ComputerBase Menü
Aktuelles

Sophos XG135 - Tablets per MAC-Adresse Internetzugang verweigern?!

O

owl2010

Lt. Junior Grade
Registriert
Mai 2018
Beiträge
460
Ich habe drei Android-Tablets die zwar im internen WLan verbunden sind, denen ich aber den Zugriff ins Internet untersagen möchte. Ich habe eine Sophos XG135. Ich habe für jedes Tablet einen MAC-Host angelegt mit der jeweiligen MAC-Adresse des Tablets.

Dann habe ich die folgende Regel erstellt:
1.png


Aber diese Regel schein nicht zu greifen. Die Tablets kommen trotzdem weiterhin ins Internet ohne Einschränkungen. Erst wenn ich beim Quellnetzwerk die IP-Adresse des Tablets hinterlege, dann wird das Internet auch geblockt.

Problem ist jedoch, dass ich dem Tablet keine feste IP zuweisen kann.

Warum funktioniert die Sperre anhand der MAC-Adresse nicht? Diese wäre ja immer dieselbe.

Dank und Gruß im Voraus!
 
Liegt das WLAN Netz denn auch direkt an der Sophos an oder routet da noch ein anderes Gerät in eurem Netz?
 
Kannst Du nicht im Router/ DHCP Server festlegen, dass alle/bestimmte Geräte immer die gleiche IP erhalten?
 
owl2010 schrieb:
Warum funktioniert die Sperre anhand der MAC-Adresse nicht? Diese wäre ja immer dieselbe.
Zum Vergrößern anklicken....
Nicht zwingend bzw. anders als du vielleicht denkst. Bei Mobilgeräten wie Tablets und Smartphones musst du dir die Geräteeinstellungen genau ansehen. Wenn die Funktion "Random-MAC" aktiviert ist (je nach OS ggfs etwas anders benannt), wird nicht die Hardware-MAC des NIC verwendet, sondern eine Zufalls-MAC. Diese erkennt man daran, dass an zweiter Stelle der MAC 2, 6, A oder E steht. Zwar wird die Random-MAC je Netzwerk intern gespeichert und wiederverwendet, aber es ist eben nicht die Hardware-MAC. Sperrst du nun aber die Hardware-MAC, greift die Sperre nicht, weil sich das Gerät mit der besagten Random-MAC präsentiert.

Die verwendete Random-MAC kannst du entweder im Gerät bei der jeweiligen WLAN-Verbindung nachschauen und wenn sie dort nicht stehen sollte, kannst du beispielsweise am Gerät einen Ping ins Internet starten, an der Sophos mit dem Paketfilter auf ICMP filtern und dort die Source-MAC auslesen.
 
Also das wäre z.B. eine MAC von einem Tablet:
A8:81:95:18:A2:70
Das WLAN wird auch direkt von der Sophos verwaltet.

Nach deiner Aussage wäre das dann keine "Random-Mac" ?
Ergänzung ()

Nachtrag:
Was merkwürdig ist:
Ich kann ja bei dem WLAN in der Sophos z.B. einen MAC-Filter aktivieren. Wenn ich da die MAC-Adressen der Tablets eintrage und sie auf die Blacklist setze, so können sich die Tablets nicht mehr mit dem WLAN verbinden. Hier scheint die Sophos ja anscheinend richtig mit dem MAC-Adressen arbeiten zu können.
 
Nein, das ist tatsächlich keine Random-MAC. Sieht man auch zB bei https://macvendors.com/, weil dort Samsung als Vendor erkannt wird. Random-MACs haben keinen gültigen Vendor.

So wie es aussieht ist es also nicht die falsche MAC, die dazu führt, dass die Regel nicht greift. Ich kenne mich mit Sophos leider 0 aus und kann darüber hinaus keine Hilfestellung leisten.
 
Kennt sich vielleicht hier jemand mit der Sophos im Speziellem aus?
 
Was genau meinst du damit?
Ergänzung ()

1686682712028.png
 
Die XG hat doch Zonen in denen die Interfaces zugewiesen werden, WAN, LAN, DMZ, WLAN etc. Zumindest kenn ich das nur so von den aktuellen XGS, aber die FW ist ja afaik die gleiche wie auf den XG.
 
Zielzone in deiner FW Regel ist dann vermutlich WAN? Ich würde mal testweise noch die Zone aus der die Geräte kommen mti eintragen, wenn du die MAC als Identifizierung am laufen hast. "Eigentlich" sollte das kein Problem sein das so zu konfigurieren, aber ich hab bei den XGSs die ich betreuen durfte schon jede Menge seltsamer Sachen gesehen.

Da das via IP funktioniert, machst du DHCP auch über die Sophos? Dann leg da einfach eine Reservierung auf die MAC der Tablets an. Ist zwar mehr ein Workaround, aber immerhin bekommst du das damit dann auch zum laufen.
 
Hm....das mit den IP`s wollte ich ja vermeiden...gibt es keinen Weg nur über die MAC-Adressen zu gehen?
 
Also wie gesagt, meiner Meinung nach sollte das eigentlich so gehen. Sophos Support anfragen wäre noch ne Möglichkeit, falls vorhanden. Aber ich tippe mal auf nein :D Nachdem wie unser Dienstleister über die XG(S) geschimpft hat, kann ich mir schon vorstellen das das ein, ziemlich schwacher Softwarebug ist.
 
owl2010 schrieb:
Hm....das mit den IP`s wollte ich ja vermeiden...gibt es keinen Weg nur über die MAC-Adressen zu gehen?
Zum Vergrößern anklicken....
Was ist denn das Problem, das über die IP zu lösen? MAC-Adressen lassen sich ähnlich einfach ändern, wenn es das ist was du bei der IP befürchtest.
 
Waere es nicht einfacher die Tablets in ein eigenes (Wifi) VLAN zu verbannen und das VLAN nicht in das Internet zu lassen?

Wer macht DHCP in Deinem Netz? @owl2010
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

O
Sophos XG135 SSL-VPN - kein Zugriff im Netzwerk
2
Antworten
21
Aufrufe
9.793
owl2010
O
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz