funkedelic
Goto Top

DHCP IP-Adresse trotz Blacklist bei I-Phones

Guten Tag,

wir haben in unseren Netzwerk einige IPhones, die sollen aber nicht in unser Netzwerk. Alle MAC-Adressen der IPhones sind auf der "Verweigern" Liste des DHCP Servers eingetragen. Trotzdem wird eine IP-Adresse geleast und belegen sie somit, Verbindung kommt aber keine zustande. Sie stehen auch als "Verweigert" in der Liste haben aber halt eine IP. Erst wenn ich sie aus der Liste der geleasten IP´s lösche können die IP´s neu vergeben werden.

Hab ich da irgendwas falsch konfiguriert? Habe schon mal im netz geguckt, aber nur die Info erhalten das man am besten "Wilde" IP´s vergeben soll. Das möchte ich eigentlich vermeiden. Die IPhone´s sollen einfach keine IP bekommen.
Das ganze läuft auf Server 2012.

Vielen dank schon mal.

MfG

funke

Content-ID: 303010

Url: https://administrator.de/contentid/303010

Ausgedruckt am: 22.11.2024 um 20:11 Uhr

aqui
Lösung aqui 27.04.2016 um 12:36:20 Uhr
Goto Top
Trotzdem wird eine IP-Adresse geleast
Dann greift de facto die Liste auf dem DHCP Server nicht !!!
Hast du mal einen Wireshark angeklemmt und gecheckt ob der DHCP Server trotz Liste auf den Request der iPhones antwortet ??
Vermutlich macht er das was dann eindeutig beegt das du etwas falsch konfiguriert hast !
Wireshark ist wie immer dein Freund hier !

P.S.: Warum trägst du nicht ganz einfach die iPhones mit ihren Macs in die Filterliste der WLAN Accesspoints ein ?!
Damit können sie sich gar nicht erst mit dem WLAN assoziieren und auch gar keinen DHCP Request ins Netz schicken.
So würde man sowas eigentlich sinnvollerweise lösen und nicht so wie du denn bei dir sind sie ja schon in deinem Netz ! Nicht wirklich sinnvoll...
Lochkartenstanzer
Lochkartenstanzer 27.04.2016 aktualisiert um 12:41:33 Uhr
Goto Top
Zitat von @funkedelic:

Die IPhone´s sollen einfach keine IP bekommen.

Dürfen keine IP-bekommen aber dürfen in Euer WLAN? Was ist der Sinn dahinter?

Ich würde einfach an den AP die Mac-Adresse blacklisten und es wäre Ruhe. Denn der Ap ist der richtige Ort, den zugang zu regeln.

lks

PS: @aqui war schneller. face-smile
127944
127944 27.04.2016 um 13:36:04 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Ich würde einfach an den AP die Mac-Adresse blacklisten
Eine alternative Lösung die nur Sekunden dauert: Wlan-Schlüssel ändern
PernoxIT
PernoxIT 27.04.2016 um 14:59:10 Uhr
Goto Top
W-Lan Schlüssel ändern -> W-Lan Schlüssel an allen Geräten ändern. "Sekunden" wird das nicht dauern.
127944
127944 27.04.2016 um 15:03:07 Uhr
Goto Top
Zitat von @PernoxIT:

W-Lan Schlüssel ändern -> W-Lan Schlüssel an allen Geräten ändern. "Sekunden" wird das nicht dauern.
Das ist aber die einzige richtige Lösung, wenn man so sorglos mit Zugangsdaten umgegangen ist
aqui
aqui 27.04.2016 um 17:44:05 Uhr
Goto Top
Eine alternative Lösung die nur Sekunden dauert: Wlan-Schlüssel ändern
Aber sinnfrei ist wenn das ein statischer Schlüssel ist.
Das dauert ebenso nur Sekunden bis die ganze Welt den per Mundpropaganda kennt. Da kann man auch gleich ein Poster in den Eingangsbereich hängen: "Unser WLAN Passwort ist xyz" hat den gleichen Effekt.
Statische WLAN Schlüssel haben in einer Firma nichts zu suchen !
Dafür gibt es auch auf Billigst APs WPA-Enterprise mit Radius:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Was ja nun wahrlich nicht schwer ist aufzusetzen.
Die iPhones hätte man dann mit einem simplen Mausklick draußen...
Aber warum einfach und sicher machen wenn es umständlich und unsicher auch geht ?!
funkedelic
funkedelic 29.04.2016 um 19:46:48 Uhr
Goto Top
Vielen dank für eure antworten. Irgendwo war der wurm drin und er hat die "Verweigern" Liste nicht Aktiviert. Nach mehren Neustarts des Servers gings dann irgendwann und die Handys haben keine IP´s mehr bekommen.
Der WLAN schlüssel des Firmen Netzes macht anscheinend öfters mal ne runde durchs unternehmen, da müssen wir uns nochmal was einfallen lassen. Das ist normal nur für die Vertriebler. Jetzt funktioniert ja auch die Liste und somit sind immer genügend IP´s vorhanden und das Problem hat sich fast selbst gelöst.

cu
aqui
aqui 29.04.2016 aktualisiert um 21:12:00 Uhr
Goto Top
Nein, verantwortungsvolle und kundige Netzwerker machen da 802.1x sprich WPA Enterprise.
Macht mittlerweile jeder Dödel Baumarkt AP:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius

Es so zu lösen wie du zeugt eher von laienhafter Bastelei...da muss man sich nicht wundern wenn man ungebetene Gäste im WLAN hat.
Dein Problem ist keinesfals gelöst, das denkst du nur. Es ist schon in der Lösung selbst.
Aber egal...wenns für dein sanftes Ruhekissen reicht ist ja alles gut !
127944
127944 29.04.2016 um 21:26:58 Uhr
Goto Top
Beratungsresistenz gepaart mit Bequemlichkeit
funkedelic
funkedelic 30.04.2016 um 09:42:19 Uhr
Goto Top
Ist ja nett von euch, es ist im moment nur eine übergangslösung. Der Radius Server ist schon aufgesetzt nur noch nicht zu 100% konfiguriert. Wir sind in letzter Zeit sehr schnell Größer geworden, da kommt man nicht immer so hinterher wie man sich das wünscht.