D-Link DIR-615 als AP mit eigenem DHCP (wegen MAC Filter)

Hallo,

generell gilt aber aber das zwei DHCP Server in einem Netz nur Probleme nach sich ziehen!
Und was willst du mit einem MAC Filter?

Der ist in 10 sekunden ausgehebelt. MAC Adressen Spoofing

Dann solltest du lieber mit Zertifkaten arbeiten.

brammer

Hier verwechselst du wohl was, sorry. Einen Wireless Mac Filter hat jeder Baumarkt WLAN Router für 20 an Bord. Sowas ist mittlerweile simpler Standard. Ein DIR-300 mit original Firmware hier hat es jedenfalls ! DD-WRT Firmware so oder so.
Diese Einstellung findest du unter Wireless und hat mit dem System nichts zu tun.
Man darf auch bezweifeln das in einem Router ein Mac Adress Filter irgendwelche Zugriffsbeschränkungen des WebSetup steuert. Keiner der bekannten Consumer Router Hersteller macht sowas.
Kann das sein das du da irgendwas verwechselst ? Mixt du hier ggf. Mac basierte DHCP Adressvergabe mit einem Wireless Mac Filter wild durcheinander ?

Ein Mac Filter für den Wireless Zugang kann wie gesagt jeder popelige Router am Markt...sogar Billigheimer D-Link kann das auf allen Modellen.
Kollege brammer hat ja auch oben schon beschrieben wie sinnfrei ein wireless Mac Filter ist. Besser ist wie gesagt dann eine Radius basierte Authentisierung:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Funktioniert sogar mit einem RaspberryPi als Authentisierungs Server

Ha ha ha ha....lass uns mal raten: Das sind bestimmt Kaufleute die das glauben und du musst den Unsinn umsetzen oder was ? DU bist doch der IT Verantwortliche ! Warum machst du denn nicht den Mund auf und erklärst ihnen mal warum das nicht so ist. Bist du nicht genau dafür auf den Posten eingestellt worden oder arbeitest du beim Bund nach dem Vorbild "Befehl und Gehorsam" ?? Komisches IT Verständnis...aber nundenn ?!
Zurück zur Fragestellung...

Du hast es immer noch nicht geschafft hier mal klarzustellen WAS für eine Mac Liste du denn nun final meinst ??
Du schwadronierst weiterhin immer was von DHCP und wireless Mac Listen. Das eine hat aber mit dem anderen nicht das geringste zu tun und sind völlig andere Baustellen !!

Die Wireless Mac Liste lässt nur solche WLAN Clients an den Accesspoint ran die in der Liste vertreten sind die du im Wireless Setup des APs definierst. DHCP hat hiermit NICHTS zu tun. Der AP filtert diese aus den Absender Paketen der WLAN Clients !!
Diese Funktion hat auch der billigste AP vom Blödmarkt Grabbeltisch an Bord, das ist heute Commodity auf allen Wireless Produkten. D-Link Gurken sind da keine Ausnahme.

Die DHCP Mac Liste kommt erst hinterher wenn die Client Assoziierung mit dem AP gemacht ist und das WLAN aufgebaut ist und IP Pakete transportiert werden. Sie bestimmt welche Mac Adresse dann welche IP aus einem DHCP Pool bekommt. Also gewissermassen eine IP Adressvergabe auf Basis der Mac Adresse.
Das ist ein Feature was nicht alle Produkte haben sondern nur wenige. Für die Funktion ist das auch nicht zwingend man kann so festlegen WER dann WELCHE IP bekommt. Die meisten APs vergeben das wahllos aus einem IP Pool. Normalerweise lässt man NIE den AP IPs vergeben in einem Netzwerk sondern lässt das immer zentral einen DHCP Server machen um das wie gesagt zentral zu verwalten und nicht x Mal an jedem AP, was so oder so nicht geht mit multiplen DHCP Servern.

Beide Mac Verfahren sind aber 2 vollkommen unterschiedliche Verfahren, die GAR NICHTS miteinander zu tun haben und unabhängig voneinenader funktionieren ! Hoffentlich ist das jetzt klar !
Eine Mac Filterliste auf der Wireless Seite hat jeder popelige Accesspoint auch die D-Link Gurken von dir ! Oder müssen wir dafür hier noch einen Screenshot posten damit du es glaubst ?!

Nochwas: Bitte keine externen Bilderlinks mit Zwangswerbung hier im Forum ! Bei der Erstellung deines Threads kann es dir nicht entgangen sein das das Forum hier eine wunderbare Bilder Upload Funktion hat:
Userlogo oben klicken, dann das gelbe "Fragen" Feld, Thread auswählen, Bearbeiten klicken, genau hinsehen oben ist die "Bilder hinzufügen" Funktion, klicken, Bild hochladen, Bilder URL mit einem Rechtsklick und cut and paste sichern.
Diesen URL kannst du hier in jeglichen Text bringen und... Tataaa...dann sieht man dein Bild im Text.
Schafft jeder Erstklässler wenn er die FAQs liest. OK, ächz heute ist Freitag...

Ist zweifelsohne die richtige Vorgehensweise wenn es nur 1 oder 2 APs sind...
Das ist mehr oder weniger nicht verwunderlich aber kommt darauf an WIE du die zum Router gemachten APs an dein LAN anschliesst.
1.) Wenn du es so machst wie hier im Tutorial_Alternative-3 dargestellt also am LAN Port ins lokale LAN gehst und den WAN Port unbeschaltet und den Router so als simple WLAN Bridge also wie ein AP arbeiten lässt, dann ist das klar und für jeden Netzwerker logisch das es in die Hose geht !
Grund sind dann 2 parallele DHCP Server im Netz die um die Wette rennen.
Antwortet nach einem Client DHCP Broadcast der Zyxel zuerst, dann klappt es, da der Client so korrekte IPs bekommt.
Antwortet der zum AP gemachte Router zuerst bekommt der Client dessen IP als Gateway und das Internet ist tot !
Welcher DHCP Server für den Client "gewinnt" ist also reiner Zufall...first come..first serve.
Kann man auch wunderbar kontrollieren wenn man mal ipconfig auf dem Client eingibt und sieht WER dann WELCHE IPs vergeben hat.
Fazit: 2 oder mehr parallele solche DHCP Server im lokalen LAN sind des Client Tod ! Das ist technisch nicht supportet und sollte man niemals machen, den Grund und das Ergebnis hast du selber gesehen und gespürt !
2.) Wenn man es "umgedreht" macht, also den WAN Port an das lokale LAN anschliesst, dann kann man problemlos den DHCP Server laufen lassen, denn nun routet der WLAN Router ja !
Der interne AP ist über eine Bridge ja immer am lokalen LAN was nun nicht angeschlossen ist. Der WAN Port ist im lokalen LAN und dort ist der DHCP Server dann nicht mehr sichtbar.
Dieses Szenario funktioniert auch erzwingt aber das der WAN Port dann fest im Setup als DHCP Client eingerichtet werden muss damit er vom Zyxel entsprechende IPs bekommt oder eben ein statisches Setup also das IP Adressen dort manuell vergeben werden aus dem lokalen LAN die NICHT im DHCP Bereich des Zyxel sind und den den Zyxel dann als Gateway eingetragen haben.
Der Konfig Aufwand ist also etwas höher und das WLAN wird dann geroutet über die NAT Firewall des AP-Routers.
Nachteil ist dann das LAN Clients durch die NAT Firewall WLAN Clients nicht mehr erreichen können. Andersrum allerdings erreichen die WLAN Clients alles auch das Internet.
So ein Szenario ist hier am Beispiel des ICS Sharing erklärt !

Leider schreibst du mit keinem Wort für WELCHES dieser beiden Anschluss Szenarien du dich entschieden hast. Zusätzlich hast d vermutlich die typischen grundlegenden Fehler gemacht, die zur Fehlfunktion des ganzen führten !
Wenn du hier den WLAN Filter meinst lautet die Antwort JA !
Der WLAN Mac Filter filtert die MAC Adresse noch VOR der Client Assoziierung mit dem WLAN. Ein solcher Client dessen Mac Adresse geblockt wird vom Filter kann also von vorn herein erst gar keine Verbindung zum AP aufnehmen und niemals mit diesem AP ein funktionierendes WLAN etablieren. Zum Senden von IP Paketen DHCP Requests usw. kommt es hier also gar nicht erst.
Das wäre logisch gesehen ja auch völliger Unsinn, denn wenn der Zyxel diese Mac Adressen "sieht" ist es ja schon zu spät, denn der Client ist ja dann schon logischerweise im Netz ! Abgesehen davon hat der Zyxel vermutlich auch keine Layer 2 Filter Option von Mac Adressen am lokalen LAN Port, oder ?

Auch kann der Zyxel diese Mac Adresse nur einzig dann sehen, wenn der AP so angeschlossen ist wie oben unter 1.) beschrieben als als Bridge über den LAN Port ! (ohne WAN Port)
Ist er wie in 2.) als Router angeschlossen über den WAN Port macht der AP-Router NAT über den WAN Port. Alle WLAN Clients tauchen im lokalen LAN des Zyxels also immer mit der IP Adresse des WAN Ports des Routers dort auf und natürlich auch mit dessen Mac Adresse.
Sniffer das mit dem Wireshark, dann siehst du es selber !
In diesem Szenario wäre natürlich ein Client MAC Filter also völliger Blödsinn, da hier ja niemals Client Mac Adressen oder IP WLAN Adressen im lokalen Netz auftauchen sondern durchs NAT immer nur die WAN IP und WAN Mac des Routers...auch logisch !
Es leuchtet dann auch ein das IP / MAC Binding, also statisches DHCP am Zyxel damit dann auch unsinnig ist !

Und jetzt bitte nicht wieder alles zitieren hier...!

Nein, kann man nicht ! Wie sollte es auch schöner gehen, bzw. WAS meinst du denn mit "schöner" ???
Deine Vermutung ist richtig und zeigt aber auch das du dir den Thread oben vermutlich NICHT oder wenigstens nicht richt durchgelesen hast ?!!
Am WAN Port des Routers werkelt doch immer ein NAT (IP Adress Translation) wie jeder Netzwerker weiss und was dir oben im Thread auch haarklein erzählt wurde !! Wie sollten sonst interne RFC 1918 IPs (Private IP Adressen) im Internet geroutet werden wenn das Internet diese RFC 1918 IP Adressen gar nicht kennt ?? Also die Grundfunktion des Routers wenn man ihn nicht als AP missbraucht.
http://de.wikipedia.org/wiki/Private_IP-Adresse
Ein simples Grundprinzip von Heimroutern...jeder Netzwerker kennt das !
Die NAT Firewall verhindert ein transparentes Routing, das ist also immer nur eine Einbahnstrasse.
Um transparent zu routen musst du das NAT deaktivieren !! Richtig vermutet.... Mit der D-Link Originalfirmware geht das aber nicht wie bei fast allen Billigroutern, da es fest eingebrannt ist.
Die Lösung ist aber kinderleicht wenn du dir ein DD-WRT auf den D-Link flashst !!
http://www.dd-wrt.com/site/support/router-database --> Eingabe "DIR 615" hier.
Damit kannst du das NAT dann deaktivieren und beide Seiten dann transparent erreichen wie du es möchtest.

Dieses Forumstutorial erklärt dir die Funktion im Kapitel "Wichtige Einstellungen des WAN Ports":
Mit einem WLAN zwei LAN IP Netzwerke verbinden

Alles also ganz easy wenn man hier mal die Suchfunktion benutzt !!

und dann schreibst du...
Das ist entweder falsch gemacht, gelogen oder du hast einen Tippfehler gemacht:

• Du darfst niemals 2mal die gleiche IP Adresse vergeben !! Hier hat der Zyxel und der DD-WRT die .254
• Du schreibst das diese IP angeblich vom Zyxel kommen soll was aber niemals sein kann denn du sagst selber das dessen Pool von .200 bis .224 geht. Folglich kann der DD-WRT also niemals die .254 bekommen oder der Zyxel hat einen schweren Firmware Bug !

Hier stimmt also generell schon was nicht ?!
Ääääh... das weiss ja jeder Dummie das das geht denn die IPs liegen ja in einem gemeinsamen IP Netz !
Hast du auf dem Zyxel eine statische Route ala
Zielnetz: 10.40.20.0 Maske: 255.255.255.0 Gateway: 10.20.20.<wan_dd-wrt>
(Siehe Tutorial hier !)
eingetragen ??
Vermutlich nicht, oder ? Wenn nein schlägt dein Routing damit fehl !
Wenn ja, was sagt ein Pathping oder Traceroute -n dahin ?
Checke in jedem Falle nochmal deine IP Adressierung. Was du oben geschrieben hast kann ja so nicht stimmen !
Nochwas:
Der DD-WRT arbeitet als Router !! Niemals solltest du dem Portadressen per DHCP geben sondern immer feste statische IP und die außerhalb der DHCP Pools !
Sollten sich IP durch DHCP mal ändern geht dein ganzes Routing ins Nirwana weil du auf dem Zyxel eine statische Route hast !

Winblows, Eingabeaufforderung "pathping" eingeben. Ohne Parameter kommt ein Helpfile....
Zu 98% fehtl da irgendwo ein Gateway Eintrag oder der D-Link sendet mit einer fremden Absender IP den die lokale Firewall blockt. Am besten hier den Wireshark Sniffer nehmen und sich das mal genau ansehen auf dem Draht !
OK, nicht "mögen" ist natürlich Unsinn in der IT...weisst du selber. Theoretisch kann das aber sein wenn der Zyxel auch eine Firewall onboard hat. Die musst du natürlich dann anpassen das er all diese IP Netze passieren lässt.
Den Kollegen sk kannst du sicher mit einem Personal Mail auf den Thread aufmerksam machen.

Wäre auch für Zyxel sehr sehr ungewöhnlich und unüblich und stimmt vermutlich nicht, denn das eine hat mit dem anderen nicht das Geringste zu tun.
Kollege sk wird dir das vermutlich bestätigen !

In den Anfängen von Zyxels Linux-basierender Routerfirmware ZLD war das Design so, dass statische Routen ausschließlich als Information Base für das Device selbst und fürs dynamische Routing (OSPF, RIP) fungierten. Um diese IB auch für Traffic nutzen zu können, der durch das ZLD-Device hindurch geroutet wird, benötigte man in der Tat noch eine Policyroute, die darauf abstellte. Dieses Design ist aber bereits mit ZLD2.20 grundlegend geändert worden und heute obsolet! Momentan ist auf den Zywalls ZLD3.30 aktuell und ZLD4.10 ist bereits fertig.
Im aktuellen Design ist es aber noch immer so, dass eine Policyroute standardmäßig eine höhere Priorität hat, als eine statische Route. Man kann sich mit einer unbedacht gesetzten Policyroute also eine statische Route wirkungslos machen.

Gruß
sk

Der WLAN-Part der USGs unterstützt selbstverständlich auch MAC-Filtering. Die USG200 ließe sich sogar per PCMCIA mit WLAN nachrüsten, allerdings ist die einzig kompatible Karte (G-170S) neu nicht mehr erhältlich und entspricht auch nur dem g-Standard. Also keine wirkliche Option. In dem Bereich kommt auch nichts Neues mehr nach. Zyxel hat den Ansatz der Nachrüstbarkeit nicht weiter verfolgt. Macht ja auch zumindest bei den Rackmount-Varianten wenig Sinn. Die demnächst erscheinenden Desktop-Varianten USG40 und USG60 wird es wie schon die 20er als zusätzliche Ausführung mit integriertem WLAN geben. Darüber hinaus hält mit ZLD4.10 ein Teil der Funktionalität der NXC-Serie Einzug in die USG-Firmware. Künftig lassen sich also kompatible Zyxel-APs zentral auf der Firewall verwalten - dann sicherlich auch das MAC-Filtering. Für die alte USG200 wird die neue Firmware aber leider nicht mehr erscheinen.



Die Funktionaliät des IP/MAC-Bindings hast Du glaube ich noch nicht richtig durchschaut. Diese hat für sich gesehen erstmal nichts mit statischem DHCP zu tun, kann jedoch damit in Kombination eventuell eine Option für Dich sein.
IP/MAC-Binding bewirkt, dass die Zywall (bei entsprechend zulassendem Firewallregelwerk) nur Traffic von den MAC-Adressen passieren lässt, die zuvor eine IP-Adresse von ihr per DHCP bezogen haben bzw. es kommt auf die richtige Paarung aus Source-MAC und verwendeter Source-IP an. Wenn Du also diese Funktion mit einem minimierten DHCP-Scope und statischer DHCP-Adresszuweisung kombinierst, kannst Du Dir die Verwendung des DLINK-APs im Router-Modus sparen. Betreibe die DLINKs im AP-Modus und sperre sie in eine separate Firewallzone (z.B. die vorderfinierte Zone "WLAN"). Durch die Kombination von IP/MAC-Binding und ausschließlich statischen DHCP kannst Du dann einen "MAC-Filter für Arme" realisieren, der zwar nicht für den Zutritt zum WLAN, sehrwohl aber für den Zugriff vom WLAN ins LAN, ins VPN und ins Internet wirkt.


Gruß
sk