Heimnetz LAN für unbekannte MAC Adressen sperren (Fritzbox)

[therealkickers]

Hallo!

Ich würde gerne mein Heimnetz, welches mit einer Fritzbox 6660 Cable läuft, gegen unbekannte MAC Adressen sperren. aber nicht per WLAN eintrudelnde Verbindungen, sondern kabelgebundene.

In der Oberfläche meines Modems finde ich nichts dergleichen. Einen Gastzugang möchte ich nicht. Ich möchte, dass jemand, der mit seinem privaten Notebook bei uns ins Haus komm und sich per LAN Kabel bei uns einklinkt, nicht angenommen wird, wenn seine MAC Adresse nicht auf einer Whitelist steht oder von mir aktiv freigegeben wird.

Wenn ich nach derartigen Fragen googele, kommt immer nur, wie mn das Netz gegen unbekannte WLAN Verbindungen schützt bzw. es auf die Liste bekannter Verbindungen beschränkt. ich brauche diese Funktion aber wie gesagt für kabelgebundene Verbindungen.

Ich bin zwar kein Volllaie, aber auch kein wirklicher Fachmann in solchen Dingen.

Wenn jemand einen Tipp hätte, wäre das supercool.

Vielen Dank.

 

[alturismo]

ich brauche diese Funktion aber wie gesagt für kabelgebundene Verbindungen.

einen managed switch dazwischen schalten ... der das kann.

die Fritz bietet das nicht an was du suchst ... nur WLAN mac Filter (wie fast alle gängigen Router)

ich würde mir jedoch Gedanken machen wer bei Dir zuhause Zugriff auf das LAN hat wenn das ein Thema ist

 

[Lawnmower]

Dazu müsste der Router bzw DHCP Server eine White bzw Blacklist unterstützen, weiss nicht ob die Fritzbox das kann aber normalerweise ist das kein Feature das Consumergeräte mitbringen weil in den meisten Fälle keiner braucht.

 

[Bruzla]

Dazu müsste der Router bzw DHCP Server eine White bzw Blacklist unterstützen, weiss nicht ob die Fritzbox das kann aber normalerweise ist das kein Feature das Consumergeräte mitbringen weil in den meisten Fälle keiner braucht.

Dann kann man das aber immer noch umgehen, indem man sich eine statische IP-Adresse gibt.

Über DHCP lässt sich sowas nicht regeln.

Wenn man das vernünftig machen will, muss man das auf Hardwareebene machen.

 

[Lawnmower]

Klar, erfordert dann aber einen gewissen Aufwand der über "nur einstecken" geht; wenn man dann das Fritzbox LAN noch mit einem unübliches IP Range verwendet, wirds noch schwieriger.
Aber freilich mit Knowhow und Aufwand alles "knachkar".

Solange die Fritzbox da ist und man da ein LAN Kabel einstecken kann, wird eh nix mit Lösung auf Hardwarebene.

 

[therealkickers]

Vielen Dank Euch!
Werde mal gucken, ob so ein Managed Switch was ist, was ich finanziell verkraften und wissenstechnisch betreiben kann.

Ich brauche das, weil wir hier im Gebäude für verschiedene MAC Adressen Zugangsprofile haben, die zeitbeschränkt sind. Wie ich nun feststellen durfte, haben sich Leute aber, wenn ihre Zeitkontingente ausgeschöpft waren, einfach die MAC Adresse geändert (ich dachte immer, die wären fix auf irgendeinem PROM eingebrannt und unveränderlich?!) und zack, waren sie aus ihrem Profil raus und haben die Filterregeln umgangen.
Für's WLAN brauche ich das nicht, da habe ich doch das Passwort. Jemand, der bei uns vorbeiläuft, sieht zwar das Netz, kann sich aber mangels Passwort nicht einklinken. Wozu man beim WLAN eine doppelte Sicherheit geboten hat, beim kabelgebundenen Zugang aber gar keine Möglichkeit hat, "Whitelists" zu erstellen - da bin ich vemrutlich nicht Fachmann genug, da die Logik drin zu sehen...

Wir haben kein DHCP laufen, die IP Adressen sind fest. Offenbar fester als die MAC Adressen scheinbar :-/
ginge damit was?

Es sollte halt eine relativ einfache Lösung sein, ich bin einfach kein Internet und Netzwerkcrack :-(

Vielen Dank nochmal!

 

[Nilson]

Im LAN gäbe es z.B. eine Authentifizierung nach IEEE 802.1x. Das müssen die Geräte aber können und entsprechend eingerichtet sein.
Was ist das für ein Gebäude? Habt ihr ernsthaft kein DHCP? Heißt jeder User muss sich seine IP selbst eintragen?

 

[Falc410]

Das was du suchst, nennt sich NAC = Network Access Control
Da gibts Produkte, aber halt für Businesskunden gedacht.

 

[Lawnmower]

Wie ist den das mit der Zeitbeschränkung jetzt gelöst? Da muss ja schon ein System dahinter sein wenn ihr sowas schon im Einsatz habt. Mit DHCP oder nicht DHCP hat das ja nix mehr zu tun.
MAC Adressen sind easy änderbar, gewisse Smartphones ändern diese sogar dauerend selber (z.B. iOS ab Version 14) - drum sind eigentlich MAC Filter meistens sinnfrei und nur reine Arbeitsbeschaffung.

 

[Korben2206]

Wie ist den das mit der Zeitbeschränkung jetzt gelöst? Da muss ja schon ein System dahinter sein wenn ihr sowas schon im Einsatz habt. Mit DHCP oder nicht DHCP hat das ja nix mehr zu tun.

Das kann man recht easy mit der Fritzbox machen (Stichwort Zugangsprofil).

 

[therealkickers]

Wir nutzen das, was uns halt die Fritz Box 6660 bietet. Zugangsprofile, die man mit Zeitkontingenten und Uhrzeitfenstern (auch kombiniert) versehen kann. nur werden diese Profile intelligenterweise an die MAC Adresse gekoppelt, die man sich mit einem Mausklick ändern kann. (Manchmal frage ich mich, welche Daniel Düsentriebs sich so einen Quark ausdenken und den auf einem der am weitesten verbreiteten Modems / router implementieren dürfen...)
Ich könnte natürlich jetzt auf den PCs und Notebooks überall Gastnutzer anlegen und denen die Gerätemanager sperren, aber das wäre dann wie man so schön sagt von hinten durch die Brust in's Auge... Und einige der Geräte gehören auch nicht uns, das fällt also auch weg.

Klar, ich könnte auf DHCP umstellen, auch das bietet die Fritz Box an (meine ich zumindest gesehen zu haben). Aber dann habe ich ja noch weniger "greifbares" statt mehr...

 

[Korben2206]

Für das was du vorhast brauchst du weitere Software bzw. wie schon in #8 erwähnt einen Dienst der Network Access Control betreibt.
Für sowas ist die Fritzbox nicht gedacht. Im Privathaushalt ist es eher ungewöhnlich das man jemanden Zugang zum Kabelanschluss gibt dem man nicht vertraut (und deinen Nutzern kann man ja offenbart nicht trauen).

Einzige einfache Weg, der mir einfallen würde, ist, die Kabel-Verbindungen zu unterbinden und nur noch Zugang über WLAN anzubieten. Da kannst du dann mit der MAC-Liste & Profilen arbeiten.

 

[therealkickers]

Man kann nicht grundsätzlich jedem trauen, der in ein Netzwerk geht. Dafür sind die Filterregeln ja da. Sie sind auf der Fritzbox halt nur total hirnrissig implementiert, weil sie mit einem Mausklick umgangen werden können. Es handelt sich im übrigen nicht um ein reines Privatgebäude bzw. es kommen nicht immer nur Leute her, die neben mir am Tisch sitzen sondern auch welche, die halt gerne länger als vorgegeben im Web surfen, als ich das möchte. Die Filterregeln in unserem Fall anzuwenden macht Sinn, um den es hier jetzt aber nicht primär gehen muss.

Hmmm, es scheint so eine NAC software von Cisco zu geben, bei ebay 70 Euro. Ich weiß nicht.... wo muss die Software denn dann drauf? ich meine die Fritzbox ist ja kein Computer.... (vermutlich ne totale Idiotenfrage)...

 

[Korben2206]

Gerade mal geschaut: der Router Netgear Nighthawk kann offenbar für das gesamte lokale Netz über MAC-Listen filtern ... Vielleicht da mal umschauen (vllt. bieten auch noch andere Hersteller sowas).

 

[IchbinbeiCB]

Naja du könntest schauen welches Profil die FritzBox neuen Geräten per default zuweist sobald diese ins Netzwerk kommen. Dürfte aber des Standardprofil sein.
Jetzt würde ich eben dieses Standardprofil dahingehend editieren, das damit nichts weiter möglich ist weder Internetnutzung und auch bei den Netzwerkanwendungen würde ich ne Liste erstellen wo nix weiter geht und diesem Standardprofil mit zuweisen.

Damit sollte erstmal für jedes Gerät was sich mit dem Netzwerk verbindet nix weiter gehen, bis du diesem Gerät ein anderes Profil zugewiesen hast, wo wieder mehr geht und hierfür eben identisch zum ursprünglichen Standardprofil nen neues anlegen (meinetwegen Standardprofil zwei) wo die Einstellungen analog zum ursprünglichen Standardprofil hat.

Ansonsten könntest aber das ja mal als Vorschlag gegenüber AVM kundtun, das Sie im internen Lan gebundenen Heimnetz so ein Mac-Filter einbauen

Oder dein Netzwerk mit Geräten dahingehend umbauen/erweitern wo für Mac-Adressen Authentification mittels einem Radius Server geeignet sind.

Denke mal die Anforderungen waren doch vor der FritzBox auch schon bekannt gewesen oder?
Falls nen NAS von synology hast, installierst da nen Radius Server drauf und holst dir nen Switch passend dazu

 

[Engaged]

Dumme Überlegung, aber kann man nicht ein Profil erstellen welches dem Standard Profil der Fritzbox gleicht, das gibt man den normalen zugelassen Geräten welche keine Beschränkung haben, und dem echten Standard Profil welches alle neuen Geräte bekommen einfach den Internet Zugang sperren?

Edit: steht ja so schon über mir. 🤣

 

[IchbinbeiCB]

Edit: steht ja so schon über mir. 🤣

Wie heißt es doch so schön, doppelt hält besser

 

[Engaged]

Wie heißt es doch so schön, doppelt hält besser

Da war ich mit antworten schneller als mit lesen!

Aber die Methode könnte ich hier auch schon mal präventiv Anwendern, die Kinder hier werden ja auch größer. 😝

 

[IchbinbeiCB]

die Kinder

Wäre ne harte Option für erwachsene Kids wo bereit sind sich selbst zu versorgen aber die Annehmlichkeiten des Elternhauses weiter in Anspruch nehmen für sich. Sprich wenn Ihnen diese Option zu hart erscheint/vorkommt, können Sie sich gerne um ihre eigenen vier Wände bemühen

 

[Maximilian.1]

Eine Sicherheitsfunktion über die MAC-Adressen ist Scheinsicherheit. Das werden die Kids leicht überwinden können, da die MAC-Adressen ja leicht änderbar sind. Und die MAC von einem berechtigten PC rauszufinden ist ja nicht so schwer...

Du brauchst einen Proxy-Server der das kann...