Port/Lan-Kabel auf Zugriff von einem Gerät beschränken

**lukass2000** · 25. Januar 2022

Hallo,

ein Bekannter würde folgende Hardware verkaufen:

1x Unify Security Gateway
1x Unify Cloud Key
1x Unifi Switch 24 (laut seiner Angabe "nur" ein managed Switch)
3x Unifi AP (nur der mit den 2.4GHz)

Er hat sich alles neu gekauft, daher ist mir schon klar, das es sich dabei nicht um die neuesten Komponenten handelt. Ich glaube aber um sich in das Unifi Universum "einzuarbeiten" würde das damit ganz gut funktionieren. Wenn alles passt, kann man das dann Schritt für Schritt erweitern/ausbauen.

Das aber nur am Rande und soll nur bedingt das Thema sein

Dazu hätte ich nun vorab eine Frage:

Ich würde im Gästezimmer gerne einen Wlan-AP montieren.

Dafür verlege ich dorthin ein LAN-Kabel und schließ das an den AP an. Was auch sonst

Theoretisch könnte nun ja jeder das LAN Kabel vom AP abstecken und z.B. mit seinem Laptop verbinden und ratz fatz wäre der in meinem Netzwerk.

Ist vielleicht nur Einbildung meinerseits, die Vorstellung gefällt mir aber bereits theoretisch schon nicht

Wäre es mit der obigen Hardware möglich, das so zu konfigurieren, dass an diesem LAN-Kabel, an welcherm der AP hängt, ausnahmslos dieser AP ins LAN/Internet kann?

Jedes andere Gerät, was an dieses LAN-Kabel angeschlossen wird, soll keinerlei Kommunikationsmöglichkeit haben.

Ist das möglich?

Danke

**ObiWLANKenobi** · 25. Januar 2022

Moin und willkommen hier im Forum,

technisch gesehen ja, es funktioniert. Da du aber den AP in der Regel an die Decke schraubst, glaube ich nicht, dass sich irgend jemand die Mühe macht, den montierten AP abzuklemmen, um sich dann mit seiner eignen HW Zugang zu deinem Netzwerk verschafft.

Des Weiteren würde ich dir empfehlen, für dein internes Netzwerk(e) VLAN zu setzen, so dass z.B.User/Gäste vom Gästezimmer AP nur ins Internet kommen, aber kein Zugriff auf dein Heimnetzwerk haben. Im Controller lassen sich bestimmte Regeln erstellen, wer wie wohin kommunizieren kann/darf.

**lukass2000** · 25. Januar 2022

Hi ObiWLANKenobi ,
Ja, der AP sollte an die Decke. Da dieser im Gästezimmer aber sozusagen am "Dach" montiert ist, führt da dann schlussendlich ein LAN-Kabel über einen Schacht hin. So wäre es Kabeltechnisch ein leichtes zu einem 3 Meter langem LAN-Kabel zu kommen. Ist verkabelungstechnisch aber nicht anders machbar.

Unabhängig davon, soll der AP nicht nur im Gästezimmer funktionieren.
Der soll dann zwar das Gast-WLan "abstrahlen" aber auch das normale WLan, da die Versorgung dieses AP auch den sozusagen Garten vor dem Zimmer abdecken sollte.
Vermutlich klappt das dann nicht mit irgendwelchen Regeln nur für das Gast-WLan?
LG

**ObiWLANKenobi** · 25. Januar 2022

Die komplette Konfiguration wird über den Controller gesteuert.

Jeder AP kann individuell so konfiguriert werden, dass z.B. AP 1 alle ( max 4 ) Netze ausstrahlt und der AP 2 z.B. nur 1 oder 2 Netze sendet.

Tuxtom007 · 25. Januar 2022

Zitat von lukass2000

Vermutlich klappt das dann nicht mit irgendwelchen Regeln nur für das Gast-WLan?

Das Gäste-LAN/WLAN trennt man immer vom restlichen Netzwerk - eigenes VLAN und das direkt zum Internet schicken ohne interne System zu nutzen.

Ich weiss nicht, ob es funktioniert, den LAN-Port am Switch für diesen AP auf eine MAC-Adresse zu limitieren, das hab ich bei Unifi noch nie gemacht.

Das wäre eine Möglichkeit, andere "Clients" am Kabel zu unterbinden.

MAC-Adressen kann man aber auch faken und wenn sich jemand schon die Mühe macht, den AP abzubauen hat er vermuttlich die MAC-Adresse direkt vor Augen (müssten hinten drauf stehen).

Also wenn Du Deinen Gästen soviel kriminelle Energie zutraust, würde ich mir andere Gäste suchen

**jkasten** · 25. Januar 2022

Ich meine wenn man den Port auf eine MAC Adresse einschränkt, kommt keiner mehr online. Für den Port kommen ja alle Geräte über das Kabel wo der AP dran hängt.

**razor** · 25. Januar 2022

Zitat von lukass2000

Hallo,

ein Bekannter würde folgende Hardware verkaufen:

1x Unify Security Gateway

1x Unify Cloud Key

1x Unifi Switch 24 (laut seiner Angabe "nur" ein managed Switch)

3x Unifi AP (nur der mit den 2.4GHz)

Damit lässt sich doch super starten.

Wie viel "Spaß" das kleine USG an Deinem Internet-Anschlus macht bleibt abzuwarten - war zwar nicht Gegenstand Deiner Frage, aber da wirst Du auf ca. 85MBit/s bei aktiviertem IDS/IPS beschränkt.

"Nur" managed? Ist doch super!

Zitat von jkasten

Ich meine wenn man den Port auf eine MAC Adresse einschränkt, kommt keiner mehr online. Für den Port kommen ja alle Geräte über das Kabel wo der AP dran hängt.

Genau.

VPN oder Freifunk könnten dann vielleicht eine Alternative sein. Hat hier im Forum auch schon mal etwas zu gestanden.

Tuxtom007 · 25. Januar 2022

Zitat von jkasten

Ich meine wenn man den Port auf eine MAC Adresse einschränkt, kommt keiner mehr online. Für den Port kommen ja alle Geräte über das Kabel wo der AP dran hängt.

Das gilt es zu probieren.

Ich denke nicht, weil nur der AP ja eine LAN-Verbindung auf den Switch hat, die WLan-Geräte sind da raus, die verbinden sich ja mit dem AP selber. und nicht mit dem Switch.

Einfach ins Blaue vermutet müßte das gehen.

EDIT: vergiss es, hast Recht das funktioniert nicht, habs gerade bei mir ausprobiert. Das Handy bekommt keine IP mehr, das WLAN ist verfügbar, aber mehr geht nicht.

**lukass2000** · 25. Januar 2022

Zitat von razor

Damit lässt sich doch super starten.
Wie viel "Spaß" das kleine USG an Deinem Internet-Anschlus macht bleibt abzuwarten - war zwar nicht Gegenstand Deiner Frage, aber da wirst Du auf ca. 85MBit/s bei aktiviertem IDS/IPS beschränkt.
"Nur" managed? Ist doch super!

Hi, bin mir jetzt nicht sicher, ob ich deinen letzten Satz jetzt positiv oder negativ verstehen soll?

Soll ich das USG besser nicht nehmen?

LG

**razor** · 25. Januar 2022

Zitat von lukass2000

Hi, bin mir jetzt nicht sicher, ob ich deinen letzten Satz jetzt positiv oder negativ verstehen soll?
Soll ich das USG besser nicht nehmen?
LG

Hallo lukass2000 ,

da ich Deinen Internet-Anschluss (Bandbreite) nicht kenne kann ich Dir die Entscheidung nicht abnehmen und Dir auch keine Empfehlung aussprechen. Zum Kennenlernen ist es auf jeden Fall ausreichend, es wird aber ab ca. 85 MBit/s bei aktiviertem IDS/IPS an seine Grenzen kommen. Die CPU ist das Limit.

Wenn Du es nur als Paket (all-or-nothing) bekommst, dann würde ich es mir überlegen, zumal die APs ohne 5GHz vermutlich auch bald aus dem Support laufen werden - oder gar schon sind.

**lukass2000** · 25. Januar 2022

Zitat von razor

Hallo lukass2000 ,
da ich Deinen Internet-Anschluss (Bandbreite) nicht kenne kann ich Dir die Entscheidung nicht abnehmen und Dir auch keine Empfehlung aussprechen. Zum Kennenlernen ist es auf jeden Fall ausreichend, es wird aber ab ca. 85 MBit/s bei aktiviertem IDS/IPS an seine Grenzen kommen. Die CPU ist das Limit.
Wenn Du es nur als Paket (all-or-nothing) bekommst, dann würde ich es mir überlegen, zumal die APs ohne 5GHz vermutlich auch bald aus dem Support laufen werden - oder gar schon sind.

Hab einen 100Mbit/s Anschluss, also nicht so ganz empfehlenswert ☹️

**lukass2000** · 30. Januar 2022

Hi razor ,
aufgrund deiner Antwort habe ich mal versucht, mich etwas schlau zu machen, was dieses IDS/IPS eigentlich ist.
So ganz wirklich schlau werde ich da aber nicht.
Wenn ich das ungefähr richtig deute, bekomme ich, wenn das aktiviert ist, diverse Hinweise über gefährdende Webseitenaufrufe in der USG. Diese muss ich aber manuell checken und entsprechend deuten, richtig?
Ich frag mich da aber, was ist denn der Sinn davon, da muss ich ja andauernd Protokolle checken und entsprechend behandeln, das ist ja ein irrer Aufwand?
Oder was verstehe ich da falsch?
Sehr oft habe ich auch gelesen, ob man das IDS/IPS nicht auch wieder deaktivieren kann/soll?
Das verstehe ich auch nicht wirklich, bleibt das denn wenn man es einmal aktiviert hat für immer eingeschalten?
Wird sich doch wohl auch wieder irgendwie deaktivieren lassen?
Ich versteh das alles irgendwie nicht

**00Schneider** · 30. Januar 2022

Also ich würde folgendes vorschlagen:

Du trennst die Netze in VLAN.

Du machst ein "Grund" Netz wo nur deine Peripherie drin ist und vergibts feste IP's. Den DHCP schaltest Du für das Netz aus.

Das sollte für die üblichen Gäste vollkommen ausreichen.

Dein und das Gastnetz haben dann natürlich den DHCP an.

gruß

00

PS: Du könntest natürlich auch den AP für den Gästebereich "Wireless" an die anderen AP's anbinden. Also Mesh. Dann hast Du das LAN-Kabel-Absteck-und-wiederdraufsteck-Problem auch nicht.

**razor** · 30. Januar 2022

Zitat von lukass2000

Hi razor ,
aufgrund deiner Antwort habe ich mal versucht, mich etwas schlau zu machen, was dieses IDS/IPS eigentlich ist.
So ganz wirklich schlau werde ich da aber nicht.
Wenn ich das ungefähr richtig deute, bekomme ich, wenn das aktiviert ist, diverse Hinweise über gefährdende Webseitenaufrufe in der USG. Diese muss ich aber manuell checken und entsprechend deuten, richtig?
Ich frag mich da aber, was ist denn der Sinn davon, da muss ich ja andauernd Protokolle checken und entsprechend behandeln, das ist ja ein irrer Aufwand?
Oder was verstehe ich da falsch?
Sehr oft habe ich auch gelesen, ob man das IDS/IPS nicht auch wieder deaktivieren kann/soll?
Das verstehe ich auch nicht wirklich, bleibt das denn wenn man es einmal aktiviert hat für immer eingeschalten?
Wird sich doch wohl auch wieder irgendwie deaktivieren lassen?
Ich versteh das alles irgendwie nicht

Alles anzeigen

Intrusion Detection / Prevention System:

IDS: Intrusion Detection System - When set will automatically detect, and alert - but not block - threats.
IPS: Intrusion Prevention System - When set will automatically detect, alert, and block threats.
Disabled: Disable both the detection and prevention systems.

Bei mir lässt sich das super aus- und wieder einschalten - kein Problem:

**lukass2000** · 30. Januar 2022

Zitat von razor

Intrusion Detection / Prevention System:
IDS: Intrusion Detection System - When set will automatically detect, and alert - but not block - threats.
IPS: Intrusion Prevention System - When set will automatically detect, alert, and block threats.
Disabled: Disable both the detection and prevention systems.
Bei mir lässt sich das super aus- und wieder einschalten - kein Problem:

Perfekt, wenn das funktioniert.
Wie ich so gesehen/gelesen habe, gibt es da aber auch sehr viele Router die das erst gar nicht anbieten?

Da frage ich mich dann, bringt IDS/IPS zu aktivieren/nutzen dann auch wirklich was in der Praxis, wenn man berücksichtigt, wie viel Leistung das dann dem USG abverlangt?

LG

**razor** · 30. Januar 2022

Zitat von lukass2000

Perfekt, wenn das funktioniert.
Wie ich so gesehen/gelesen habe, gibt es da aber auch sehr viele Router die das erst gar nicht anbieten?
Da frage ich mich dann, bringt IDS/IPS zu aktivieren/nutzen dann auch wirklich was in der Praxis, wenn man berücksichtigt, wie viel Leistung das dann dem USG abverlangt?
LG

Ich habe das bei mir seit Anfang an aktiviert und hatte dann auch mal ein oder zwei Threats - mehr war bisher nicht.

Ja, andere bieten das nicht an. Ich habe das als zusätzliche Sicherheit gesehen und deswegen aktiviert. Bisher habe ich keine Einbußen wahrnehmen können, was den Internetspeed betrifft.

Tuxtom007 · 30. Januar 2022

Zitat von lukass2000

Da frage ich mich dann, bringt IDS/IPS zu aktivieren/nutzen dann auch wirklich was in der Praxis, wenn man berücksichtigt, wie viel Leistung das dann dem USG abverlangt?

Bringt es etwas - ja, aber.

IDS ist in meinen Augen aber eher nice-to-have, da hier nichts geblockt, sondern nur protokolliert wird. Ergo muss der Anwender sich mit den Logfiles auseinandersetzen und daraus entsprechende Filterregeln/-listen erstellen. Das ist nicht gerade mit wenig Aufwand verbunden und man sollte wissen was man macht.

Aber auch für IPS gilt, man sollte wissen was man macht.

Blind einfach alles an Filter aktivieren ist da eher sinnfrei, weil das am Ende nur Rechenzeit auf der Firewall kostet aber nichts bringt. Man sollte bedenken, das jedes Datenpaket durch die Filterregeln muss und das dauert.

Ich hab bei mir IDS auf der OPNSense erst garnicht aktiviert, weil ich mich erst mal mit den unzähligen Filterlisten beschäftigen will, die möglich sind und die Liste ist sehr sehr lang.

**00Schneider** · 7. Februar 2022

Zitat von lukass2000

Hallo,
ein Bekannter würde folgende Hardware verkaufen:
1x Unify Security Gateway
1x Unify Cloud Key
1x Unifi Switch 24 (laut seiner Angabe "nur" ein managed Switch)
3x Unifi AP (nur der mit den 2.4GHz)
Er hat sich alles neu gekauft, daher ist mir schon klar, das es sich dabei nicht um die neuesten Komponenten handelt. Ich glaube aber um sich in das Unifi Universum "einzuarbeiten" würde das damit ganz gut funktionieren. Wenn alles passt, kann man das dann Schritt für Schritt erweitern/ausbauen.
Das aber nur am Rande und soll nur bedingt das Thema sein

Dazu hätte ich nun vorab eine Frage:
Ich würde im Gästezimmer gerne einen Wlan-AP montieren.
Dafür verlege ich dorthin ein LAN-Kabel und schließ das an den AP an. Was auch sonst
Theoretisch könnte nun ja jeder das LAN Kabel vom AP abstecken und z.B. mit seinem Laptop verbinden und ratz fatz wäre der in meinem Netzwerk.
Ist vielleicht nur Einbildung meinerseits, die Vorstellung gefällt mir aber bereits theoretisch schon nicht

Wäre es mit der obigen Hardware möglich, das so zu konfigurieren, dass an diesem LAN-Kabel, an welcherm der AP hängt, ausnahmslos dieser AP ins LAN/Internet kann?
Jedes andere Gerät, was an dieses LAN-Kabel angeschlossen wird, soll keinerlei Kommunikationsmöglichkeit haben.
Ist das möglich?

Danke

Alles anzeigen

Hi,

erzähl doch mal wie es ausgegangen ist.

Danke

00

Willkommen! Melden Sie sich an oder registrieren Sie sich.

Port/Lan-Kabel auf Zugriff von einem Gerät beschränken

6 Benutzer haben hier geschrieben

Wer ist war online

Benutzer online 75

Wer war online 291