Leicht verzweifelt

[Monviech (Cedrik)]

Am besten Captive Portal einrichten auf dem "freien" WLAN.

https://docs.opnsense.org/manual/captiveportal.html

Zusätzlich alle DNS Server blockieren außer dnsmasq auf der OPNsense und dann mit ipset eine strikte allowliste oder blockliste führen für Domains. Das blockt härter als DNS blackhole.

https://docs.opnsense.org/manual/dnsmasq.html#firewall-alias-ipset

Das kann sozusagen on top auf Unbound blocklisten betrieben werden wenn man nach Unbound weiterleitet (auch beschrieben ein punkt über ipset)

Ob dann ein Gerät die MAC ändert oder nicht ist egal, die müssen einen Validen Voucher für Captive Portal haben und auch so wird fast alles geblockt was man nicht Kindern geben will. Und wenn Kind böse wird der Voucher entzogen.

[meyergru]

@meyergru Du weißt aber, was Apple-Geräte per Default tun?

Ich bin mit meinem iPhone im WLAN XY eingebucht. Du stehst direkt neben mir, verbindest dich mit deinem iPhone mit demselben WLAN, der Passwort/Secret-Dialog erscheint.

Auf meinem iPhone erscheint ein Popup "Möchtest du das Passwort für das WLAN XY mit Uwe's iPhone teilen? Ja/Nein".

Ist toll, wenn die Familie ins Hotel eincheckt. Kann aber auch problematisch sein.

Ja, stimmt. Ist neuerdings so. Du kannst auch ein public WLAN aufziehen, über das sich weitere Clients verbinden. Wahrscheinlich führt an einem Captive Portal eh nichts vorbei - und andererseits: dann geht man eben nicht über das WLAN, sondern direkt mit dem Telefontarif raus...

[Patrick M. Hausen]

Ja, stimmt. Ist neuerdings so.

Das ist schon Jahre so und ich finde, das ist ein sehr geiles Comfort-Feature. Alles Bluetooth-LE und Apple-Dingsis, die sich gegenseitig erkennen. Wenn die auf dieselbe Apple-ID registriert sind, braucht's natürlich nicht mal mehr einen Dialog. Ich buch mich im Hotel mit dem Telefon ein und der Mac und das iPad funktionieren einfach.

Macht die Anforderung des TE natürlich gelinde kaputt :-)

Aber die Idee bei einer Liste von Geräten in z.B. Services > DHCP > Leases sofort sagen zu können, welches welches ist, ist sowieso zum Scheitern verurteilt. Zonen/VLANs/SSIDs und Isolation. Letztlich ist mir doch egal, wer meinen Uplink benutzt, solange die Bandbreite nicht dicht gemacht wird.

[BlizZzord]

Aber die Idee bei einer Liste von Geräten in z.B. Services > DHCP > Leases sofort sagen zu können, welches welches ist, ist sowieso zum Scheitern verurteilt. Zonen/VLANs/SSIDs und Isolation. Letztlich ist mir doch egal, wer meinen Uplink benutzt, solange die Bandbreite nicht dicht gemacht wird.

Warum ist das zum scheitern verurteilt?
Anhand der durch MAC vorgegebenen IPs kann ich schon recht gut zuordnen wer wer ist.
Und MACs die ich nicht kenne kommen gar nicht erst rein, und die LAN Ports sind an Stellen wo es auffallen würde, und so weit würde ich nicht gehen.
Die MAC am Handy zu ändern, ist schon eher eine Low hanging fruit, das ist schnell mit google rausgefunden, daher geht es nur so.

Einige Vorschläge, die sicherlich basierend auf euren Erfahrungen, auch gut funktionieren würden, werde ich aber nicht umsetzen, weil mir aktuell die Einarbeitungszeit fehlt.

[Patrick M. Hausen]

Warum ist das zum scheitern verurteilt?

Weil es selbst in einem vertrauten Familien-Netz einfach zu viele sind. Dazu kommen die Privacy-Funktionen moderner Geräte wie Telefone, Tabletts etc. Die wechseln ihre Mac-Adressen. Und das ist gut so.

Jeder, der mein LAN-Secret kennt, darf per Definitionem rein.

Und alle paar Monate wechsele ich das. 25 Zeichen, zufällig gewürfelt.

In der Firma gehen wir wahrscheinlich doch wieder auf WPA-Enterprise, also Zertifikate, RADIUS etc. Alles im Rahmen unserer ISO 27001 Zertifizierung. Aber eins nach dem anderen.

[BlizZzord]

Aber genau das mit dem wechseln unterbinde ich ja, in dem ich mir die MAC geben lasse und die muss dann so bleiben.
Wenn Geräte die MAC ändern, dann haben sie ein problem, bleiben dann wohl draussen.

Habe ich so aber nur bei Apple und ggf Android Handy gesehen. Was ja auch aufgrund von Datenschutz in Öffentlichen Netzwerken oder wo auch immer okay und richtig ist. Gerade Appele macht viel Richtung Datenschutz und meiner daten.

Aber mein Netz meine Gesetze, siehe oben :=)

[Patrick M. Hausen]

@BlizZzord Ja, alles prinzipiell richtig. Ich mag mir so ein Micromanagement aber einfach nicht antun. You do you, wie man auf Neudeutsch sagt. Warum sollte mich die MAC-Adresse von irgendeinem iPhone in meiner Familie interessieren? Mein "Job" in diesem "Netzwerk-Ingenieur baut komplett überkandidelte Umgebung in seinem Zuhause weil er's kann" Szenario ist, dass jeder stabilen Internet-Zugang hat. Alle meine Hobbies kommen danach.

[Zapad]

Am besten Captive Portal einrichten auf dem "freien" WLAN.

https://docs.opnsense.org/manual/captiveportal.html

Zusätzlich alle DNS Server blockieren außer dnsmasq auf der OPNsense und dann mit ipset eine strikte allowliste oder blockliste führen für Domains. Das blockt härter als DNS blackhole.

https://docs.opnsense.org/manual/dnsmasq.html#firewall-alias-ipset

Das kann sozusagen on top auf Unbound blocklisten betrieben werden wenn man nach Unbound weiterleitet (auch beschrieben ein punkt über ipset)

Ob dann ein Gerät die MAC ändert oder nicht ist egal, die müssen einen Validen Voucher für Captive Portal haben und auch so wird fast alles geblockt was man nicht Kindern geben will. Und wenn Kind böse wird der Voucher entzogen.

genauso macht man das, habe etwas abgewandelt bei mir umgesetzt und kein mac kuddel-muddel.