DD-WRT: MAC-Filter kann max. 64-Adressen verwenden
Hallo liebe Kollegen,
wenn sich GUI-Designer und Programmierer nicht unterhalten passiert Folgendes:
Im Webinterface von dd-wrt kann man in der Eingabemaske der MAC-Filter-Liste 128 oder 256 MAC-Adressen (je nach Version) eintragen.
Das ist solange gut, bis man tatsächlich mal mehr als 64 Einträge vornimmt.
Die GUI findet das prima, aber der Treiber, der die MAC-Filterung ausbaden muss, kann nur mit maximal 64 Einträge umgehen.
Werden ihm mehr zugemutet, so versagt er seinen Dienst dahingehend, dass kein WLan-Client mehr Zugang erhält.
Routerseitig poppt aber keine Warnung auf und clientseitig erhält man beim Verbindungsversuch uninformative oder irreführende Meldungen:
"Keine Verbindung mit diesem Netzwerk möglich"
"Authentifizierung fehlgeschlagen"
oder anderes, je nach Client.
Eine kleine Leidenswegbeschreibung
Wichtiger Netzwerktraffic läuft im Büro in der Regel drahtgebunden.
WLan existiert im Wesentlichen nur für Mitarbeiter-Smartphones, es wird aber auch immer wieder mal für das eine oder andere Laptop genutzt,wenn ein Kollege damit nicht an seinem Schreibtisch arbeitet.
Sollte das WLan mal ausfallen, so ist das lediglich ein Komfortverlust, die Arbeit kann dennoch weiter gehen.
Die Geräte, die Zugang erhalten sollen, werden manuell in den MAC-Filterlisten von insgesamt drei räumlich verteilten Accesspoints eingetragen.
Von "heute auf morgen" hat plötzlich keiner mehr Zugang zum WLan.
Es hat gestern ein paar Stunden gedauert, bis ich dahinerkam, woran es lag, da ich mir nicht mehr bewusst war, dass ich kürzlich zwei weitere Einträge vorgenommen hatte.
Ich stand vor einem System, an dem sich eigentlich nichts geändert hat, das aber dennoch einfach nicht mehr funktionierte.
Bei der Fehlersuche wurde auch die Mac-Sperre ausgeschaltet, was sofort Besserung brachte, aber bis daraus Erkenntniss wurde, dauert noch geraume Zeit.
Tante Google ist leider etwas zu gesprächig, wenn man "kein WLan-Zugang" eintippt.
Als ich soweit war, den Fehler auf die Einträge in der Filterliste eingrenzen zu können, konnte ich gezielter recherchieren und fand das hier:
Auf den betroffenen Accesspoints ist DD-WRT v3.0-r32170M kongac (06/11/17) installiert.
Wie es aussieht ist das aber eine generelle Einschränkung von dd-wrt und nicht versionsabhängig.
Es kann gut sein, dass das Problem nur Wenigen begegnet, da größere WLan-Umgebungen vermutlich selten mit Mac-Filtern versehen sind und mit semi-professionellen Geräten realisiert werden.
Ich dachte dennoch, dass es nicht schadet Euch dieses versteckte Problem mitzuteilen.
Gruß Frank
wenn sich GUI-Designer und Programmierer nicht unterhalten passiert Folgendes:
Im Webinterface von dd-wrt kann man in der Eingabemaske der MAC-Filter-Liste 128 oder 256 MAC-Adressen (je nach Version) eintragen.
Das ist solange gut, bis man tatsächlich mal mehr als 64 Einträge vornimmt.
Die GUI findet das prima, aber der Treiber, der die MAC-Filterung ausbaden muss, kann nur mit maximal 64 Einträge umgehen.
Werden ihm mehr zugemutet, so versagt er seinen Dienst dahingehend, dass kein WLan-Client mehr Zugang erhält.
Routerseitig poppt aber keine Warnung auf und clientseitig erhält man beim Verbindungsversuch uninformative oder irreführende Meldungen:
"Keine Verbindung mit diesem Netzwerk möglich"
"Authentifizierung fehlgeschlagen"
oder anderes, je nach Client.
Eine kleine Leidenswegbeschreibung
Wichtiger Netzwerktraffic läuft im Büro in der Regel drahtgebunden.
WLan existiert im Wesentlichen nur für Mitarbeiter-Smartphones, es wird aber auch immer wieder mal für das eine oder andere Laptop genutzt,wenn ein Kollege damit nicht an seinem Schreibtisch arbeitet.
Sollte das WLan mal ausfallen, so ist das lediglich ein Komfortverlust, die Arbeit kann dennoch weiter gehen.
Die Geräte, die Zugang erhalten sollen, werden manuell in den MAC-Filterlisten von insgesamt drei räumlich verteilten Accesspoints eingetragen.
Von "heute auf morgen" hat plötzlich keiner mehr Zugang zum WLan.
Es hat gestern ein paar Stunden gedauert, bis ich dahinerkam, woran es lag, da ich mir nicht mehr bewusst war, dass ich kürzlich zwei weitere Einträge vorgenommen hatte.
Ich stand vor einem System, an dem sich eigentlich nichts geändert hat, das aber dennoch einfach nicht mehr funktionierte.
Bei der Fehlersuche wurde auch die Mac-Sperre ausgeschaltet, was sofort Besserung brachte, aber bis daraus Erkenntniss wurde, dauert noch geraume Zeit.
Tante Google ist leider etwas zu gesprächig, wenn man "kein WLan-Zugang" eintippt.
Als ich soweit war, den Fehler auf die Einträge in der Filterliste eingrenzen zu können, konnte ich gezielter recherchieren und fand das hier:
Zitat von <Kong>:
...this is a driver limitation, I just checked and used the wl commandline to add macs by hand directly on the router you can exactly set 64 MAC adresses, after that the driver returns invalid range.
Quelle: https://www.dd-wrt.com/phpBB2/viewtopic.php?p=874596...this is a driver limitation, I just checked and used the wl commandline to add macs by hand directly on the router you can exactly set 64 MAC adresses, after that the driver returns invalid range.
Auf den betroffenen Accesspoints ist DD-WRT v3.0-r32170M kongac (06/11/17) installiert.
Wie es aussieht ist das aber eine generelle Einschränkung von dd-wrt und nicht versionsabhängig.
Es kann gut sein, dass das Problem nur Wenigen begegnet, da größere WLan-Umgebungen vermutlich selten mit Mac-Filtern versehen sind und mit semi-professionellen Geräten realisiert werden.
Ich dachte dennoch, dass es nicht schadet Euch dieses versteckte Problem mitzuteilen.
Gruß Frank
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 356495
Url: https://administrator.de/knowledge/dd-wrt-mac-filter-kann-max-64-adressen-verwenden-356495.html
Ausgedruckt am: 22.12.2024 um 09:12 Uhr
11 Kommentare
Neuester Kommentar
Moin,
danke für die Info... ich würde allerdings mal überlegen nen FreeRadius aufzusetzen. Das ding ist in 5 Min konfiguriert - und du hast nicht 3 verschiedene Listen zu pflegen... Und auch kein Problem mehr damit wieviel Adressen nun frei sind oder nicht... Ich weiss nur nicht ob das DD-Zeug Radius kann
danke für die Info... ich würde allerdings mal überlegen nen FreeRadius aufzusetzen. Das ding ist in 5 Min konfiguriert - und du hast nicht 3 verschiedene Listen zu pflegen... Und auch kein Problem mehr damit wieviel Adressen nun frei sind oder nicht... Ich weiss nur nicht ob das DD-Zeug Radius kann
Abgesehen von dem interessanten Feedback sind das aber ja Steinzeit Methoden. Auf 3 oder mehr APs eine gleiche und wasserdichte immer up to date MAC Filterliste zu pflegen macht ja heute kein (IT) Mensch mehr. Abgesehen von dem Aufwand ist das eine potentielle Fehlerquelle. Und ganz davon abgesehen das das eigentlich Spielkram ist denn Macs kann man faken.
Normal trenn man ja das WLAN logischerweise in ein separates Netzwerk Segment oder VLAN.
Hier würde man dann zentral entweder mit Mac auf Layer 2 filtern oder auf die IPs mit L3.
Noch sinnvoller, da sicherer, ist die vom Kollegen maretz zu Recht vorgeschlagene Radius Server Lösung mit ebenfalls zentraler Verwaltung.
Mit einem simplen 35 Euro Raspberry Pi ist das in 15 Minuten aufgesetzt:
Netzwerk Management Server mit Raspberry Pi
Normal trenn man ja das WLAN logischerweise in ein separates Netzwerk Segment oder VLAN.
Hier würde man dann zentral entweder mit Mac auf Layer 2 filtern oder auf die IPs mit L3.
Noch sinnvoller, da sicherer, ist die vom Kollegen maretz zu Recht vorgeschlagene Radius Server Lösung mit ebenfalls zentraler Verwaltung.
Mit einem simplen 35 Euro Raspberry Pi ist das in 15 Minuten aufgesetzt:
Netzwerk Management Server mit Raspberry Pi
Ich möchte mir eigentlich keinen Pi ins Serverrack basteln, wenn ich dort einige Windows-Server drin habe
Ne simple kleine VM mit Ubuntu oder Debian tuts auch...oder noch besser dann gleich den Radius Server (NPS) von Winblows verwenden.zumal mir Linux auch noch recht fremd ist.
Kann man ja als Winblows Knecht auch mal sein Horizint erweitern. Aber wie gesagt man kann auch bei Klicki Bunti bleiben und den NPS Dienst (Radius) nutzen.Ich hatte mal angefangen mich in das Thema Radius einzulesen.
Lesenswert dazu:https://www.heise.de/ct/artikel/Radius-mit-Windows-Server-2087800.html
https://blog.matrixpost.net/?p=4
https://www.andysblog.de/windows-wireless-lan-802-1x-und-nps
war ich dann aber eher verwirrt denn erleuchtet
Oha...bei solch sehr banalen Sachverhalten schon ? How come ? Und du administrierst Windows Server ?Dann starte doch erstmal mit den einfachen Grundlagen dazu:
https://de.wikipedia.org/wiki/IEEE_802.1X
oder auch
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Das sollte helfen.
Zertifikate sind nicht unbedingt nötig, es geht auch ohne. Zusätzlich muss nicht zwingend was installiert werden wenn du z.B. nach Client Mac oder Client User- oder Hostname gehst.
es sei denn es wäre clientseitig eine Ein-Klick-Lösung, die auf allen OS (Android, Windows, Linux Mac, iOS usw.)
Gäbe es auch, allerdings musst du dann erheblich mehr Budget investieren in APs die sowas supporten.Als Sicherheit genügt mir ein einheitlicher WLan-Schlüssel
Für Gastnetze wäre das überflüssiger Unsinn, denn den müsstest du ja jedem verraten und das wäre dann sinnfrei. Hier ist ein Captive_Portal mit oder ohne Voucher die bessere Lösung.Nur gelegentlich ist es mal nötig, dass ein "fremdes" Gerät per WLan ins Büronetz muss.
Das macht man über dynmaische ACLs an der FW.Bietet Radius oder der Netzwerkrichtlinienserver ein entsprechend simples Szenario
Das ist wieder relativ, denn es bleibt die Frage was für dich "simpel" ist. Nach deinen Äußerungen von oben wirft das natürlich Fragen auf.Ggf. ist es dann für dich einfacher eine simple [ Firewall] zu installieren und mit einem flexiblen Regelwerk zu arbeiten. Für den einen eine Handvoll Mausklicks, der andere scheitert schon am Grundlagenverständnis.
Das ist alles relativ und für Externe schwierig eine passende Antwort darauf zu geben.
Von "ich fang mal an", bis "ich nehme es in den produktiven Einsatz" lagen geschätzte 50 Stunden Arbeitszeit.
Diese Erfahrung und Lernprozess ist aber unbezahlbar und kann dir keiner mehr nehmen Warum du allerdings ein Zertifikat generierst, was du dann eh am Client NICHT installierst ist sehr fragwürdig.
Das Zertifikat dient ja gerade dazu den Radius Server dem Client gegenüber zu legitimieren und zu authorisieren und dazu MUSS der Client logischerweise zwingend das Server Zertifikat haben !
Klar kannst du natürlich dem Client im Setup die Zertifikatsüberprüfung ganz abschalten, dann kann allerdings jeder dir oder besser gesagt den Clients einen x-beliebigen Radius Server unterjubeln was dann fatal und tödlich wäre für die Sicherheit.
Damit würde man das ganze .1x Konzept ja in sich ad absurdum führen, denn das wäre so (un)sicher wie Pre shared Keys.
Hier irrst du also denn sowas wie "Auf den Clients muss nichts installiert werden (auch kein Zertifikat)" ist natürlich fataler und laienhafter Unsinn wenn man wirkliche Radius Sicherheit haben will.
Ein Benutzer muss sich mit Username/Kennwort verifizieren und zusätzlich muss das Client-Gerätes eine zugelassene Mac-Adresse haben
Das können aber nicht alle APs bzw. Switches. Also sowas wie 802.1x before Mac usw. Da muss man aufpassen. Das geht in der Regel nur mit Hersteller spezifischen Radius Attributen, denn der Standard sieht sowas nicht vor.Das Webinterface klingt aber ganz spannend. Gibts da irgendwo was zum runterladen und testen ?
und das ist unwahrscheinlich genug.
Wenn du das meinst... Da reicht ein kleines Stück Software auf einem USB Stick um deinen Radius damit dann sofort auszuhebeln. Das kann auch ein Laie. Deine Entscheidung !Gravierender ist aber deine komplett falsche Schlussfolgerung hier im Forum das du so tust als müsste man kein Zertifikat haben und auch keins installieren.
Damit propagierst du hier die denkbar unsicherste Implementation dieser WiFi Enterprise Lösung was für ein Administrator Forum nicht gerade positiv ist, denn andere, technisch weniger Bemittelte könnten sich animiert fühlen es dir gleichzutun. Das würde so ein Konzept wie gesagt aber ad absurdum führen denn man will ja gerade eine erhöhte Sicherheit bei gleichzeitiger einfacher und zentraler User Administration.
Das sollte eigentlich nur mal angemerkt werden, da du dich ja sehr wenig selbstkritisch zu dieser Installation äußerst.
Auch Macfilter sind einfach in wenigen Sekunden durch cusatomizte Mac Adressen überwunden. Auch das können Laien. All das macht ein WLAN nicht sicher. Man denkt es nur.
Aber egal...wenn du in deinem Umfeld so damit leben kannst und es selber als "sicher" ansiehst ist es ja gut.
Das Webinterface ist aber dennoch eine gute und sinnvolle Sache, denn damit erspart man sich die Frickelei mit den Asci Konfig Dateien.