und mit vi und editieren des DNS für die eine Reservation usw neu setzen der Inferfaces, wobei ich da nicht weiß welchen Service er da nimmt oder ob dann wieder der default DHCP an ist oder weiterhin KEA.
Aber wenn Du per MAC den Geräten alles verbietest, ist es doch auch egal, ob sie eine IP per DHCP bekommen? Raus könnten sie ja auch so nicht und im LAN geht eh alles...
Und ja, angeblich kann Kea das: https://forum.opnsense.org/index.php?msg=194326
Danke für eure Zuarbeit.
Ich schrieb ja, das ich unbekannte Teilnehmer erst gar nicht mit einer IP im Netzwerk sehen möchte, weil das alles verstopft.
Und ich bin ein Ordnungsliebender Mensch und seit dem Apple das mit dem Privat MACs angeboten hatte war ich schon maximal genervt.
Es hängen bei mir 43 Teilnehmer im Netzwerk. Daher werden neue Geräte per Hand hinzugefügt und benannt, damit ich weiß wer das ist.
Ein Beitrag hier brachte mich auf den Weg, das ich das ja im WLAN weiterhin definieren kann, also wer kommt rein und wer nicht.
Das geht auch wenn die Fritzbox nur noch Mesh MAster ist aber selbst kein DNS DHCP oder auch Firewall übernimmt.
Damit ist Sorge eigentlich gelöst.
Bandbreiten Beschränkung klappt auch, sieht also gut aus.
Was ich mich noch fragen welchen DHCP Server man eigentlich jetzt nutzen sollte?
KEA oder den default Dnsmasq DNS & DHCP?
Warum sind eigentlich 3 verschiedene DHCP Server installiert?
Quote from: BlizZzord on August 19, 2025, 10:36:40 PMIch schrieb ja, das ich unbekannte Teilnehmer erst gar nicht mit einer IP im Netzwerk sehen möchte, weil das alles verstopft.
Was heißt "verstopft" und was sind unbekannte Teilnehmer? Jedes Gerät, das dein WPA-Secret kennt, ist doch per Definitionem bekannt? Also unbekannte Geräte kommen doch überhaupt nicht ins Netz rein?
Quote from: BlizZzord on August 19, 2025, 10:36:40 PMWarum sind eigentlich 3 verschiedene DHCP Server installiert?
Das ist eine Frage, auf die ich auch noch keine Antwort habe.
Zu 1: Zumindest ist die Vergabe eines WLAN-Passworts eine ziemlich gute Möglichkeit, um den Access Layer zu schützen, auch ganz ohne 802.1x. Und wenn man nicht fürchten muss, dass die eigenen Kinder oder Gäste selbst am Switch herumspielen, sollte das ausreichen.
Zu 2.: Variety is the spice of life. ;-) So kann man bei 3 DHCP-Servern der Feature-Parity zu ISC DHCP hinterherlaufen...
Hm okay wie läuft das in einer Familie ab :=)
Ich gebe dem Kind das WLAN Passwort, dann ist die halbe Klasse des Kindes auch im WLAN, mal übertrieben.
Generell dürfen sie halt rein, aber immer mit eintragen der MAC die auch immer gleich bleiben muss.
Wenn jeder jede Woche mit einer neuen MAC reinkommt, dann ist das alles einfach nur noch Chaos, weil die geräte dann PCXX:XX:XX:XX usw heißén.
Ich denke das würde euch auch nerven, Handys ändern wenn man das nichtr unterbindet regelmäßig die MAC.
Und wenn das KInd sanktioniert wird, bei nicht erfüllung von Zielen Aufgaben oder auch immer dann, wäre ein Änderung der MAC gut für das Kind aber nicht für die Sanktion. Klingt das so abwägig?
Wieso sollte die halbe Klasse auch ins WLAN? Nein, ist hier auch mit Kind noch nie passiert. Gäste kriegen das Kennwort zum Gäste-Netz und gut.
Tja, deswegen ist es ja so, dass man die WLAN-Passworte nicht aus dem Handy rausbekommt: Richte Du doch das WLAN auf dem Smartphone ein.
Zusätzlich kannst Du ja immer noch ein offenes WLAN "GAST" einrichten, das gar kein Passwort hat oder eben eins, dass an Freunde weitergegeben werden darf.
Da es keine Störerhaftung mehr gibt (https://www.bundeswirtschaftsministerium.de/Redaktion/DE/Dossier/Netzpolitik/mehr-rechtssicherheit-bei-wlan.html), ist das O.K.
Die Sanktionierung funktioniert so natürlich nicht, wenn das Kind auch das "offene" WLAN nutzen kann.
@meyergru Du weißt aber, was Apple-Geräte per Default tun?
Ich bin mit meinem iPhone im WLAN XY eingebucht. Du stehst direkt neben mir, verbindest dich mit deinem iPhone mit demselben WLAN, der Passwort/Secret-Dialog erscheint.
Auf meinem iPhone erscheint ein Popup "Möchtest du das Passwort für das WLAN XY mit Uwe's iPhone teilen? Ja/Nein".
Ist toll, wenn die Familie ins Hotel eincheckt. Kann aber auch problematisch sein.
Am besten Captive Portal einrichten auf dem "freien" WLAN.
https://docs.opnsense.org/manual/captiveportal.html
Zusätzlich alle DNS Server blockieren außer dnsmasq auf der OPNsense und dann mit ipset eine strikte allowliste oder blockliste führen für Domains. Das blockt härter als DNS blackhole.
https://docs.opnsense.org/manual/dnsmasq.html#firewall-alias-ipset
Das kann sozusagen on top auf Unbound blocklisten betrieben werden wenn man nach Unbound weiterleitet (auch beschrieben ein punkt über ipset)
Ob dann ein Gerät die MAC ändert oder nicht ist egal, die müssen einen Validen Voucher für Captive Portal haben und auch so wird fast alles geblockt was man nicht Kindern geben will. Und wenn Kind böse wird der Voucher entzogen.
Quote from: Patrick M. Hausen on August 20, 2025, 07:16:29 PM@meyergru Du weißt aber, was Apple-Geräte per Default tun?
Ich bin mit meinem iPhone im WLAN XY eingebucht. Du stehst direkt neben mir, verbindest dich mit deinem iPhone mit demselben WLAN, der Passwort/Secret-Dialog erscheint.
Auf meinem iPhone erscheint ein Popup "Möchtest du das Passwort für das WLAN XY mit Uwe's iPhone teilen? Ja/Nein".
Ist toll, wenn die Familie ins Hotel eincheckt. Kann aber auch problematisch sein.
Ja, stimmt. Ist neuerdings so. Du kannst auch ein public WLAN aufziehen, über das sich weitere Clients verbinden. Wahrscheinlich führt an einem Captive Portal eh nichts vorbei - und andererseits: dann geht man eben nicht über das WLAN, sondern direkt mit dem Telefontarif raus...
Quote from: meyergru on August 20, 2025, 08:37:12 PMJa, stimmt. Ist neuerdings so.
Das ist schon Jahre so und ich finde, das ist ein sehr geiles Comfort-Feature. Alles Bluetooth-LE und Apple-Dingsis, die sich gegenseitig erkennen. Wenn die auf dieselbe Apple-ID registriert sind, braucht's natürlich nicht mal mehr einen Dialog. Ich buch mich im Hotel mit dem Telefon ein und der Mac und das iPad funktionieren einfach.
Macht die Anforderung des TE natürlich gelinde kaputt :-)
Aber die Idee bei einer Liste von Geräten in z.B. Services > DHCP > Leases sofort sagen zu können, welches welches ist, ist sowieso zum Scheitern verurteilt. Zonen/VLANs/SSIDs und Isolation. Letztlich ist mir doch egal, wer meinen Uplink benutzt, solange die Bandbreite nicht dicht gemacht wird.
Quote from: Patrick M. Hausen on August 20, 2025, 08:44:09 PMAber die Idee bei einer Liste von Geräten in z.B. Services > DHCP > Leases sofort sagen zu können, welches welches ist, ist sowieso zum Scheitern verurteilt. Zonen/VLANs/SSIDs und Isolation. Letztlich ist mir doch egal, wer meinen Uplink benutzt, solange die Bandbreite nicht dicht gemacht wird.
Warum ist das zum scheitern verurteilt?
Anhand der durch MAC vorgegebenen IPs kann ich schon recht gut zuordnen wer wer ist.
Und MACs die ich nicht kenne kommen gar nicht erst rein, und die LAN Ports sind an Stellen wo es auffallen würde, und so weit würde ich nicht gehen.
Die MAC am Handy zu ändern, ist schon eher eine Low hanging fruit, das ist schnell mit google rausgefunden, daher geht es nur so.
Einige Vorschläge, die sicherlich basierend auf euren Erfahrungen, auch gut funktionieren würden, werde ich aber nicht umsetzen, weil mir aktuell die Einarbeitungszeit fehlt.
Quote from: BlizZzord on August 20, 2025, 08:55:58 PMWarum ist das zum scheitern verurteilt?
Weil es selbst in einem vertrauten Familien-Netz einfach zu viele sind. Dazu kommen die Privacy-Funktionen moderner Geräte wie Telefone, Tabletts etc. Die wechseln ihre Mac-Adressen. Und das ist gut so.
Jeder, der mein LAN-Secret kennt, darf per Definitionem rein.
Und alle paar Monate wechsele ich das. 25 Zeichen, zufällig gewürfelt.
In der Firma gehen wir wahrscheinlich doch wieder auf WPA-Enterprise, also Zertifikate, RADIUS etc. Alles im Rahmen unserer ISO 27001 Zertifizierung. Aber eins nach dem anderen.
Aber genau das mit dem wechseln unterbinde ich ja, in dem ich mir die MAC geben lasse und die muss dann so bleiben.
Wenn Geräte die MAC ändern, dann haben sie ein problem, bleiben dann wohl draussen.
Habe ich so aber nur bei Apple und ggf Android Handy gesehen. Was ja auch aufgrund von Datenschutz in Öffentlichen Netzwerken oder wo auch immer okay und richtig ist. Gerade Appele macht viel Richtung Datenschutz und meiner daten.
Aber mein Netz meine Gesetze, siehe oben :=)
@BlizZzord Ja, alles prinzipiell richtig. Ich mag mir so ein Micromanagement aber einfach nicht antun. You do you, wie man auf Neudeutsch sagt. Warum sollte mich die MAC-Adresse von irgendeinem iPhone in meiner Familie interessieren? Mein "Job" in diesem "Netzwerk-Ingenieur baut komplett überkandidelte Umgebung in seinem Zuhause weil er's kann" Szenario ist, dass jeder stabilen Internet-Zugang hat. Alle meine Hobbies kommen danach.
Quote from: Monviech (Cedrik) on August 20, 2025, 07:31:22 PMAm besten Captive Portal einrichten auf dem "freien" WLAN.
https://docs.opnsense.org/manual/captiveportal.html
Zusätzlich alle DNS Server blockieren außer dnsmasq auf der OPNsense und dann mit ipset eine strikte allowliste oder blockliste führen für Domains. Das blockt härter als DNS blackhole.
https://docs.opnsense.org/manual/dnsmasq.html#firewall-alias-ipset
Das kann sozusagen on top auf Unbound blocklisten betrieben werden wenn man nach Unbound weiterleitet (auch beschrieben ein punkt über ipset)
Ob dann ein Gerät die MAC ändert oder nicht ist egal, die müssen einen Validen Voucher für Captive Portal haben und auch so wird fast alles geblockt was man nicht Kindern geben will. Und wenn Kind böse wird der Voucher entzogen.
genauso macht man das, habe etwas abgewandelt bei mir umgesetzt und kein mac kuddel-muddel.