Wir haben diverse 1310AC als WLAN Router im Einsatz.
In einem der Räume wird der zweite LAN Port des APs als Netzwerkport für Vorführungen genutzt.
Kann man den Port so konfigurieren (bzw. die Firewall) dass, falls dort ein Gerät angeschlossen wird, das aktiv DHCP macht, diese Pakete ausgefiltert werden?
Ich habe ein Option gefunden - DHCP Snooping und die Einstellung verwerfen gewählt, aber das bringt nix.
Die Switche hinter den APs sind so eingestellt, dass sie selbst fremde DHCP Pakete erkennen und verwerfen (das funktioniert), aber auf dem LC1310 klappt das nicht?
Lancom 1310AC - DHCP Filter machbar?
Moderator: Lancom-Systems Moderatoren
Re: Lancom 1310AC - DHCP Filter machbar?
Moin,
Das geht schon, aber nur indirekt über das DHCP-Tracking in den Protokollfiltern der LAN-Bridge. Die sind eigentlich dazu da, nur Pakete mit per DHCP vergebenen Adressen durchzulassen, aber implizit schaltet das auch eine Sperre für DHCP-Server-Pakete ein. Dazu erstellt man auf dem fraglichen Interface (also hier LAN-2) drei Protokollfilter-Regeln:
(1) Eine Regel, die ARP durchläßt (Protocol 0806, Aktion 'Pass')
(2) Eine Regel, die DHCP-Pakete durchläßt (Protocol 0800, Sub-Protocol 17, Port 67, Port-End 68, Aktion 'Pass')
(3) Eine Regel, die nur Pakete durchläßt, deren Quell-IP per DHCP vergeben wurde (DHCP-Src-MAC 'yes', Aktion 'Pass')
Nicht in der Liste genannte Felder für die jeweilige Regel auf 0 bzw. 'irrelevant' lassen.
Gruß Alfred
Mit 'aktiv' meinst Du ein Gerät, das selber als DHCP-Server agiert?Kann man den Port so konfigurieren (bzw. die Firewall) dass, falls dort ein Gerät angeschlossen wird, das aktiv DHCP macht, diese Pakete ausgefiltert werden?
Das geht's um das Einfügen weiterer Optionen (Agent- und Circuit-Id) in einkommende DHCP-Requests, das ist ein ganz anderes Thema...Ich habe ein Option gefunden - DHCP Snooping und die Einstellung verwerfen gewählt, aber das bringt nix.
Naja, ist eben nur ein AP und keine Firewall...Die Switche hinter den APs sind so eingestellt, dass sie selbst fremde DHCP Pakete erkennen und verwerfen (das funktioniert), aber auf dem LC1310 klappt das nicht?
Das geht schon, aber nur indirekt über das DHCP-Tracking in den Protokollfiltern der LAN-Bridge. Die sind eigentlich dazu da, nur Pakete mit per DHCP vergebenen Adressen durchzulassen, aber implizit schaltet das auch eine Sperre für DHCP-Server-Pakete ein. Dazu erstellt man auf dem fraglichen Interface (also hier LAN-2) drei Protokollfilter-Regeln:
(1) Eine Regel, die ARP durchläßt (Protocol 0806, Aktion 'Pass')
(2) Eine Regel, die DHCP-Pakete durchläßt (Protocol 0800, Sub-Protocol 17, Port 67, Port-End 68, Aktion 'Pass')
(3) Eine Regel, die nur Pakete durchläßt, deren Quell-IP per DHCP vergeben wurde (DHCP-Src-MAC 'yes', Aktion 'Pass')
Nicht in der Liste genannte Felder für die jeweilige Regel auf 0 bzw. 'irrelevant' lassen.
Gruß Alfred
“There is no death, there is just a change of our cosmic address."
-- Edgar Froese, 1944 - 2015
-- Edgar Froese, 1944 - 2015
Re: Lancom 1310AC - DHCP Filter machbar?
Hallo Alfred,
ja das ist in einem Vortragsraum - da schließen "unsere" User manchmal Geräte an, die aktiv DHCP machen...
Weil z.B. gezeigt wird, wie DevStack installiert wird und dann hat mal der Vortragende wieder "vergessen" den DHCP abzuschalten...
Vielleicht sollte ich den LAN2 Anschluss "einfach" in die DMZ konfigurieren oder in ein Extra-Netzwerk.
Ich habe eh schon VLANS konfiguriert und ein drittes ist noch "unbenutzt".
Muss mir am Wochenende nochmal in Ruhe nen Kopf machen.
Gruß und Danke
André
ja das ist in einem Vortragsraum - da schließen "unsere" User manchmal Geräte an, die aktiv DHCP machen...
Weil z.B. gezeigt wird, wie DevStack installiert wird und dann hat mal der Vortragende wieder "vergessen" den DHCP abzuschalten...
Vielleicht sollte ich den LAN2 Anschluss "einfach" in die DMZ konfigurieren oder in ein Extra-Netzwerk.
Ich habe eh schon VLANS konfiguriert und ein drittes ist noch "unbenutzt".
Muss mir am Wochenende nochmal in Ruhe nen Kopf machen.
Gruß und Danke
André