DHCP Filter für bestimmten Bereich ausschliessen

manuwj
Goto Top
Hallo zusammen,
wir setzen schon seit einiger Zeit DHCP-Filter ein, dies funktioniert soweit auch gut: wir haben die Whitelist aktiviert (MS Server 2012 R2).

Nun möchten wir aber über den gleichen DHCP-Server ein sogenanntes "Public" erstellen, wo die Mitarbeiter mit ihren privaten Handys, Tablets und Notebooks ins Internet kommen (nur WLAN).

Ich möchte nun aber nicht, dass sich jeder Benutzer bei der IT melden muss, für die Durchsage seiner MAC-Adresse, bzw. nochmals, wenn er ein neues Gerät hat... und grundsätzlich möchten wir dieses Netz auch für unsere Kunden oder Geschäftspartner öffnen... da können wir nicht verlangen, dass sie uns vorab noch die MAC-Adresse mitteilen...

Kann man den DHCP-Server so einstellen, dass in einem bestimmten DHCP-Bereich der Filter NICHT ZIEHT? Habe keine solche Einstellung gefunden... aber vielleicht habe ich ihn einfach nicht gefunden.

Als alternative würde wohl nur ein 2. DHCP-Server gehen... was ich lieber verhindern möchte.

Vielen Dank und Gruess, Manu

Content-Key: 379713

Url: https://administrator.de/contentid/379713

Ausgedruckt am: 18.08.2022 um 22:08 Uhr

Mitglied: aqui
Lösung aqui 10.07.2018 aktualisiert um 12:10:57 Uhr
Goto Top
Solch ein WLAN setzt man aus gutem Grund IMMER in ein separates WLAN (MSSID) bzw. VLAN auf der Infrastruktur und kappt das sehr sorgfältig vom Rest des Firmennetzes mit Hilfe einer Firewall und einem Captive Portal.
Logisch, denn dort sind unkontrollierte Geräte die eine potentielle Bedrohung darstellen.
Dadurch das du dann ein vollkommen separates IP Segment hast, hast du dann auch grüne Wiese was den DHCP Pool anbetrifft und musst nicht mit Whitelists oder sowas frickeln.
Guckst du auch hier:
https://www.administrator.de/wissen/wlan-lan-gastnetz-einrichten-captive ...
Oder "Praxisbeispiel" hier:
https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...
Alles andere ist in so einem Umfeld ein unkalkulierbares Risiko und macht deshalb auch kein verantwortungsbewusster ITler !
Mitglied: emeriks
emeriks 10.07.2018 um 12:10:04 Uhr
Goto Top
Hi,
nein. Bei Windows gilt solch ein Filter für den ganzen DHCP-Server, also für alle Scopes.

Mach für diese Geräte ein Gäste-WLAN auf und in diesem einen eigenen DHCP-Dienst, z.B. direkt auf dem WLAN-Router.

E.
Mitglied: dodo30
Lösung dodo30 10.07.2018 um 13:00:24 Uhr
Goto Top
Hallo,

Zitat von @emeriks:

Hi,
nein. Bei Windows gilt solch ein Filter für den ganzen DHCP-Server, also für alle Scopes.



evtl war das früher so,, es gibt nun scope based policies

Titel


Gruß
Dominik
Mitglied: emeriks
emeriks 10.07.2018 um 14:03:21 Uhr
Goto Top
Zitat von @dodo30:
evtl war das früher so,, es gibt nun scope based policies
He, he, ssstümmmt. Dieses Thema hatten wir doch letztens schon. Aber das kommt davon, wenn man immer noch mit der alten MMC von Win2008R2 den Win2016 DHCP-Server verwaltet ... face-wink

Gut, dann brauch der TO keinen weiteren DHCP-Server aber doch noch ein extra Subnet für das Gäste-WLAN.
Mitglied: manuwj
manuwj 10.07.2018 um 17:35:50 Uhr
Goto Top
Zitat von @emeriks:
es gibt nun scope based policies

Titel

Sehr schön, werde mir dies mal anschauen und anschliessend wieder hier posten. Vielen Dank.

Lg, Manu
Mitglied: NixVerstehen
Lösung NixVerstehen 11.07.2018 um 07:09:58 Uhr
Goto Top
Hi,
ich habe, wie aqui auch empfiehlt, den WLAN-AP in ein separates VLAN gesetzt. Für dieses VLAN macht der Router den DHCP-Server und per Firewallregel ist jeglicher Verkehr in alle anderen Netze außer ins Internet unterbunden.

Gruß Arno