Mac-Filtering funktioniert nicht?

[Rapid1898]

Hallo,

ich versuche ein paar Geräte per Mac-Adresse vom Netzwerk (vor allem wg. Internet) auszuschließen und mache dies per Mac-Filterung auf meinem Kabelmodem (UPC Connect Box).

Und zwar ist das Kabelsignal an dieser UPC-Connect Box angeschlossen - an dieser hängt ein
Switch (https://www.amazon.de/gp/product/B000BC7QMM/ref=oh_aui_detailpage_o04_s00?ie=UTF8&psc=1)
und an diesem hängt ein PC per LAN den ich gerne filtern würde.

Die Mac-Adresse vom PC habe ich mittels IpConfig ermittelt - siehe unten im Detail

Was mich a) grundsätzlich wundert ist, das ich die Mac-Adresse vom PC nicht bei den "Connected Devices" in der UPC Connect Box sehe und b) wenn ich trotzdem die Mac-Adresse in der UPC Connect Box filtere, das dies keine Auswirkung auf den PC hat (d.h. Internet-Zugriff ist nach wie vor möglich).

Hab das auch mit meinem Handy für den WLAN-Zugang versucht und dort funktioniert es ohne Probleme (d.h. wird a) anzeigt und b) funktioniert die Filterung und keine Internet)

Wieso funktioniert das nicht mit dem PC der mit LAN verbunden ist?
Hängt das evt. damit zusammen, das dieser Switch dazwischen geschalten ist?
Was muss ich tun, damit auch der PC gefiltert wird und kein Internet hat?

Vielen Dank im voraus für Eure Hilfe...


Anbei die ganze IpConfig vom PC:

Microsoft Windows [Version 10.0.14393]
(c) 2016 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\Lukas>ipconfig /all

Windows-IP-Konfiguration

Hostname . . . . . . . . . . . . : DESKTOP-IJ1BONV
Primäres DNS-Suffix . . . . . . . :
Knotentyp . . . . . . . . . . . . : Hybrid
IP-Routing aktiviert . . . . . . : Nein
WINS-Proxy aktiviert . . . . . . : Nein
DNS-Suffixsuchliste . . . . . . . : home

Ethernet-Adapter Ethernet:

Verbindungsspezifisches DNS-Suffix: home
Beschreibung. . . . . . . . . . . : Qualcomm Atheros AR8151 PCI-E Gigabit Ethernet Controller (NDIS 6.30)
Physische Adresse . . . . . . . . : BC-5F-F4-0D-8F-FA
DHCP aktiviert. . . . . . . . . . : Ja
Autokonfiguration aktiviert . . . : Ja
Verbindungslokale IPv6-Adresse . : fe80::fc3c:3dfa:f3fa:7814%3(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 10.0.1.3(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Lease erhalten. . . . . . . . . . : Sonntag, 10. September 2017 12:22:55
Lease läuft ab. . . . . . . . . . : Montag, 11. September 2017 13:05:04
Standardgateway . . . . . . . . . : 10.0.1.1
DHCP-Server . . . . . . . . . . . : 10.0.1.1
DHCPv6-IAID . . . . . . . . . . . : 45899765
DHCPv6-Client-DUID. . . . . . . . : 00-01-01-01-21-34-6E-46-BC-5F-F4-0D-8F-FD
DNS-Server . . . . . . . . . . . : 10.0.1.1
NetBIOS über TCP/IP . . . . . . . : Aktiviert

Tunneladapter isatap.home:

Medienstatus. . . . . . . . . . . : Medium getrennt
Verbindungsspezifisches DNS-Suffix: home
Beschreibung. . . . . . . . . . . : Microsoft ISATAP Adapter
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja

Tunneladapter Teredo Tunneling Pseudo-Interface:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
Physische Adresse . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : 2001:0:9d33:953c:3cc2:5437:ab8e:7526(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe82::3cc2:5437:ab8e:7526%4(Bevorzugt)
Standardgateway . . . . . . . . . : ::
DHCPv6-IAID . . . . . . . . . . . : 134217828
DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-27-34-6E-46-BC-5F-F4-0D-8F-FD
NetBIOS über TCP/IP . . . . . . . : Deaktiviert

C:\Users\Lukas>

 

[IBISXI]

Eventuell ist der PC über IPv6 verbunden.

Hast du die IP Adresse 10.0.1.3 gefiltert?

Wenn du im Netzwerk und Freigabecenter die Verbindung anklickst, siehtst du die IP und ob es eine V4 oder V6 Verbindung ist.

Der Switch dürfte damit nichts zu tun haben.

 

[Rapid1898]

Hallo,

danke für die Rückmeldung -

Gefiltert habe ich auf die Mac-Adresse: BC-5F-F4-0D-8F-FA

PC ist mir IPV4 verbunden denke ich.
(wenn ich im Netwerk- und Freigabecenter bin und auf die LAN-Verbindung klicke sehe ich dort:
IPv4-Konnektivität: Internet
IPv6-Konnektivität: Kein Internetzzugriff

Was mir noch eingefallen ist - der PC hängt nicht direkt am Switch - sondern es ist noch ein Apple Airport dazwischen:
D.h. Kabel => UPC Connect Box => Switch => Apple Airport => PC

 

[t-6]

Der MAC Filter gilt nur für Geräte die am WLAN-Interface der UPC-Tingeltangel-Box hängen.

Du brauchst einen Router der Interface-unabhängige MAC-Filterung beherrscht. Eine Fritzbox bspw. Idealerweise eine Kabel-Fritzbox, damit du den UPC-Klimmbimm wegwerfen kannst.

 

[Rapid1898]

Komisch.

Die Filterung funktioniert auch bei der FireTV - die per LAN (vom Switch) hängt. Also nicht direkt an der UPC Box.

Wenn ich die Apple- Box Sperre - dann geht es auch am PC nicht mehr.

Nur den PC direkt sperren kann ich nicht.

Also das kann nicht nur für das WLAN von der UPC-Box gelten.

 

[t-6]

Ah halt, moment, habe den Apple Airport überlesen.

Ich ruder zurück; hier ist was möglicherweise das Problem ist:

Der Airport arbeitet als Router für u.A. den PC. Heißt, der PC geht über den Airport und sukzessive der Airport über das UPC ins Netz.

Das UPC-Gerät "sieht" deinen PC nicht, weil es nur Traffic vom Airport sieht (den zwar der PC generiert, den der Airport aber... "verschleiert"). Deswegen taucht in der UPC-Box auch dein PC nicht auf.

Würdest du deinen PC direkt an den D-Link-Switch hängen, würde er auch im UPC auftauchen und sperrbar sein.
Ist das aus irgendwelchen Gründen nicht gewünscht, müsstest du die Filterung des PCs im Airport vornehmen.

 

[Rapid1898]

Danke - alles klar - kenn mich jetzt aus!

 

[Raijin]

Darf man fragen was du damit eigentlich bezweckst?

Wenn es nur darum geht, den PC vom Internet fernzuhalten damit er nicht immer im Hintergrund Updates zieht, o.ä. , reicht es im Prinzip das Standard Gateway wegzulassen. Ohne Gateway kein Internet. Ein MAC-Filter ist dafür nicht nötig.

Wenn es allerdings um Sicherheit geht, weil der PC evtl. ein Fremdgerät ist oder der Bediener des PCs um jeden Preis vom www ferngehalten werden soll (zB Kids ), dann sieht die Sache schon anders aus. MAC-Filter sind schön und gut, aber die MAC lässt sich mit Bordmitteln des Betriebssystems binnen Sekunden ändern und der MAC-Filter greift nicht mehr. Dasselbe gilt natürlich auch für das Standard Gateway, das ist klar. Für beides braucht man so gut wie kein Hintergrundwissen, da entsprechende Anleitungen bei Youtube und Co zu Hunderten vertreten sind - und Internet gibt es ja nun mal auch noch außerhalb deiner 4 Wände

In einem Sicherheits-Szenario würde daher weder das eine noch das andere zum Einsatz kommen. Besser wäre da ein separates Netzwerk - sei es durch physische oder virtuelle Trennung (VLAN) - das das fragliche Gerät komplett und sicher trennt. Bei Home-Routern eignet sich dafür die Gast-Funktion nebst passenden Firewalleinstellungen. Ansonsten wird das über einen separaten Netzwerkrouter realisiert (zB EdgeRouter-X, MikroTiks, OpenWRT, etc).

 

[Rapid1898]

Hallo,

grundsätzlich geht es tatsächlich darum, bei massiven Fehlverhalten meiner Juniors das Internet auf Ihren Geräten zu kappen.

Und habe das angedacht, das über die MAC-Filterung zu lösen.
Wie kann ich das Standard-Gateway für bestimmte Geräte zentral weglassen?
(das ist eben bei der MAC-Filterung am Modem praktisch - d.h. ich kann dort zentral und einfach die betroffen MACs sperren - und auch dann wieder einfach freigeben wenn Vernunft einkehrt)

Natürlich ist mir bewusst, das man so eine MAC-Filterung auch umgehen kann - aber (noch) spricht glaube ich das Alter der Juniors für mich und sie kennen (noch) keine MAC-Adresse obwohl sonst sehr technikaffin. Früher oder später wird das dann aber ein Problem werden das ist klar - dann müsste ich vielleicht zu härteren Methoden greifen (Hardware konfiszieren o.ä.).

Vielleich muss ich mich eines Tages dann tatsächlich mit phyisischer oder virtueller Trennung beschäftigen - aber darüber trau ich mich jetzt noch nicht drüber... :=)

 

[Raijin]

Naja, zentral weglassen kann man das Standard Gateway nicht, das ist eine lokale Einstellung des Endgeräts. Üblicherweise wird das Standard Gateway via DHCP neben der zugewiesenen IP-Adresse automatisch übertragen. Man kann jedoch das Gateway in den Netzwerkeinstellungen auf manuell stellen und leer lassen.

Das Ändern der MAC-Adresse und das Einstellen des Standard Gateways ist vom Aufwand her grob vergleichbar. Wenn der Filius weiß wie er das Gateway einstellt, wird er kurze Zeit später auch wissen wie man MAC-Filter umgeht. Google-Suche 1. Seite = gefühlte 20 Treffer.....

Solange sich der PC im ungefilterten Netzwerk befindet, sind die Sperrmöglichkeiten begrenzt. MAC-Filter, Gateway oder etwaige IP-Sperren in der Firewall kann man mit ca. 5 Minuten Google aushebeln. Verfrachtet man den PC jedoch in ein physisch getrenntes Netzwerk (oder VLAN), dann ist spätestens am Router Schluß, weil der weder anhand der MAC noch anhand der IP unterscheiden muss, sondern er kann einfach alles blocken. Das ist zB der Grundgedanke von Gast-Netzwerken. Bietet der Router eine Gast-Funktion, werden Gast-WLAN und sofern unterstützt auch Gast-LAN per Firewall komplett vom Haupt-(W)LAN getrennt und der Internetzugriff wird reglementiert oder eben komplett geblockt. Der einzige Ausweg für den Kleinen wäre dann das physische Umstöpseln des LAN-Kabels in das Haupt-LAN bzw. der Login ins Haupt-WLAN.

*edit
Wenn der Router zB nur ein Gast-WLAN bietet, aber kein Gast-LAN, dann könnte man den PC entweder direkt per WLAN-Adapter ins Gast-WLAN verfrachten oder aber man richtet einen Access Point im Client-Modus ein, verbindet ihn mit dem Gast-WLAN und klemmt den fraglichen PC per Kabel an diesen AP. In dem Falle ist nur die Internetfunktionalität freigegeben soweit die Gast-Funktion das erlaubt (zB gesperrte Ports, etc). Hängt der Haussegen schief, kann man das Gast-WLAN einfach zentral abschalten und der Nachwuchs guckt dumm aus der Wäsche