Leicht verzweifelt

[BlizZzord]

Guten Tag Gemeinde,

ich bin nicht der IT Admin Profi, und ja bisher habe ich mit der fritbox meine Zeit gehabt.
Dennoch stösst man doch bei einigen Themen an seine Grenzen, die ich mit der Fritzbox einfach nicht umsetzen kann.

Dazu gehört eine Umfangreiche IP Block Liste, gerade für diesen Tiktok xxxxx.
Eine Sozialmedia Plattform die sich so schlecht blocken lässt, gehört eigentlich verboten.

Auch benötige ich die Möglichkeit die Geschwindigkeit einiger Teilnehmer nach aussen ins Internet zu drosseln.

Ein anderer wichtiger Punkt ist, das ich nur den Geräten eine IPV6 Adresse verpassen möchte, die auch auch von aussen erreichen möchte.
Andere Teilnehmer im LAN sollen intern weiterhin mit IPV4 unterwegs sein.
Ich denke das ich das mit KEA IVP6 und Rerservation und keinem Pool hinbekommen hatte. Ob das nach ablauf der Leases noch gegeben war, kann ich nicht mehr überprüfen weil meine Config eben von mir resetet würde weil ich das webinterface nicht mehr erreicht habe.

Warum das passiert ist, kann ich nur ahnen.

Ich glaube das OPNSense mit dem einfachsten Feature IP Adresse nur wenn MAC Adresse in der Whitelist (HOST / oder auch Reserevation ja nach Dienst) steht einfach nicht klar kommt oder ich einfach einen Denkfehler habe.

Also die Übung ist, IPV4 Adressen sollen nur Rechner bekommen, die ich vorher definiert habe.
Der Hintergrund ist, das viele Geräte Handys usw sich bei jeder neuen SW oder wie auch immer eine eigene MAC Adresse bauen, und ich dann am ende gar nicht mehr weiß wer wer ist. Daher habe ich das bisher allen Teilnehmern die sowas machen in meinem WLAN verboten.

Also musste das ausgeschaltet werden.

Wenn ich aber nicht mehr mit der MAC Adress Whiteliste arbeiten kann, dann hilft mir dieses OPNsense Projekt einfach gar nicht.

ICh kann über Aliases und Firewall Whitelisten aufbauen für erlaubten Traffic, ja das ist richtig, aber ich möchte das der unbekannte gar nicht erste eine IP vom DHCP bekommt.

Ich habe den deault DHCP genommen Dnsmasq DNS & DHCP, wenn ich dort den Pool entferne und nur Hosts hinterlege, dann dauert es nicht lange, nachdem alles leases abgelaufen sind, geht nichts mehr.

Das gleiche mit KEA, erst sah es gut aus, aber dann heute morgen ging nichts mehr.

Gibt es für dieses MAC DHCP IVP4 Thema eine Lösung?

Danke euch

[Patrick M. Hausen]

Eine Lösung dafür, Geräte per MAC Adresse zuverlässig eindeutig zu identifizieren, gibt es nicht.

Ich würde einfach alle nicht vertrauenswürdigen Geräte in ein Gäste-/IOT-VLAN sperren, wo sie nur Internet bekommen, aber nicht auf den Rest zugreifen dürfen.

Denk in Sicherheit/Policy per VLAN/Interface/SSID, nicht per Gerät. Und dann ist es wurst, wer wer ist.

Es gibt natürlich Enterprise-Lösungen für so etwas:

1. 802.1x

Authentifizierung schon auf Layer 2. Benötigt einen managed Switch bzw. Accesspoint, die das können, eine PKI, und einen RADIUS-Server.

2. VPN

Die Geräte kommen vom WLAN aus nirgends hin, außer zum VPN-Server. Dort müssen sie sich anmelden, damit sie ins Internet kommen.

Liebe Grüße,
Patrick

[BlizZzord]

Danke für deine Antwort.

Die MAC Adresse eines Teilnehmers ist doch dem DHCP Server bekannt?
Sonst könnte er ja keine statischen Adressen bedienen.

Und wenn die MAC Adresse nicht bekannt ist, dann könnte er doch eine IP verwehren.
Man muss nicht immer davon ausgehen das die MAC Adresse gefaked wird, das würde ich ausschließen.
Ich möchte die Teilnehmer im LAN einfach eindeutig identifizieren und keine toten IPs in meiner Liste haben.
Weil die Firewall funktioniert mit dem MAC Filter recht gut.

Warum bekommt das die Fritzbox hin und OPNsense mit Quelloffen und so weiter tut sich so schwer damit?

[meyergru]

Der alte ISC DHCP kannte die Option "Deny unknown clients", dann muss man natürlich alle Clients als Static Mappings eintragen. Zur Sicherheit sollte man dann noch den IP-Range leeren, dann werden eben keine dynamischen IPs vergeben.

Ist aber Augenwischerei: Wann immer sich ein Client selbst statisch eine IP konfiguriert, kann er zugreifen.

Besser ist es also, solche Clients gar nicht erst ins Netz zu lassen, beispielsweise, indem man eine MAC-Liste in Unifi für das WLAN definiert oder eben 802.1x mit Freeradius auf der OpnSense und Switches oder Access Points, die das können. Dabei geht auch MAC-Authentifizierung, das muss nicht per Zertifikat erfolgen.

[BlizZzord]

[Ist aber Augenwischerei: Wann immer sich ein Client selbst statisch eine IP konfiguriert, kann er zugreifen.]
Wenn es jemand soweit geschafft hat, dann hat er eben sich eine IP geholt, aber eben auf dem eigenen Weg, das macht er einmal aber nicht 10 mal, weil die Firewall blockt das dann weg.

Ich denke ja in Ziele, mein Ziel ist es meine Liste sauber zu haben, und eben kein Traffic dank Firewall.

Wenn du sagst das geht nur mit dem alten ISC DHCP, welcher aber in der 25.7 X Version nur noch rudimentär drin ist. Viele Menüpunkte wie "Static Mappings" oder auch die Option "Deny unknown clients" war wahrscheinlich bei den Allgemeinen Einstellungen?

Wenn man bei KEA im Subnet und dann im Pool die IPs, welche erlaubt sind, einträgt, würde das gehen?
Also jede IP einzeln, keine Range.

Und es geht eigentlich um die WLAN Teilnehmer, diese kommen über die 2 als IPClient Confifurierten Fritzboxen [MESH] WLAN Teilnehmer ins Netzwerk.
Ob die MAC sperre bei unbekannten WLAN Teilnehmern noch greift muss ich erstmal überprüfen.
Dazu kommt noch ein MESH Repeater, das WLAN funktioniert recht gut im MESH, das möchte ich nicht ersetzen.

[meyergru]

Wie soll die Firewall das "wegblocken"? Pflegst Du dort etwa die MACs oder die dazugehörigen IPs alle nochmal zusätzlich außerhalb der DHCP-Reservierungen?

Falls nicht, werden doch alle IPs im LAN Internet-Zugriff haben, oder? Mal ganz abgesehen davon, dass sie im LAN sowieso alles dürfen, weil diesen Traffic die Firewall ja überhaupt nicht sieht...

Wie gesagt: wenn man das will, führt an Kontrolle schon auf Ebene des Access-Layer nichts vorbei.


Falls Du dennoch meinst, damit fein zu sein:

Static Mappings sind Reservierungen und "Deny Unknown Clients" ist in den Einstellungen, ja.

Man kann mit Kea DHCP - trotz Fehlens einer entsprechenden Option - den selben Effekt erzielen, indem man einfach leere Pool-Ranges definiert. Dann werden ja nur feste Reservierungen vergeben, die man bei diesem Ansatz ohnehin pflegen muss (wohin sonst sollte sonst die Liste der erlaubten MACs?).

[BlizZzord]

ja ich habe eine Regel die alles im LAN verbietet.
Und darüber eine MAC Regel mit Aliases die genau den definierten Geräten alles erlaubt.
Damit war die für mich einfache Regel schnell gemacht und verhielt sich so wie ich wollte.

Naja wenn man es genau nimmt, wenn sie eine IP haben, dann könnten sie sich innerhalb des LANs unterhalten ja.
Aber vom LAN ins WAN wurde durch die Regel nichts kommen.
Um jeglichen Traffic zu unterbinden, müsste man die immer wieder genannten Switches haben, aber das war nicht mein Ziel.
Wie ich ja schon schrieb es geht mehr um die WLAN Geräte.

Kann KEA wirklich mit einem Leeren Pool umgehen?
Oder war mein Problem eher das mein DNS auf der WAN Seite ist, aktuell fahre ich nur einen Test Aufbau um die Familie nicht zu stressen mit halb fertigen Sachen.
Ich hatte bei jeder Reservation als DNS den AdguardHome auf der WAN Seite definiert.
Also eins von beiden war das Problem, ggf, hatte sich auch beide DHCP Server blockiert, ich hab es einfach nicht mehr rausbekommen, weil ich das WI nicht mehr erreich habe. Auch über die shell und mit vi und editieren des DNS für die eine Reservation usw neu setzen der Inferfaces, wobei ich da nicht weiß welchen Service er da nimmt oder ob dann wieder der default DHCP an ist oder weiterhin KEA.

[meyergru]

Aber wenn Du per MAC den Geräten alles verbietest, ist es doch auch egal, ob sie eine IP per DHCP bekommen? Raus könnten sie ja auch so nicht und im LAN geht eh alles...

Und ja, angeblich kann Kea das: https://forum.opnsense.org/index.php?msg=194326

[BlizZzord]

Danke für eure Zuarbeit.

Ich schrieb ja, das ich unbekannte Teilnehmer erst gar nicht mit einer IP im Netzwerk sehen möchte, weil das alles verstopft.
Und ich bin ein Ordnungsliebender Mensch und seit dem Apple das mit dem Privat MACs angeboten hatte war ich schon maximal genervt.
Es hängen bei mir 43 Teilnehmer im Netzwerk. Daher werden neue Geräte per Hand hinzugefügt und benannt, damit ich weiß wer das ist.

Ein Beitrag hier brachte mich auf den Weg, das ich das ja im WLAN weiterhin definieren kann, also wer kommt rein und wer nicht.
Das geht auch wenn die Fritzbox nur noch Mesh MAster ist aber selbst kein DNS DHCP oder auch Firewall übernimmt.
Damit ist Sorge eigentlich gelöst.

Bandbreiten Beschränkung klappt auch, sieht also gut aus.

Was ich mich noch fragen welchen DHCP Server man eigentlich jetzt nutzen sollte?
KEA oder den default     Dnsmasq DNS & DHCP?

Warum sind eigentlich 3 verschiedene DHCP Server installiert?

[Patrick M. Hausen]

Ich schrieb ja, das ich unbekannte Teilnehmer erst gar nicht mit einer IP im Netzwerk sehen möchte, weil das alles verstopft.

Was heißt "verstopft" und was sind unbekannte Teilnehmer? Jedes Gerät, das dein WPA-Secret kennt, ist doch per Definitionem bekannt? Also unbekannte Geräte kommen doch überhaupt nicht ins Netz rein?

Warum sind eigentlich 3 verschiedene DHCP Server installiert?

Das ist eine Frage, auf die ich auch noch keine Antwort habe.

[meyergru]

Zu 1: Zumindest ist die Vergabe eines WLAN-Passworts eine ziemlich gute Möglichkeit, um den Access Layer zu schützen, auch ganz ohne 802.1x. Und wenn man nicht fürchten muss, dass die eigenen Kinder oder Gäste selbst am Switch herumspielen, sollte das ausreichen.

Zu 2.: Variety is the spice of life. ;-) So kann man bei 3 DHCP-Servern der Feature-Parity zu ISC DHCP hinterherlaufen...

[BlizZzord]

Hm okay wie läuft das in einer Familie ab :=)
Ich gebe dem Kind das WLAN Passwort, dann ist die halbe Klasse des Kindes auch im WLAN, mal übertrieben.
Generell dürfen sie halt rein, aber immer mit eintragen der MAC die auch immer gleich bleiben muss.
Wenn jeder jede Woche mit einer neuen MAC reinkommt, dann ist das alles einfach nur noch Chaos, weil die geräte dann PCXX:XX:XX:XX usw heißén.
Ich denke das würde euch auch nerven, Handys ändern wenn man das nichtr unterbindet regelmäßig die MAC.

Und wenn das KInd sanktioniert wird, bei nicht erfüllung von Zielen Aufgaben oder auch immer dann, wäre ein Änderung der MAC gut für das Kind aber nicht für die Sanktion. Klingt das so abwägig?

[Patrick M. Hausen]

Wieso sollte die halbe Klasse auch ins WLAN? Nein, ist hier auch mit Kind noch nie passiert. Gäste kriegen das Kennwort zum  Gäste-Netz und gut.

[meyergru]

Tja, deswegen ist es ja so, dass man die WLAN-Passworte nicht aus dem Handy rausbekommt: Richte Du doch das WLAN auf dem Smartphone ein.

Zusätzlich kannst Du ja immer noch ein offenes WLAN "GAST" einrichten, das gar kein Passwort hat oder eben eins, dass an Freunde weitergegeben werden darf.

Da es keine Störerhaftung mehr gibt, ist das O.K.

Die Sanktionierung funktioniert so natürlich nicht, wenn das Kind auch das "offene" WLAN nutzen kann.

[Patrick M. Hausen]

@meyergru Du weißt aber, was Apple-Geräte per Default tun?

Ich bin mit meinem iPhone im WLAN XY eingebucht. Du stehst direkt neben mir, verbindest dich mit deinem iPhone mit demselben WLAN, der Passwort/Secret-Dialog erscheint.

Auf meinem iPhone erscheint ein Popup "Möchtest du das Passwort für das WLAN XY mit Uwe's iPhone teilen? Ja/Nein".

Ist toll, wenn die Familie ins Hotel eincheckt. Kann aber auch problematisch sein.