agentblack
Bloody Newbie
|
Liebe Mitlesende!
Ich habe folgendes Problem: In einer Gruppe mit Kindern und Jugendlichen nutzen alle das gleiche WLAN.
Zu manchen Zeiten müssen wir aber einzelne Kinder bzw. Jugendliche aus dem Netz rausnehmen (weil sie z.B. sonst die Hausübungen nicht machen und ewig am Handy hängen, oder in der Nacht die Handys nicht abgeben und dann Minderjährige auf Pornoseiten gehen, etc.). Das geht bisher nur, indem wir das WLAN ausschalten (weil das weniger aufwändig ist), was für die, die sich nichts "zu Schulden" kommen ließen natürlich total frustrierend ist. (Das Aussperren per MAC-Adressen ist zu aufwändig im Betrieb - wir sind alleine für 8 Schützlinge zuständig, da kann man sich nicht nebenbei an den PC setzen und jedes Mal ins Router Interface einsteigen).
Gibt es eine Möglichkeit (auch wenn sie nicht gratis ist), dass wir einzelne Geräte aus dem Netz nehmen (ohne dass man dafür andauernd die MAC-Adressen eingeben und sperren muss) und dann wieder freigeben?
Das Problem bei den neuen Handys ist nämlich, dass sie sich selbst fiktive MAC-Adressen vergeben und dadurch wieder reinkönnen (auch wenn wir uns mal doch die ganze Arbeit angetan und die MAC-Adressen über den Router gesperrt haben).
Eine zeitlang haben wir einen Netgear Orbi-Router an die UPC Connect Box gehängt, denn Netgear hatte für ihre Orbi-Router eine App, wo man das Rein- und Rauswerfen von Geräte aus dem WLAN-Netz mit einem einzigen Klick machen konnte (da war eine App dabei, wo man sich alle angeschlossenen Geräte anschauen konnte und neben deren Namen war ein Button der sich aktivieren und deaktivieren ließ). Nach einem Update ist dann aber leider genau dieser Punkt weggewesen.
Deswegen haben wir uns nun eine FritzBox gekauft (die hängt nun auch über Bridgeing an der Connect Box), da mir in einem anderen Forum gesagt wurde, dass ich das über die FrixBox App machen könnte. Das ist aber leider nicht korrekt. Sobald ich dort wen sperre, kann diese Person nahezu nahtlos wieder rein, weil das Handy die MAC-Adressensperre offensichtlich erkennt und sofort die MAC-Adresse aktualisiert.
Gibt es von eurer Seite aus eine Lösung für dieses Problem? Ich wäre euch unendlich dankbar!!
|
COLOSSUS
AdministratorGNUltra
|
Du willst WPA2 "Enterprise" mit einem RADIUS-Server, anstatt WPA2 mit Pre-Shared Key, um User in dein WLAN zu lassen. Dann kriegt jeder User eigene Credentials, die du natuerlich auch sperren kannst. Mit OpenWrt und einem tauglichen AP kann man das auch im kleinen Rahmen sehr gut loesen. Further reading: https://openwrt.org/docs/guide-user....security.8021xAlles andere wird auf Dauer/gegen motivierte Kinder nicht funktionieren.
|
berndy2001
|
this.
Als erste Abhilfe kannst du neue, unbekannte Mac-Adressen sperren, dann funktioniert das Macadressen spoofen nicht mehr.
Für die Fritzbox gibts "boxtogo", das kann alles wie das Web-if, nur bequemer.
Bearbeitet von berndy2001 am 22.01.2021, 13:49
|
sts
|
Spontan würde ich meinen, dass da ja ein Captive Portal gar nicht so schlecht passen würde. Zumindest bei Ubiquiti gibts da ja doch viele Möglichkeiten der Authentifizierung (Facebook, Gmail, Radius, ...) da könnens dann MAC Adressen ändern wie sie wollen :-) Auch das Management der Clients ist da recht einfach -> https://help.ui.com/hc/en-us/articles/205231590Auf YouTube findest du da sicher einige Beispielvideos https://www.youtube.com/watch?v=anYXOET6QB8 (Voucher Authentifizierung) Edit: Mit Vouchern ergebn sich da sicher auch witzige Möglichkeiten der Motivation, alle Hausübungen gemacht, Test positiv, wwi -> hier extra Voucher für x Stunden Wifi, haha
|
COLOSSUS
AdministratorGNUltra
|
Als erste Abhilfe kannst du neue, unbekannte Mac-Adressen sperren, dann funktioniert das Macadressen spoofen nicht mehr. Dann kommen aber auch die braven Kids nicht mehr rein, wenn sich ihr Telefon aus Privacy-Gefuehlsbetuedlungsgruenden eine neue HWaddr aussucht.
|
berndy2001
|
Richtig, aber das lässt sich sicherlich abschalten.
|
COLOSSUS
AdministratorGNUltra
|
Richtig, aber das lässt sich sicherlich abschalten. ... und dann checken die Kids bald den Mechanismus dahinter, und eine rege HWaddr-Tauschboerse und -Vermietung entwickelt sich  Ich will nur sagen: Ich wuerde da nicht zu viel Energie investieren.
|
Viper780
Er ist tot, Jim!
|
Radius und Gruppen bei den den Usern ist das einzige was man haben will.
Erstmaliger Aufwand ein Tag - danach gering
|
berndy2001
|
... und dann checken die Kids bald den Mechanismus dahinter, und eine rege HWaddr-Tauschboerse und -Vermietung entwickelt sich Ich will nur sagen: Ich wuerde da nicht zu viel Energie investieren. Ob die Kids HWaddr tauschen oder Dann kriegt jeder User eigene Credentials is aber vom ergebnis her egal.
|
COLOSSUS
AdministratorGNUltra
|
Fair enough! Trotzdem ist ein Allow-/Denylisten von HWaddrs unterm Strich keine tragfaehige Strategie, denke ich. Gegen sich verschwoerende User hat man dann hoffentlich noch andere Handhabe, wie z. B. Schokoladenentzug.
|
daisho
SHODAN
|
Das nerfigste daran ist vermutlich dass man halt ständig Arbeit damit hat und man extra wieder etwas konfigurieren muss weil irgendein Besuch da ist der ins WLAN muss. Die MAC-Adressen-Strategie ist etwas aus dem letzten Jahrhundert das noch nie "gut" war imho.
|
berndy2001
|
Die MAC-Adressen-Strategie ist etwas aus dem letzten Jahrhundert das noch nie "gut" war imho. Stimmt schon, aber es kann halt fast jeder Consumer-Router ootb
|
ZARO
Here to stay
|
Wissen die die WLAN Passwörter? Denkbar wäre WLAN für die Guten und WLAN für die Bösen, dass abgedreht wird.
lg
|
Anmeldung