"Christmas - the time to fix the computers of your loved ones" « Lord Wyrm

Geräte aus dem WLAN Netz raus- und wieder reinlassen

agentblack 22.01.2021 - 13:24 1362 12
Posts

agentblack

Bloody Newbie
Registered: Jan 2021
Location: Vienna
Posts: 1
Liebe Mitlesende!
Ich habe folgendes Problem: In einer Gruppe mit Kindern und Jugendlichen nutzen alle das gleiche WLAN.
Zu manchen Zeiten müssen wir aber einzelne Kinder bzw. Jugendliche aus dem Netz rausnehmen (weil sie z.B. sonst die Hausübungen nicht machen und ewig am Handy hängen, oder in der Nacht die Handys nicht abgeben und dann Minderjährige auf Pornoseiten gehen, etc.). Das geht bisher nur, indem wir das WLAN ausschalten (weil das weniger aufwändig ist), was für die, die sich nichts "zu Schulden" kommen ließen natürlich total frustrierend ist. (Das Aussperren per MAC-Adressen ist zu aufwändig im Betrieb - wir sind alleine für 8 Schützlinge zuständig, da kann man sich nicht nebenbei an den PC setzen und jedes Mal ins Router Interface einsteigen).

Gibt es eine Möglichkeit (auch wenn sie nicht gratis ist), dass wir einzelne Geräte aus dem Netz nehmen (ohne dass man dafür andauernd die MAC-Adressen eingeben und sperren muss) und dann wieder freigeben?
Das Problem bei den neuen Handys ist nämlich, dass sie sich selbst fiktive MAC-Adressen vergeben und dadurch wieder reinkönnen (auch wenn wir uns mal doch die ganze Arbeit angetan und die MAC-Adressen über den Router gesperrt haben).

Eine zeitlang haben wir einen Netgear Orbi-Router an die UPC Connect Box gehängt, denn Netgear hatte für ihre Orbi-Router eine App, wo man das Rein- und Rauswerfen von Geräte aus dem WLAN-Netz mit einem einzigen Klick machen konnte (da war eine App dabei, wo man sich alle angeschlossenen Geräte anschauen konnte und neben deren Namen war ein Button der sich aktivieren und deaktivieren ließ). Nach einem Update ist dann aber leider genau dieser Punkt weggewesen.
Deswegen haben wir uns nun eine FritzBox gekauft (die hängt nun auch über Bridgeing an der Connect Box), da mir in einem anderen Forum gesagt wurde, dass ich das über die FrixBox App machen könnte. Das ist aber leider nicht korrekt. Sobald ich dort wen sperre, kann diese Person nahezu nahtlos wieder rein, weil das Handy die MAC-Adressensperre offensichtlich erkennt und sofort die MAC-Adresse aktualisiert.

Gibt es von eurer Seite aus eine Lösung für dieses Problem? Ich wäre euch unendlich dankbar!!

COLOSSUS

# pkill -9 .
Avatar
Registered: Dec 2000
Location: Wien || Stmk
Posts: 11050
Du willst WPA2 "Enterprise" mit einem RADIUS-Server, anstatt WPA2 mit Pre-Shared Key, um User in dein WLAN zu lassen. Dann kriegt jeder User eigene Credentials, die du natuerlich auch sperren kannst. Mit OpenWrt und einem tauglichen AP kann man das auch im kleinen Rahmen sehr gut loesen. Further reading: https://openwrt.org/docs/guide-user....security.8021x

Alles andere wird auf Dauer/gegen motivierte Kinder nicht funktionieren.

berndy2001

Komasäufer
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 1642
this.

Als erste Abhilfe kannst du neue, unbekannte Mac-Adressen sperren, dann funktioniert das Macadressen spoofen nicht mehr.
Für die Fritzbox gibts "boxtogo", das kann alles wie das Web-if, nur bequemer.
Bearbeitet von berndy2001 am 22.01.2021, 13:49

sts


Registered: Feb 2008
Location: Graz
Posts: 182
Spontan würde ich meinen, dass da ja ein Captive Portal gar nicht so schlecht passen würde. Zumindest bei Ubiquiti gibts da ja doch viele Möglichkeiten der Authentifizierung (Facebook, Gmail, Radius, ...) da könnens dann MAC Adressen ändern wie sie wollen :-)

Auch das Management der Clients ist da recht einfach -> https://help.ui.com/hc/en-us/articles/205231590

Auf YouTube findest du da sicher einige Beispielvideos
https://www.youtube.com/watch?v=anYXOET6QB8 (Voucher Authentifizierung)

Edit: Mit Vouchern ergebn sich da sicher auch witzige Möglichkeiten der Motivation, alle Hausübungen gemacht, Test positiv, wwi -> hier extra Voucher für x Stunden Wifi, haha
Bearbeitet von sts am 22.01.2021, 13:52

COLOSSUS

# pkill -9 .
Avatar
Registered: Dec 2000
Location: Wien || Stmk
Posts: 11050
Zitat aus einem Post von berndy2001
Als erste Abhilfe kannst du neue, unbekannte Mac-Adressen sperren, dann funktioniert das Macadressen spoofen nicht mehr.

Dann kommen aber auch die braven Kids nicht mehr rein, wenn sich ihr Telefon aus Privacy-Gefuehlsbetuedlungsgruenden eine neue HWaddr aussucht.

berndy2001

Komasäufer
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 1642
Richtig, aber das lässt sich sicherlich abschalten.

COLOSSUS

# pkill -9 .
Avatar
Registered: Dec 2000
Location: Wien || Stmk
Posts: 11050
Zitat aus einem Post von berndy2001
Richtig, aber das lässt sich sicherlich abschalten.

... und dann checken die Kids bald den Mechanismus dahinter, und eine rege HWaddr-Tauschboerse und -Vermietung entwickelt sich :D Ich will nur sagen: Ich wuerde da nicht zu viel Energie investieren.

Viper780

Er ist tot, Jim!
Avatar
Registered: Mar 2001
Location: Wien
Posts: 42746
Radius und Gruppen bei den den Usern ist das einzige was man haben will.

Erstmaliger Aufwand ein Tag - danach gering

berndy2001

Komasäufer
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 1642
Zitat aus einem Post von COLOSSUS
... und dann checken die Kids bald den Mechanismus dahinter, und eine rege HWaddr-Tauschboerse und -Vermietung entwickelt sich :D Ich will nur sagen: Ich wuerde da nicht zu viel Energie investieren.

Ob die Kids HWaddr tauschen oder
Zitat von COLOSSUS
Dann kriegt jeder User eigene Credentials
is aber vom ergebnis her egal.

COLOSSUS

# pkill -9 .
Avatar
Registered: Dec 2000
Location: Wien || Stmk
Posts: 11050
:D Fair enough! Trotzdem ist ein Allow-/Denylisten von HWaddrs unterm Strich keine tragfaehige Strategie, denke ich. Gegen sich verschwoerende User hat man dann hoffentlich noch andere Handhabe, wie z. B. Schokoladenentzug.

daisho

SHODAN
Avatar
Registered: Nov 2002
Location:
Posts: 18442
Das nerfigste daran ist vermutlich dass man halt ständig Arbeit damit hat und man extra wieder etwas konfigurieren muss weil irgendein Besuch da ist der ins WLAN muss. Die MAC-Adressen-Strategie ist etwas aus dem letzten Jahrhundert das noch nie "gut" war imho.

berndy2001

Komasäufer
Avatar
Registered: Feb 2003
Location: Vienna
Posts: 1642
Zitat aus einem Post von daisho
Die MAC-Adressen-Strategie ist etwas aus dem letzten Jahrhundert das noch nie "gut" war imho.
Stimmt schon, aber es kann halt fast jeder Consumer-Router ootb

ZARO

Here to stay
Avatar
Registered: May 2002
Location: Wien 22
Posts: 716
Wissen die die WLAN Passwörter? Denkbar wäre WLAN für die Guten und WLAN für die Bösen, dass abgedreht wird.

lg
Kontakt | Unser Forum | Über overclockers.at | Impressum | Datenschutz