MAC-Filter + DHCP auf opnsense oder auf AccessPoint

Started by ziegler, December 23, 2021, 12:06:00 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
December 23, 2021, 12:06:00 PM
Hallo,

ich habe eine Frage zu WLAN und dessen Verbingung der Clients.
Ich habe eine opnsense mit 3 Nics:

WAN  --> DHCP
LAN  --> statisch (192.168.1.1) --> Client (statisch 192.168.1.10)
WLAN --> statisch (192.168.2.1) --> ASUS AccessPoint (statisch 192.168.2.2) --> Clients (DHCP 192.168.2.10 - 192.168.2.20)

Ich habe auf der opnsense beim WLAN-Interface ein DHCP mit MAC-Filterung eingestellt plus feste fester Zuweisung der IP-Adresse.
Also WLAN-Client1 mit seiner MAC-Adresse bekommt z.B. immer die IP 192.168.2.11 zugewiesen.
Clients mit unbekannter MAC-Adresse bekommen keine IP.
Das klappt soweit auch alles.

Jetzt gibt es im Wlan-AccessePoint auch eine Möglichkeit einer MAC-Filterung mit DHCP.
Das nutze ich aber nur über die opnsense.

Macht es mehr Sinn das auf dem AccessPoint zu betreiben oder vielleicht sogar doppelt?
Weil ich verstehe das jetzt so, ein Client kann sich jetzt mit dem AccessPoint verbinden, dieser leitet die Verbindung
weiter zur opnsense, stimmt die MAC bekommt der Client eine IP, wenn nicht wird dieser abgewiesen.

Auch wenn dieser Client abgewiesen wird, s besteht ja immerhin die Möglichkeit sich mit dem AccessPoint zu verbinden.
Nur wenn ich DHCP + MAC-Filterung am AccessPoint einstelle ist das ja wieder unabhänig von der opnsense.

Was wäre am sinnvollsten?
December 23, 2021, 01:43:59 PM #1
ich persönlich finde es blödsinn mit dem unbekannte MAC-Adressen zu sperren.
meine wahl währe das mit einem RADIUS und personen bezogerne logins zu machen (du willst ja nur leute in dein lan/wlan lassen die du kennst) oder was genau ist dein ziel.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
December 23, 2021, 03:04:12 PM #2
Ja, genau, nur die bekannten Geräte zulassen und Gäste.
Es handelt sich eigentlich nur um insgesamt 4 Geräte + Gäste.
Das mit der MAC Sperre könnte man sowieso leicht umgehen, ich kann dem Gerät ja eine MAC vorgaukeln.

Wäre ein Radius denn da die bessere Wahl?
Lohnt sich das für 4 Geräte + Gäste, weil der Aufwand mit Radius ist ja etwas höher.

Ist es denn eigentlich so richtig eingestellt bei mir das sich nicht der AccessPoint um DHCP + MAC kümmert sondern die opnsense?
Oder spielt das eigentlich keine Rolle?
December 23, 2021, 09:53:53 PM #3
Im Grunde ist ein Radius nicht so viel Aufwand

1. FreeRadius auf der OPNsense installieren
2. Gültiges TLS Zertifikate (nutze dort ZeroSSL da LetsEncrypt bei mir mit Android Probleme machte)
3. DNS an den jeweiligen Radius Schnittstellen anpassen, damit der DNS Name direkt zum Radius Server aufgelöst wird
4. Radius im WLAN AP hinterlegen

Das sollte es eigentlich gewesen sein.

Gesendet von meinem M2012K11AG mit Tapatalk

(Unoffial Community) OPNsense Telegram Group: https://t.me/joinchat/0o9JuLUXRFpiNmJk

PM for paid support
Print
Go Up Pages1
User actions