Moin!
ich komme mit google und Handbuch nicht wirklich weiter und hoffe nun hier auf Hilfe, die mich in die richtige Richtung schiebt.
Ich möchte für eine SSID einzelne Geräte explizit verbieten. Grundsätzlich sollen sich alle Geräte verbinden dürfen, jedoch zwei MAC-Adressen möchte ich außen vor lassen.
Gibt es dafür einen einfachen Weg?
Viele Grüße
Chris
Blacklist für Mac-Addressen an einer SSID
Moderator: Lancom-Systems Moderatoren
-
HorstiBros
- Beiträge: 3
- Registriert: 28 Jul 2020, 11:09
-
Dr.Einstein
- Beiträge: 3224
- Registriert: 12 Jan 2010, 14:10
Re: Blacklist für Mac-Addressen an einer SSID
Hi Chris,
wenn du mittels LanConfig auf Wireless-LAN -> Stationen/LEPS gehst, sollte dort im Standard "Daten von den aufgeführten Stationen ausfiltern, die anderen Stationen übertragen" ausgewählt sein. D.h. pack in die Stationsregel-Tabelle deine zu blockierenden MAC-Adressen rein (optional mit SSID Angabe) und du solltest dein Ziel erreicht haben.
Gruß Dr.Einstein
wenn du mittels LanConfig auf Wireless-LAN -> Stationen/LEPS gehst, sollte dort im Standard "Daten von den aufgeführten Stationen ausfiltern, die anderen Stationen übertragen" ausgewählt sein. D.h. pack in die Stationsregel-Tabelle deine zu blockierenden MAC-Adressen rein (optional mit SSID Angabe) und du solltest dein Ziel erreicht haben.
Gruß Dr.Einstein
-
HorstiBros
- Beiträge: 3
- Registriert: 28 Jul 2020, 11:09
Re: Blacklist für Mac-Addressen an einer SSID
Hi,
danke für den Hinweis. So ganz komme ich aber noch nicht dahinter. Der Text unter LEPS-Mac ist "Hier können Sie gezielt Stationen ... freischalten. Nicht eingetragene Stationen dürfen sich nicht verbinden".
Ich möchte doch aber genau das Gegenteil.
danke für den Hinweis. So ganz komme ich aber noch nicht dahinter. Der Text unter LEPS-Mac ist "Hier können Sie gezielt Stationen ... freischalten. Nicht eingetragene Stationen dürfen sich nicht verbinden".
Ich möchte doch aber genau das Gegenteil.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Re: Blacklist für Mac-Addressen an einer SSID
hallo,
du kannst die Funktion der Stationstabelle (Blacklist oder Whitelist) wie bereits von Dr.Einstein geschrieben umstellen, in dem du den Haken unter "Daten von den aufgeführten Stationen ausfiltern, die anderen Stationen übertragen" setzt.
Der Hilfetext ist hier tatsächlich etwas irreführend.
Bitte bedenke aber auch, auf welchen logischen WLAN-Netzwerken du die MAC-Filterung dann aktiv hast, damit es nur für die gewünschten SSIDs gilt.
Gruß hyperjojo
du kannst die Funktion der Stationstabelle (Blacklist oder Whitelist) wie bereits von Dr.Einstein geschrieben umstellen, in dem du den Haken unter "Daten von den aufgeführten Stationen ausfiltern, die anderen Stationen übertragen" setzt.
Der Hilfetext ist hier tatsächlich etwas irreführend.
Bitte bedenke aber auch, auf welchen logischen WLAN-Netzwerken du die MAC-Filterung dann aktiv hast, damit es nur für die gewünschten SSIDs gilt.
Gruß hyperjojo
Re: Blacklist für Mac-Addressen an einer SSID
Moin,
da das hier in der WLC-Rubrik gepostet wurde: Den Positiv/Negativ-Schalter gibt es auf dem WLC nicht. Gemanagte APs greifen auf die MAC-Liste auf dem WLC per RADIUS zu, und eine Negativauswahl läßt sich auf RADIUS nur mit ziemlichen Verrenkungen abbilden.
Spätestens wenn man Dinge wie LEPS benutzt, macht eine Negativliste auch keinen Sinn mehr. Zugelassenen Clients will man eine individuelle Passphrase zuteilen, die muß man also als Positiv-Einträge in die Liste schreiben, und alle nicht eingetragenen Adressen werden sowieso abgelehnt. Da würde man höchstens bei einem Schema der Form:
Auf dem WLC haben wir daher von vornherein auf einen Negativmodus verzichtet, zumal das Abweisen von Clients alleine aufgrund ihrer MAC-Adresse mittlerweile wenig praktischen Nutzen hat. Ein echter Angreifer, der ins Netz eindringen will, würfelt einfach immer neue MAC-Adressen aus, da kann man beliebig viele Adressen in die Liste eintragen, und ob man einen "nicht böswilligen" Client mit den Ablehnungen auf einen anderen AP gesteert bekommt, ist auch fraglich. Besser man betreibt keine unverschlüsselte SSID, das ist der viel bessere Schutz gegen unerwünschte Clients.
Viele Grüße
Alfred
da das hier in der WLC-Rubrik gepostet wurde: Den Positiv/Negativ-Schalter gibt es auf dem WLC nicht. Gemanagte APs greifen auf die MAC-Liste auf dem WLC per RADIUS zu, und eine Negativauswahl läßt sich auf RADIUS nur mit ziemlichen Verrenkungen abbilden.
Spätestens wenn man Dinge wie LEPS benutzt, macht eine Negativliste auch keinen Sinn mehr. Zugelassenen Clients will man eine individuelle Passphrase zuteilen, die muß man also als Positiv-Einträge in die Liste schreiben, und alle nicht eingetragenen Adressen werden sowieso abgelehnt. Da würde man höchstens bei einem Schema der Form:
- Positiveinträge mit eigener Passphrase
- Negativeinträge zum Ablehnen
- MAC-Adressen, für weder das eine noch das andere besteht, werden mit Default-Parametern reingelassen
Auf dem WLC haben wir daher von vornherein auf einen Negativmodus verzichtet, zumal das Abweisen von Clients alleine aufgrund ihrer MAC-Adresse mittlerweile wenig praktischen Nutzen hat. Ein echter Angreifer, der ins Netz eindringen will, würfelt einfach immer neue MAC-Adressen aus, da kann man beliebig viele Adressen in die Liste eintragen, und ob man einen "nicht böswilligen" Client mit den Ablehnungen auf einen anderen AP gesteert bekommt, ist auch fraglich. Besser man betreibt keine unverschlüsselte SSID, das ist der viel bessere Schutz gegen unerwünschte Clients.
Viele Grüße
Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015