Hallo zusammen,
ich suche nach einer Möglichkeit, den Zugang über die LAN-Ports an einem LANCOM 1780-4G Router abzusichern. Ziel ist, dass sich nur bestimmte Geräte über Ethernet verbinden dürfen, und zwar ausschließlich über ihre MAC-Adresse – ganz ohne Benutzereingabe (wie Passwort oder Zertifikate).
Ich möchte, dass sich nur zuvor definierte Geräte per LAN-Kabel mit dem Netzwerk verbinden können. Die Geräte (z. B. Drucker oder IoT-Geräte) sollen automatisch authentifiziert werden, idealerweise anhand ihrer MAC-Adresse. Die Authentifizierung soll direkt über den 1780-4G Router erfolgen – ohne externen RADIUS-Server oder zusätzlichen Switch.
Was ich bereits versucht habe:
1. RADIUS-Server + 802.1X mit MAB direkt am Router aktiviert
Ich habe den internen RADIUS-Server auf dem LANCOM 1780-4G aktiviert.
Eine MAC-Adresse wurde als Benutzer eingetragen (z. B. xxxxxxxxxxxx, ohne Doppelpunkte, alles klein, habe auch mit : und - getestet)
Passwort ist gleich der MAC-Adresse, „Case sensitive username check“ ist deaktiviert.
Nur PAP ist aktiviert.
802.1X habe ich auf dem Router aktiviert und auf die LAN-Ports angewendet.
Im Log erscheint die Fehlermeldung:
„MAC address is not authorized“
Trotz korrektem Format scheint die Authentifizierung nicht zu funktionieren.
Ich habe zusätzlich versucht, über eine „Protokollbasierte Filterregel“ die MAC-Adresse gezielt zuzulassen (Regeltyp: „Pass packets“, MAC-Adresse als Quelle).
Sobald die Regel aktiv ist, funktioniert keine Kommunikation mehr – auch DHCP etc. ist tot.
Ich habe verschiedene Kombinationen getestet (Match auf Source, Protokoll leer oder 0000), aber ohne Erfolg.
Ist es überhaupt möglich, mit dem LANCOM 1780-4G den LAN-Zugang per MAC-Adresse direkt am Router abzusichern – z. B. über 802.1X + MAB oder über andere Mechanismen?
Falls nicht: Gibt es einen anderen Ansatz, wie man direkt am Router verhindern kann, dass sich unberechtigte Geräte per LAN verbinden?
Ich bin für jede Idee oder Rückmeldung dankbar.
Viele Grüße
Joel
LANCOM 1780-4G – Ethernet-Zugang über MAC-Adresse oder 802.1X absichern?
Moderator: Lancom-Systems Moderatoren
-
Dr.Einstein
- Beiträge: 3226
- Registriert: 12 Jan 2010, 14:10
Re: LANCOM 1780-4G – Ethernet-Zugang über MAC-Adresse oder 802.1X absichern?
Soweit mir bekannt ist das Standard-Format aabbcc-ddeeff.
Re: LANCOM 1780-4G – Ethernet-Zugang über MAC-Adresse oder 802.1X absichern?
Moin,
du hast einen 4G+ ? (10.90 ist nötig: https://www.lancom-systems.de/fileadmin ... Rel_DE.pdf).
Mach doch mal einen Radisu und 802.1x-Trace, dort solltest du die richtigen Formate sehen.
VG
du hast einen 4G+ ? (10.90 ist nötig: https://www.lancom-systems.de/fileadmin ... Rel_DE.pdf).
Mach doch mal einen Radisu und 802.1x-Trace, dort solltest du die richtigen Formate sehen.
VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
-
Dr.Einstein
- Beiträge: 3226
- Registriert: 12 Jan 2010, 14:10
Re: LANCOM 1780-4G – Ethernet-Zugang über MAC-Adresse oder 802.1X absichern?
10.90 ist nur dann nötig, wenn man dynamische VLANs anlernen will auf einem ETH Interface. IEEE x ging schon seit 10.42 oder so.ua hat geschrieben: Gestern, 10:34 10.90 ist nötig: https://www.lancom-systems.de/fileadmin ... Rel_DE.pdf).