Wechsel von Fritzbox zu UniFi - Geräte blockieren

Es gibt 17 Antworten in diesem Thema, welches 3.938 mal aufgerufen wurde. Der letzte Beitrag () ist von hommes.

    Hallo allerseits,

    ich bin von einer Woche umgestiegen von WLAN via Fritz!Box auf Unifi APs mit USW-16-PoE. Mit FritzOS war es ganz einfach, den Netzzugang auf bekannte Geräte zu beschränken über Menü WLAN-Sicherheit. Ich hatte standardmäßig eingestellt "nur bekannten Geräten WLAN erlauben". Sollte ein neues Gerät integriert werden, dann habe ich diese Funktion nur solange ausgeschaltet bis das neue Gerät eine IP-Adresse bekam - direkt danach wieder deaktiviert.

    So wie ich es bisher verstanden habe, nutzt man dazu den MAC Address Filter im Unifi Controller - muss dort aber explizit jede einzelne MAC-Adresse in der Allow-Liste eintragen.

    Zwei Fragen in dem Zusammenhang:

    1. Gibt es eine Möglichkeit, das manuelle Erfassen von MAC-Adressen zu umgehen (wie oben bei FritzOS beschrieben). Oder, falls nicht...
    2. Kennt jemand eine Möglichkeit, die MAC-Adressen zu importieren? Wollte die 60 Adressen halt nicht händisch einpflegen

    Hallo,


    du kannst Geräte nicht anklicken und erlauben. Du musst die MAC-Adressen per Copy-Paste händisch eingeben. Stapelimport geht leider nicht.

    Was geht: per ssh auf den Controller, und die Datei, in der die RADIUS-nutzer gespeichert sind, dort editieren. Ob die dan in der GUI auftauchen ist fraglich.

    Aber blöde Frage: Geräte die sich am WLAN anmelden sollten dir doch eigentlich bekannt sein?

    ... stimmt schon, dass mir die Geräte bekannt sind - d.h. ich weiss: jetzt kommt jemand, dem ich erstmalig Zugriff auf mein Netz geben möchte. Wenn ich Deine Antwort richtig interpretiere, dann MUSS ich ihn/sie nun nach der MAC-Adresse fragen und diese dann einpflegen. Mit der Fritzbox konnte ich einfach für den Moment der Anmeldung die Option "alle Geräte zulassen" aktivieren und danach wieder deaktivieren. Die MAC-Adresse selbst musste ich so nicht erfragen - die hat sich quasi "selbst eingetragen".

    ...

    Aber gut, wenn das nicht geht, dann gehe ich halt den von Dir beschriebenen Weg. Vielen Dank für die Info! :smiling_face:

    Naja, wenn das Gerät erstmal angemeldet war im WLAn siehst du ja unter Client Devices alle verbundenen (und auch getrennte) Clients. Da sollten auch die MAC-Adressen aller Clients aufgeführt sein.


    Das problem bei einer MAC-Authentication ist halt folgendes:

    die MAC lässt sich ohne weiteres fälschen. Und, die meisten aktuellen Geräte wie Android und Apple Smartphones haben standardmäßig eine Option namens "Private MAC" aktiviert. Das sorgt dafür, dass sich die MAC ständig ändert (bei jedem Verbindungsversuch, soweit ich weiß). heißt, du müsstest jedes mal ne neue MAC anlegen.

    ... ah - vertstanden ... Dass u.U. auch auf der Fritzbox die MAC-Adressen sich geändert haben ist mir nicht aufgefallen, denn das Gerät war dann ja schon im Netz.

    Dann erlaube ich jemandem beim Erstzugang künftig nur den Zugang zu meinem Gästenetz - und bekomme auf dem Weg ja seine MAC-Adresse. Die erfasse ich dann unter Unifi. Wenn der User dann die Option private MAC auf seinem Endgerät aktiviert lassen möchte, dann verbleibt er im Gästenetz.

    ... Ist zwar nicht so komfortabel, aber andererseits kommt das ja nicht so oft vor. Vielen Dank für die Info

    Zitat von Nutzer666

    Kurz gesagt, man kann Nutzer anhand von Nutzername automatisiert in ein entsprechendes VLAN verschieben.

    Mit einer Beschreibung hier aus dem Forum?

    puh, ich glaube nicht, jedoch gibt es hier bei den Wikis einige Einträge, anhand deren man das ganze bewerkstelligen kann. Oder zumindest sich die entsprechenden Infos raussuchen kann und dann selbst weiter-kombinieren.

    (mittlerweile, nutze ich aber meine ganz eigene Lösung. Auch im Wiki veröffentlicht: VLAN Zuweisung und WLAN Registrierung über Zertifikate bzw. Nutzername mit NPS RADIUS Windows Server - ubiquiti - Deutsches Fan Forum (ubiquiti-networks-forum.de))


    Ist aber recht simpel:

    1. User anlegen im Unifi-eigenen Radius-Profil


    2. SSID-Settings

    Zitat von Nutzer666

    Option namens "Private MAC" aktiviert. Das sorgt dafür, dass sich die MAC ständig ändert (bei jedem Verbindungsversuch, soweit ich weiß). heißt, du müsstest jedes mal ne neue MAC anlegen.

    Sorry wieder NÖ sagen zu müssen. :smiling_face:

    Android und IOS benutzen bei einer bekannten Verbindung zwar eine gewürfelte MAC sie ist dann aber statisch und

    verändert sich nicht alle X Zeiteinheiten. Das Suchen nach WLAN also das reine scannen ist da dann schon mehr Zufalls kram...


    Zitat von RRunifi

    Kennt jemand eine Möglichkeit, die MAC-Adressen zu importieren? Wollte die 60 Adressen halt nicht händisch einpflegen

    Fenster mit MAC Links Unifi Fester recht... Markieren, CRTL-C, CRTL-V..... nach dem zehnten bist Du fit und hast

    einen flow, nach weiteren 50 wundert es dich warum du noch 3 über hast Minuten hast von dem "dauert nur 5 min“.


    Aber ganz ehrlich ? Mit den ganzen Gast Netzwerken Voucher Systemen braucht kein Gast DEIN WLAN Passwort...

    einfach gast für X tage, kann immer noch rausgeschmissen werden und auch zugriff auf Lokal Resource ist möglich

    wenn einstellt wird. Ich habe früher (historisch) einfach ne zweite SSID laufen gehabt für Gäste da konnten sie sich

    Einbuchen und wenn ich lustig bin ändere ich DA das Passwort.


    Und Ja „Böser Hacker“ der dein WLAN Passwort knack weil es „1234“ ist horcht auch auf eine passende MAC

    mit die er dann benutzen kann. Führt vorher ein deAuth Angriff dich und dann schneller im Netz

    also du AMEN sagst... Fragt sich nur wer dir böses will :smiling_face:


    Die Realität sagt aber das Böser Hacker sich einen Werbe Server hack, dir per DriveBy ein Trojaner unterjubelt

    welcher dann still leise heimlich von innen nach außen ein Loch aufmacht (Reserve Shell).

    Oder Halt Sohneman in der Hoffnung besser an XXX Material zu kommen installiert sich den

    „Kinder Filter Umgeher 2000“ :smiling_face:


    Ein paar wahllose Links:

    Netz abschotten
    Der Einrichtungsassistent bringt den neuen WLAN-Router binnen Minuten online. Doch damit ist längst nicht alles für optimale Sicherheit Ihres Netzes getan.…
    www.heise.de

    Fünf Mythen über sichere WLAN-Netzwerke ·🔐 aramido
    Es gibt viele Empfehlungen für sichere WLAN-Netzwerke. Einige davon gilt es zu beachten, andere gelten als Mythen. Wir zeigen was an ihnen war ist und was nicht
    aramido.de

    https://www.elektronik-kompendium.de/sites/net/2109161.htm (Anleitung zum faken , aber keine gute)



    Und Ja ganz 100% sinnlos ist das natürlich nicht, den Stolperstein ist Stolperstein.

    Aber willst du wirklich deine Zeit mit irgendwelche MAC Listen pflegen oder deine Zeit

    Leiber mit mit Nutten und Blackjack deiner Familie Verbringen ?

    Zitat von gierig

    Sorry wieder NÖ sagen zu müssen. :smiling_face:

    Android und IOS benutzen bei einer bekannten Verbindung zwar eine gewürfelte MAC sie ist dann aber statisch und

    verändert sich nicht alle X Zeiteinheiten. Das Suchen nach WLAN also das reine scannen ist da dann schon mehr Zufalls kram...

    das war dann wohl falsch formuliert von mir. Ich wollte damit nicht ausdrücken, dass die Geräte die MAC während bestehender Verbindung erneuern.

    Ich werfe ein :eye: auf euch :grinning_face_with_smiling_eyes:.

    Umfrage G3 Instant Preisgestaltung

    Umfrage Ubiquiti Setup, Danke

    Umfrage Versandkosten EU-Store


    Mein Heimnetz

    Haha 1 Verwirrend 1
    Zitat von hommes

    Ich werfe ein :eye: auf euch :grinning_face_with_smiling_eyes:.

    #MeToo

    Braucht dich nicht "verwirren" bic, ich denke, die Smileys sagen alles aus :winking_face:

    Umfrage G3 Instant Preisgestaltung

    Umfrage Ubiquiti Setup, Danke

    Umfrage Versandkosten EU-Store


    Mein Heimnetz