Abschottung gegen neue Devicea

Es gibt 2 Antworten in diesem Thema, welches 864 mal aufgerufen wurde. Der letzte Beitrag () ist von noexpand.

    Hallo zusammen,


    leider habe ich zu folgendem Problem keine Lüsung bisher finden können:

    Im Haus beifnden sich mehrere Access Points und Switches von Ubiquiti, demnächst zusätzlich ein AP außerhalb des Hauses.


    Bei der vorherigen FritzBox konnte man diese so konfigurieren, dass sämtliche bisher nicht bekannten Geräte ein Standardprofil zugewiesen bekommen haben. In diesem Profil wurden erstmal alle Verbindungen gesperrt. Ich konnte so neue Geräte einzeln freischalten durch Zuweisung eines anderen Profils. Die Erkennung lief über die MAC-Adresse.


    Aktuell kann sich jeder in einen Port meiner Switches einloggen und erhält Zugriff.

    Ab und an kann es notwendig sein, Geräte von Mitmenschen zu sperren, die das WLAN-Passwort kennen. Haben diese die notwendige Funktion unter iOS gefunden, so wechselt iOS die MAC-Adresse automatisch bei Sperrung und das Gerät hat wieder Zugriff.


    Wie kann man sein Unifi-Netz abschotten, sodass neue Geräte/MAC-Acressen vorerst keinen Zugriff erhalten - eben erst nach Freischaltung ?

    Die MAC-Whitelist ist leider im „auto“-Netzmodus nicht nutzbar.


    Meine, irgendwann gab es eine neue Funktion, die das ermöglicht.


    Hat jemand einen Tipp?

    Du kannst Ports deaktivieren oder auf eine MAC beschränken pro Port (kann allerdings nicht jeder switch).

    Ansonsten erstellst du ein zweites WLAN mit seinem eigenen Netz und Vlan, somit trennst du dieses.

    Sonst musst du eine Firewallgruppe erstellen, die nur Zugriff auf das Internet hat. Alle Geräte die du da NICHT einpflegst, haben dann kein Internet, dasselbe kannst du per FW Regel auf auf das interne LAN machen, nur die in der Gruppe bekommen zugriff.

    Ob es extra MAC Gruppen gibt, weiß ich nicht.

    Oder du aktivierst den Radius-Server in deiner UDM und machst auf 802.1X:

    UniFi Network - 802.1X Control (Advanced)
    This article describes how to configure 802.1X Control on UniFi switches to authenticate wired client devices.  Requirements & Notes A UniFi gateway or UniFi…
    help.ui.com


    Das habe ich langfristig vor, bin aber bisher nur in einer frühen Experimentierphase.


    PS: Bedenken solltest du, dass eine Authentifizierung über die MAC-Adresse auch keinen vollständigen Schutz bietet, da MAC-Adressen ja manipuliert werden können. Ein Angreifer kann also ein existierendes Gerät einfach ausstöpseln und dessen freigegebene MAC im Netz nutzen.