bvb09-fan
Goto Top

Mac Filtering

Guten Abend an alle,

bräuchte wieder Eure Hilfe.
ich würde gerne ein Mac filtering einstellen komme da aber nicht weiter.
Die PC, Drucker, und Laptop Mac Adressen hätte ich gerne an die jeweiligen ether Ports des Switches gebunden.
beim rausziehen und einstecken eines neun Gerätes sollte dieses vom Netwerk ignoriert werden.
Der Switch bekommt seinen Bridge DHCP vom Router, mein Gedanke daher in den Router ARP Einstellungen zu suchen leider komme ich nicht weiter.

Danke und Gruss
2022-10-15 22.09.37

Content-Key: 4298210563

Url: https://administrator.de/contentid/4298210563

Printed on: March 1, 2024 at 02:03 o'clock

Member: tikayevent
tikayevent Oct 15, 2022 at 20:37:49 (UTC)
Goto Top
Port Security ist eine Funktion des Switches, nicht des Routers.

Ob dieses bei deinem Switch passt, keine Ahnung: https://wiki.mikrotik.com/wiki/Manual:CRS3xx_series_switches#Port_Securi ...
Member: MirkoKR
MirkoKR Oct 15, 2022 updated at 20:55:06 (UTC)
Goto Top
In der Regel aktiviert man den Switch-Port bei Einrichtung des neuen Clients einmalig die neue MAC zu akzeptieren [oder trägt diese manuell ein].

Wenn der neue Client eingestöpselt wird, w6ord dessen MAC für diesen Port gespeichert.

Aber erwarte davon nicht zu viel von dieser Port-Security!
Die MAC Adresse lässt sich im Client meist relativ einfach manuell einstellen [wenn man die Rechte dazu hat]

So könnte man meist schon mit Standardrechten die MAC des auf diesem Port erlaubten Gerätes auslesen und auf einem Fremdgerät manuell eintragen ... :-$
Member: BVB09-FAN
BVB09-FAN Oct 15, 2022 at 20:54:52 (UTC)
Goto Top
die ether Ports 4 5 6 liegen im Switch auf der bridge sowie der ether1 Port der ein dhcp client vom Router ist.
den Switch betreibe ich im Router OS Mode deshalb war meine Vermutung an dem ether3 Port des Routers die ARP Einstellung auf reply-only stellen
Member: BVB09-FAN
BVB09-FAN Oct 15, 2022 updated at 21:02:43 (UTC)
Goto Top
ich weiss erwarte da auch nicht soviel nur für meine Zwecke reicht das ersteinmal aus.
wie sage ich dem switch das die einstellungen vom Router gelten. dort habe ich alle mac adressen in der arp liste eingetragen.
nur leider steht dort das diese mac adressen vom ether3 port des Routers kommen da der switch ja an diesem hängt
Member: LordGurke
LordGurke Oct 15, 2022 at 21:54:02 (UTC)
Goto Top
Gar nicht. Das musst du dem Switch sagen.
Member: MirkoKR
MirkoKR Oct 15, 2022 updated at 22:24:21 (UTC)
Goto Top
Zitat von @LordGurke:

Gar nicht. Das musst du dem Switch sagen.

Die MAC ist [in der Regel] nur zwischen den benachbarten Geräten brkannt:

Internet - Router - Switch - Client
Router kennt MAC vom Switch
Switch kennt MAC vom Client
...

Router kennt IP vom weg zum Client, da Client sich mit MAC und IP am Switch registriert und der IP-Bereich dem Router bekannt ist ...

... wie das genau abläuft ist Level 2/3 abhängig...

Aber auf MAC-Ebene ist [zunächst / nur]
der Nachbar bekannt!
Mitglied: 108012
108012 Oct 16, 2022 at 01:19:55 (UTC)
Goto Top
Hallo,

weise lieber jedem Gerät ein eigenes VLAN zu und mittels ACLs regelst Du wer, was , mit wem und wann
darf. Also in Verbindung treten und oder man kann das mittels eines LDAP Servers und/oder eine kleinen
Radius Servers realisieren. Alternativ kann man auch den Usermanager von RB dazu benutzen und mit
syn-cookies arbeiten.

Kleiner RaspBerry PI mit FreeRadius und OpenLDAP kann das aber meines Erachtens nach am besten.
den Drucker mittels LDAP und die anderen Geräte bekommen ein Zertifikat was sie immer und immer
wieder in das Ihnen zugewiesene VLAN reinsteckt. Somit kann man umstöpseln was man möchte und
landet immer wieder im VLAN das auf dem Zertifikat eingetragen worden ist.

Dobby
Member: LordGurke
LordGurke Oct 16, 2022 at 11:02:52 (UTC)
Goto Top
Zitat von @MirkoKR:
Router kennt IP vom weg zum Client, da Client sich mit MAC und IP am Switch registriert und der IP-Bereich dem Router bekannt ist ...

... wie das genau abläuft ist Level 2/3 abhängig...

Aber auf MAC-Ebene ist [zunächst / nur]
der Nachbar bekannt!

"Nachbar" meint Geräte, die sich innerhalb eines Netzes ohne Router erreichen können.
Eine MAC-Adresse ist grundsätzlich innerhalb einer Broadcast-Domain gültig, auch über mehrere Switches hinweg. Auch der am Switch angeschlossene Router sieht deshalb die echte MAC-Adresse des Geräts. Was der Router nicht sieht ist, an welchem Switchport das Gerät hängt.
Btw: Ein Client "registriert" sich nicht am Switch. Der wird angeschlossen und sobald das erste Datenpaket kommt, lernt der Switch, welche MAC auf welchem Port zu finden ist face-wink

Der TO hat aber glaube ich ein Problem, die unterschiedlichen Layer auseinanderzuhalten.
Ein ARP-IP-Binding (Layer 3) auf dem Router ist eine Sache, die den Switch (Layer 2) prinzipbedingt nicht interessiert. Für den Switch sind IP-Adressen nur uninteressanter Payload.
Wenn man MAC-Adressen fest an Ports binden will, geht das nur auf dem Switch, sofern der das unterstützt.
Falls der Switch L2-ACLs kann, kann man sich notfalls auch eine ACL für jeden Port basteln.


Was die Effektivität solcher Filter angeht, wurde ja schon was dazu gesagt.
Ich vermute, der TO will möglicherweise nur verhindern, dass irgendein Trottel den Drucker ausstöpselt, einen WLAN-Router dran anschließt und dadurch Netzwerk hat. Das wäre damit effektiv zu verhindern, wenn man davon ausgeht, dass die potentiellen Druckerausstöpsler keine Ahnung oder technische Möglichkeit haben, die MAC-Adresse des Druckers in Erfahrung zu bringen und auf das anzuschließende Gerät zu klonen.
Member: aqui
aqui Oct 16, 2022 updated at 11:49:16 (UTC)
Goto Top
beim rausziehen und einstecken eines neun Gerätes sollte dieses vom Netwerk ignoriert werden.
Was genau meinst du damit?? Das alle Geräte erstmal geblockt werden und nur je nach Mac Adresse die du zulässt dann im Netzwerk aktiv ist?
Wenn ja ist das sehr einfach mit Port Security über dem onboard Radius Server zu erreichen. Das ist das Thema Port Security mit 802.1x oder MAB (Mac Authentication Bypass)
Über den Mikrotik onboard Radius kannst du alle Macs am Switch authentisieren lassen und nur die Mac Adressen im Netzwerk zulassen die du freigegeben hast.
Zusätzlich kannst du über die Mac Adresse bei Bedarf sogar ein VLAN dynamisch zuteilen. Oder z.B. unregistrierte Mac Adressen in ein Gast- oder "Gummizellen" VLAN dirigieren. Alles ist da sehr flexibel möglich in deinem Setup.

Diese Threads geben einen Überblick wie das schnell und einfach umsetzbar ist:
Mikrotik - dyn-vLAN und MAC-auth in ROS 7.2
Mikrotik: Wifi clients in anderes VLAN schieben?
Member: BVB09-FAN
BVB09-FAN Oct 16, 2022 updated at 17:53:54 (UTC)
Goto Top
bekannte mac adressen ( Geräte ) dürfen raus und rein gesteckt werden nur fal jemand wie oben geschrieben ein neues noch unbekanntes Gerät an den rausgezogen ether Port steckt sollte dieses dann geblockt werden.
es wäre auch die möglichkeit diesem neuem Gerät durch nicht vergabe einer Ip adresse zu blocken.

vielen dank werde in den nächsten Tagen Eure Vorschläge abarbeiten.
Member: aqui
aqui Oct 17, 2022 at 07:28:55 (UTC)
Goto Top
Das wäre dann ganz genau exakt die oben genannte Mac Portsecurity mit dem onboard Radius! ­čśë
Member: BVB09-FAN
BVB09-FAN Oct 17, 2022 updated at 19:38:08 (UTC)
Goto Top
habe heute etwas ausprobiert.
wenn ich in dem Switch in den bridge Filter Einstellungen diese Regel schreibe block er alles mit anderer Mac adresse.
/interface bridge filter
chain=forward action=drop in-interface=eth2 src-mac-address=!74:4D:28:D3:E0:FE/FF:FF:FF:FF:FF:FF log=no log
leider funktioniert dieses nur, wenn in der bridge das Vlan-Filtering aktiviert ist.
warum gelten die Filterregeln nur mit aktivierten Vlan-Filtering?
Es wäre für mich der einfachste Weg so die ether Ports für andere Mac Adressen zu sperren