DHCP Anfrage einer bestimmten MAC verweigern

[firefox_i]

Hallo zusammen,
ich habe aktuell ein kleines Problem.

Wenn mein WLAN Accesspoint von Zy..l seine Konfig verliert und auf Werkseinstellungen geht, dann hat er oper Default 2 komplett offene WLANs.
Ist natürlich etwas unangenehm, voer allem wenn ich mir vorstelle, dass das passiert wenn ich mal für 2 Wochen im Urlaub bin und dann jemand über diese Netze mein VDSL nutzt.
In dem o. g. Fall bezieht der AP dann seine IP über DHCP.

Der AP hängt an einem GS2326 und der wiederum über einen 1783VAW an VDSL.
Der 1783 ist der DHCP Server.

Ich habe gesucht, aber leider keine Einstellung gefunden bei der ich sagen kann:
- MAC Adresse xyz bekommt keine IP vom DHCP

Hab ich die einfach nur nicht gefunden oder gibts das echt nicht?

Es soll aber nur die Vergabe der IP über DHCP unterbunden werden und nicht die Kommunkation an sich. Eine MAC Filterung bringt mich also nicht weiter.

Plan B wäre dass ich dem AP über eine feste IP Zuordnung eine IP gebe die nicht in meinem Subnetz liegt und das dann via Routing ins Leere laufen lasse.
Blöde Idee oder möglich?

Danke für jeden Hinweis

Gruß
S.

[backslash]

Hi firefox_i,

ob der AP eine IP hat oder nicht, ist in deinem Szenario völlig egal... Die offenen WLANs arbeiten ja als Bridge in dein LAN und somit hättest du nichts gewonnen, wenn der AP keine IP (oder eine IP in einem fremden Netz) hätte...

Hier hilft eigentlich nur, vor deinem Urlaub, den AP abzusachalten - oder ihn ganz zu entsorgen...

Gruß
Backslash

[firefox_i]

Hallo,
kann sein dass ich mcih falsch ausgedrückt habe.

Aber wenn der AP eine IP eines Netzes hat, das der Router nicht Routet oder das er eben ins Nirvana jagt, warum ist dann da eine Bridge ?

oder seh ich den wald vor lauter Bäumen nicht?

Wenn das Netz z.b. 10.72.10.xx hat, der AP eiine IP aus 192.168.178.xx bekommt....wie soll der dann meine Rechner im Restnetz erreichen oder isn Internet kommen?

Wo ist hier mein Denkfehler?


Entsorgen fällt aus...ist nagelneu der AP

S.

[ua]

Hi,

es handelt sich um einen AP, nicht um einen Router mit WLAN?

Funktion AP: Verbinden von LAN und WLAN = Bridge (Layer 2), kein IP involviert.
Die IP-Adresse dient nur zur Verwaltung der Büchse.

Wenn das Ding neu ist, tausch es um. Trauen würde ich der Büchse nicht mehr.

VG aus OBC

Udo

PS Lösung für Deine Frage: Unter IPv4/BOOTP/Stationen die MAC-Adresse als Station eintragen und als IP 127.0.0.1

[firefox_i]

Hallo zusammen,
mann ist das peinlich......
Sorry für die dumme Frage, aber ich bin heut morgen beim Duschen (da kommen einem ja manchmal die besten Ideen) auch draufgekommen, dass es völlig Bums ist ob der AP ne IP hat oder nicht....eben wegen des L2 Themas das Udo erwähnte.

Der Punkt ist der, dass ich keinen bezahlbaren AP gefunden habe, der Multi-SSID, Dualband, VLAN und dazu noch GbE bietet.

Ich glaub ich versuch das Ganze über VLANs zu lösen in dem ich nur bestimmte VLANs zulasse und den Rest weg blocke.
Das müsste funktionieren wenn ich dem Port am Switch sag, dass er nur getaggte Pakete akzeptiert und den Rest verwirft.

Gruß
S.

[Bernie137]

Hallo firefox_i,

Wenn mein WLAN Accesspoint von Zy..l seine Konfig verliert und auf Werkseinstellungen geht, dann hat er oper Default 2 komplett offene WLANs.

Das ist sehr bedenklich. Genau aus diesem Grunde würde ich das Ding wieder zurückbringen, wenn es doch erst neu ist.

Der Punkt ist der, dass ich keinen bezahlbaren AP gefunden habe, der Multi-SSID, Dualband, VLAN und dazu noch GbE bietet.

Was hat denn das "Produkt" gekostet, wenn ich fragen darf?

Vielelicht solltest Dir einen Lancom L-321agn (single AP) oder L-322agn (Dual AP) mal bei e*** ausgucken.

vg Bernie

[firefox_i]

Hallo firefox_i,

Was hat denn das "Produkt" gekostet, wenn ich fragen darf?

Vielelicht solltest Dir einen Lancom L-321agn (single AP) oder L-322agn (Dual AP) mal bei e*** ausgucken.

vg Bernie

Ich hab weniger als ein Drittel des L-322agn gezahlt....ist - meiner Meinung nach - schon ein Argument.

Und mir scheint, dass ich diesen Malus dadurch korrigieren kann, indem ich entsprechende VLANs konfiguriere....

S.

[Bernie137]

Ich hab weniger als ein Drittel des L-322agn gezahlt....ist - meiner Meinung nach - schon ein Argument.

Ein Drittel wovon (Preise gibt es viele)?

[firefox_i]

Ich hab knapp 125.- gezahlt.
Das ist weniger als ein Drittel des aktuell günstigsten Preis eines Neugerätes.

S.

[Bernie137]

Ganz schön viel für eine Kiste, die die Konfig "vergisst". Den Preis zahlst auch bei einer Auktion fürn Lancom.

[firefox_i]

Moment,
ich hab nicht gesagt, dass sie die Konfig bei mir vergisst.
Sondern lediglich FALLS (!) die Konfig (warum auch immer) verloren geht, dass dann die Defaulteinstellungen unglücklich sind.

Ich habe kein akutes Problem sondern mach mir nur Gedanken, wie ich den seltenen Fall abecken kann.
Ist doch ansich keine schlechte Idee oder ?

Und zum Thema Auktionen:
Ich kaufe Hardware, auf deren funktionieren ich angewiesen bin gern neu mit Garantie....

Zurück zum Thema:
VLAN machbar oder hilft mir das nicht weiter?

Gruß
S.

[garfield0815]

wenn du die mac kennst
dan gib der mac adresse doh einfch ne adresse mit der er in dinem netz nix anfangen kann

[firefox_i]

Hallo garfield,
das hilft nicht wirklich weiter.
Dann kann ich zwar den AP nicht mehr konfigurieren (denn dafür wird die IP benötigt), aber alle WLAN Clients die sich am AP anmelden (geht ja problemlos, weil nicht geschützt), holen sich dann via DHCP eine IP in meinem Netz vom DHCP Server.

Ich muss die potentiellen Clients anderweitig aussperren....
Und da ist eben die Idee, den Port am Switch, an dem der AP angeschlossen ist so mit VLANs zu konfigurieren, dass nur Pakete mit VLAN Tag weitergenudelt werden.
Da der AP im Defaultfall keine VLANs aktiviert hat, laufen sich dann die Pakete am Switch tot...

S.

[Bernie137]

Hi,

ich hab nicht gesagt, dass sie die Konfig bei mir vergisst.
Sondern lediglich FALLS (!) die Konfig (warum auch immer) verloren geht, dass dann die Defaulteinstellungen unglücklich sind.

OK, das hörte sich für mich erst anders an. Trotzdem bleibt es bedenklich.

Und zum Thema Auktionen:
Ich kaufe Hardware, auf deren funktionieren ich angewiesen bin gern neu mit Garantie....

Akzeptiert. Schade, dass das Budget dann nicht für den lancom reichte.

Zurück zum Thema:
VLAN machbar oder hilft mir das nicht weiter?

Folgende Idee: Du packst den AP in ein portbasiertes (V)LAN, welches Zugriff zu nix weiter hat. Das ist das Lan, in welches der AP im Fehlerfalle zurückfällt bei Configverlust. Dann legst ein getaggtes VLAN auf, welches den Zugang zum Netzwerk (Internet) bereit stellt. An dieses getaggte VLAN bindest die SSIDs für den Normalbetrieb. Das getaggte VLAN muss sich vom IP-Kreis des Normalo-Netzwerks am Router/Sonstiges nicht unterscheiden.

vg Bernie

[firefox_i]

Hallo Bernie,
das war die Grundidee mit den VLANs:

Da der AP im Grundzustand kein tagging macht, weise ich an dem Port des Switches an dem der AP hängt erstmal ungetaggede Pakete ab.
Und in der korrekten Konfig tagged der AP die SSIDs mit den passenden VLANs und gut.

Das hat dann zwar den Nachteil, dass ich bei einem "zurückgefallenen" AP auf den auch erstmal keinen Konfigurationszugriff habe, solange ich den Port am Switch nicht für ungetaggede Pakete aufmache, aber das wäre in dem von Dir vorgeschlagenen Szenario bei dem der Port eine VLAN ID vergibt die sich tot läuft.


Gruß
Sven