DHCP IP-Adressvergabe verhindern wenn unbekannte MAC-Adresse

Anmeldungsdatum: 03.05.2005 Beiträge: 23

Hallo,

ich habe ein wenig das Forum durchforstet, doch leider war ich zu dumm, den richtigen Thread zu finden, oder es existiert noch keiner. Ich habe einen 1722 beim Kunden stehen und möchte, dass im LAN kein Rechner eine IP-Adresse bekommen kann, wenn er nicht eine genehmigte MAC-Adresse besitzt, und das auch kein Zugriff auf das Netz erfolgen kann, wenn er sich eine IP-Adresse fest vergibt. Kann man soetwas nur mit Hilfe des Routers lösen, oder wird eine externe Lösung benötigt?

Gruß

Jürgen

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Hallo Ramme,

ja das kann man mit einem kleinen Trick realisieren.

Zuerst mal traegst Du alle Clients in die BOOTP Tabelle mit Ihren MAC-Adressen und IP-Adressen ein, die sie erhalten sollen. Dabei musst Du darauf achten, das die Adressen am Stueck liegen! Also als Beispiel vergibst Du fuer 10 Clients Adressen von 192.168.1.11 bis 192.168.1.20 .

Genau diesen Adressbereich traegst Du dann im DHCP Server als Pool Adressen ein. Der Bereich muss immer genau so gross sein, wie Clients tatsaechlich im BOOTP eingetragen sind!

Alle Adressen, die im BOOTP eingetragen sind, werden vom DHCP Server reserviert und stehen nicht mehr zur dynamischen Vergabe zur Verfuegung. Wenn nun alles Adressen aus dem Pool als BOOTP bereits vergeben sind, kann auch nichts mehr dynamisch vergeben werden.

Ciao
LoUiS

Anmeldungsdatum: 26.07.2005 Beiträge: 19

Hallo,

ich habe genau dasselbe Problem.
Ein Netzwerk mit 1722,
Eth1 ist als private LAN Konfiguriert, dort hängt das Chefbüro dran [IPs 192.168.1.200-192.168.229]
Eth3 und Eth4 ist für die Nutzung durch MA und legitimierte Externe vorgesehen. (IPs 192.168.1.10-192.168.1.150, wobei es bspw. zwischen .71 und 99 eine Lücke gibt.)
D.h. ich habe zwei Lücken: von .71-99 und .151-199.

Die IPs sollen per DHCP vergeben werden, aber eben nur nach Freischaltung der MAC-Adresse.
Die einzige Chance sind, wenn ich das richtig sehe MAC-Dummies für die IP-Adressen in den Lücken einzupflegen (also 00-00-00-00-00-01 usw.).

Oder gibt es da eine andere Chance?

Gruß
Dschi

Anmeldungsdatum: 26.07.2005 Beiträge: 19

Machen wir die Anfrage gleich noch ein wenig komplizierter, ich meine realistischer.

In dem Netz an Eth 3 sollen am Anfang einer, später evtl. 4 oder 5 APs (ist notwendig um eine anständige Auslechtung hinzubekommen) L-54g Wireless angeschlossen werden. Die Clients die nicht in der MAC-Liste des 1722 stehen bekommen dann von dort keine IP zugewiesen. Gibt es die Möglichkeit diese Liste "einfach" in den L-54g zu schieben um sie dort zur MAC-Adressen-Filterung zu verwenden?

Danke für eurre Hilfe

Gruß
Dschi

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Zitat:

Oder gibt es da eine andere Chance?

Das kannst Du eh knicken, da die BOOTP Tabelle nur max. 64 Eintraege zulaesst. Das sind bei Dir ein paar mehr. Wie geschrieben ist das ja auch nur ein Trick, da eigentlich ein DHCP Server nicht fuer sowas vorgesehen ist.
Jeder der nur ein wenig Ahnung hat wird sich aus dem lokalen Netz eine IP manuell zuweisen und arbeiten koennen.

Zitat:

Gibt es die Möglichkeit diese Liste "einfach" in den L-54g zu schieben um sie dort zur MAC-Adressen-Filterung zu verwenden?

Was genau moechtest Du wohin verschieben? Die APs haben in der Reglen nichts mit dem DHCP zu tun, wofuer willst Du die Liste verwenden?

Ciao
LoUiS

Anmeldungsdatum: 26.07.2005 Beiträge: 19

Hallo LoUiS,

danke für die Info.
Ich wollte eigentlich eine Lösung, mit der ich auch im kabelgebundenen LAN wie im WLAN Bereich einen MAC-Adressen Filterung nutzen kann.
Irgendwie will mir das mit dem 1722 nicht gelingen... kann das sein, dass das mit dem Gerät net geht? Wie könnte eine Alternative Lösung aussehen?

Gruß
Dschi

Anmeldungsdatum: 26.07.2005 Beiträge: 19

Ich habe mich gerade etwas durchgelesen...
Könnte ein interner PPPoE Server auf dem 1722 eine Lösung sein?
Jeder User muss sich dann mit einem eigenen username&Password anmelden.
Allerdings brauchen wir halt ca. 120 User...

Andere Frage, wieviele Einträge verträgt die MAC-Filtertabelle im 54g?

Gruß Und Dank

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Hi,

Zitat:

Könnte ein interner PPPoE Server auf dem 1722 eine Lösung sein?

Ja, das waere eine Moeglichkeit.

Zitat:

Andere Frage, wieviele Einträge verträgt die MAC-Filtertabelle im 54g?

In die Tabelle passen 512 Eintraege: "Access-List TABLE: 512 x [..]". Aber eigentlich realisiert man sowas dann in der Groesse schon mit einem Radius Server, allein schon um nicht auf jedem Accesspoint die MAC-Adress Listen pflegen zu muessen.

Ciao
LoUiS

Anmeldungsdatum: 10.11.2004 Beiträge: 976 Wohnort: Hessen

Ähm andere Frage: Der Lancom ist ein Router! Wenn es also darum geht Clients - noch dazu 120 Stück - die also somit nicht alle am Lancom Switch direkt angeschlossen sind auszusperren? - Da nimmt man in der Regel managebare Switchs, verpaßt denen eine Positiv Liste mit MAC Adressen und die Clients bekommen keinen Link. - Es sei denn jemand fälscht die MAC Wink

- Ist das bei dir nicht möglich?

Gruß
COMCARGRU

Anmeldungsdatum: 26.07.2005 Beiträge: 19

Das wäre schon gegangen Sad

Da ich aber nicht so ganz in dem Gebiet zu Hause bin und bisher immer einen Tecci zur Verfügung hatte, habe ich mir extra ein paar Angebote machen lassen. Die Lancom Verteter haben mir alle übereinstimmend gesagt, dass so was mit dem 1722 geht, deshalb wurde ein normaler Switch angeschafft Sad

Der Radius-Server erscheint mir ein möglicher Ausweg zu sein, dafür taugt im Prinzip ja irgendeine ältere Kiste, oder?

Gruß & Dank

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Zitat:

Der Radius-Server erscheint mir ein möglicher Ausweg zu sein, dafür taugt im Prinzip ja irgendeine ältere Kiste, oder?

Ja, eine kleine Kiste mit nem Linux drauf und FreeRadius reicht dafuer allemal. Dann musst man wenigstens nicht immer die MAC Adressen auf allen APs aendern, sondern nur einmal in der user Datei des Radius. Wuerde ich doch bei so vielen Clients vorziehen.

LANCOM selbst arbeitet derzeit auch ein einer Loesung, die den externen RADIUS Server ueberfluessig machen wird. Wink

Das wird dann mit einer kommenden LCOS Version released.

Ciao
LoUiS

Anmeldungsdatum: 26.07.2005 Beiträge: 19

Zitat:

LANCOM selbst arbeitet derzeit auch ein einer Loesung, die den externen RADIUS Server ueberfluessig machen wird. Wink Das wird dann mit einer kommenden LCOS Version released.

Das heißt ich muss nur eine Übergangslösung basteln... ?

Je weniger Geräte je weniger Administration und weniger Stromkosten...
Und der Radius funktioniert sowohl im WLAN als auch im LAN?
Kann ich mit dem Radius auch IP-Adressen zuordnen?

Ich muss mir mal ein Testgerät aufsetzen... nur woher nehmen wenn nicht stehlen...

Danke für die Hilfe.

Gruß

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Zitat:

Das heißt ich muss nur eine Übergangslösung basteln... ?

Fuer das WLAN ja.

Ciao
LoUiS

Anmeldungsdatum: 03.05.2005 Beiträge: 23

Hallo,

weiss wer, wann so ungefähr der Radiusserver ins LCOS integriert werden soll? Innerhalb dieses Jahres? Innerhalb nächstes 1/4 Jahr?

Wird der RADIUS kostenfrei sein, oder wird er wie die VPN-Lizenzen kostenpflilchtig werden?

<-- weiss wer einen guten Switch, der mit RADIUS zusammen arbeitet? LANCOM hat wohl leider keine solchen Geräte im Angebot wenn ich mich nicht irre. Sollten hier im Forum für Geräte die LANCOM nicht anbietet keine Empfehlungen für andere Geraäte erwünscht sein, bitte per PM an mich! -->

Gruß

Jürgen

Site Admin Anmeldungsdatum: 07.11.2004 Beiträge: 3989 Wohnort: Aix la Chapelle

Zitat:

weiss wer, wann so ungefähr der Radiusserver ins LCOS integriert werden soll? Innerhalb dieses Jahres? Innerhalb nächstes 1/4 Jahr?

Wo steht den was von einem RADIUS Server im LANCOM? Das hab ich nicht geschrieben. Zu Terminen gibt es hier im Uebrigen keine Informationen.

Ciao
LoUiS