Hallo,
ich habe ein wenig das Forum durchforstet, doch leider war ich zu dumm, den richtigen Thread zu finden, oder es existiert noch keiner. Ich habe einen 1722 beim Kunden stehen und möchte, dass im LAN kein Rechner eine IP-Adresse bekommen kann, wenn er nicht eine genehmigte MAC-Adresse besitzt, und das auch kein Zugriff auf das Netz erfolgen kann, wenn er sich eine IP-Adresse fest vergibt. Kann man soetwas nur mit Hilfe des Routers lösen, oder wird eine externe Lösung benötigt?
Gruß
Jürgen
DHCP IP-Adressvergabe verhindern wenn unbekannte MAC-Adresse
Moderator: Lancom-Systems Moderatoren
Hallo Ramme,
ja das kann man mit einem kleinen Trick realisieren.
Zuerst mal traegst Du alle Clients in die BOOTP Tabelle mit Ihren MAC-Adressen und IP-Adressen ein, die sie erhalten sollen. Dabei musst Du darauf achten, das die Adressen am Stueck liegen! Also als Beispiel vergibst Du fuer 10 Clients Adressen von 192.168.1.11 bis 192.168.1.20 .
Genau diesen Adressbereich traegst Du dann im DHCP Server als Pool Adressen ein. Der Bereich muss immer genau so gross sein, wie Clients tatsaechlich im BOOTP eingetragen sind!
Alle Adressen, die im BOOTP eingetragen sind, werden vom DHCP Server reserviert und stehen nicht mehr zur dynamischen Vergabe zur Verfuegung. Wenn nun alles Adressen aus dem Pool als BOOTP bereits vergeben sind, kann auch nichts mehr dynamisch vergeben werden.
Ciao
LoUiS
ja das kann man mit einem kleinen Trick realisieren.
Zuerst mal traegst Du alle Clients in die BOOTP Tabelle mit Ihren MAC-Adressen und IP-Adressen ein, die sie erhalten sollen. Dabei musst Du darauf achten, das die Adressen am Stueck liegen! Also als Beispiel vergibst Du fuer 10 Clients Adressen von 192.168.1.11 bis 192.168.1.20 .
Genau diesen Adressbereich traegst Du dann im DHCP Server als Pool Adressen ein. Der Bereich muss immer genau so gross sein, wie Clients tatsaechlich im BOOTP eingetragen sind!
Alle Adressen, die im BOOTP eingetragen sind, werden vom DHCP Server reserviert und stehen nicht mehr zur dynamischen Vergabe zur Verfuegung. Wenn nun alles Adressen aus dem Pool als BOOTP bereits vergeben sind, kann auch nichts mehr dynamisch vergeben werden.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Dummy-MACs möglich
Hallo,
ich habe genau dasselbe Problem.
Ein Netzwerk mit 1722,
Eth1 ist als private LAN Konfiguriert, dort hängt das Chefbüro dran [IPs 192.168.1.200-192.168.229]
Eth3 und Eth4 ist für die Nutzung durch MA und legitimierte Externe vorgesehen. (IPs 192.168.1.10-192.168.1.150, wobei es bspw. zwischen .71 und 99 eine Lücke gibt.)
D.h. ich habe zwei Lücken: von .71-99 und .151-199.
Die IPs sollen per DHCP vergeben werden, aber eben nur nach Freischaltung der MAC-Adresse.
Die einzige Chance sind, wenn ich das richtig sehe MAC-Dummies für die IP-Adressen in den Lücken einzupflegen (also 00-00-00-00-00-01 usw.).
Oder gibt es da eine andere Chance?
Gruß
Dschi
ich habe genau dasselbe Problem.
Ein Netzwerk mit 1722,
Eth1 ist als private LAN Konfiguriert, dort hängt das Chefbüro dran [IPs 192.168.1.200-192.168.229]
Eth3 und Eth4 ist für die Nutzung durch MA und legitimierte Externe vorgesehen. (IPs 192.168.1.10-192.168.1.150, wobei es bspw. zwischen .71 und 99 eine Lücke gibt.)
D.h. ich habe zwei Lücken: von .71-99 und .151-199.
Die IPs sollen per DHCP vergeben werden, aber eben nur nach Freischaltung der MAC-Adresse.
Die einzige Chance sind, wenn ich das richtig sehe MAC-Dummies für die IP-Adressen in den Lücken einzupflegen (also 00-00-00-00-00-01 usw.).
Oder gibt es da eine andere Chance?
Gruß
Dschi
Machen wir die Anfrage gleich noch ein wenig komplizierter, ich meine realistischer.
In dem Netz an Eth 3 sollen am Anfang einer, später evtl. 4 oder 5 APs (ist notwendig um eine anständige Auslechtung hinzubekommen) L-54g Wireless angeschlossen werden. Die Clients die nicht in der MAC-Liste des 1722 stehen bekommen dann von dort keine IP zugewiesen. Gibt es die Möglichkeit diese Liste "einfach" in den L-54g zu schieben um sie dort zur MAC-Adressen-Filterung zu verwenden?
Danke für eurre Hilfe
Gruß
Dschi
In dem Netz an Eth 3 sollen am Anfang einer, später evtl. 4 oder 5 APs (ist notwendig um eine anständige Auslechtung hinzubekommen) L-54g Wireless angeschlossen werden. Die Clients die nicht in der MAC-Liste des 1722 stehen bekommen dann von dort keine IP zugewiesen. Gibt es die Möglichkeit diese Liste "einfach" in den L-54g zu schieben um sie dort zur MAC-Adressen-Filterung zu verwenden?
Danke für eurre Hilfe
Gruß
Dschi
Das kannst Du eh knicken, da die BOOTP Tabelle nur max. 64 Eintraege zulaesst. Das sind bei Dir ein paar mehr. Wie geschrieben ist das ja auch nur ein Trick, da eigentlich ein DHCP Server nicht fuer sowas vorgesehen ist.Oder gibt es da eine andere Chance?
Jeder der nur ein wenig Ahnung hat wird sich aus dem lokalen Netz eine IP manuell zuweisen und arbeiten koennen.
Was genau moechtest Du wohin verschieben? Die APs haben in der Reglen nichts mit dem DHCP zu tun, wofuer willst Du die Liste verwenden?Gibt es die Möglichkeit diese Liste "einfach" in den L-54g zu schieben um sie dort zur MAC-Adressen-Filterung zu verwenden?
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Hallo LoUiS,
danke für die Info.
Ich wollte eigentlich eine Lösung, mit der ich auch im kabelgebundenen LAN wie im WLAN Bereich einen MAC-Adressen Filterung nutzen kann.
Irgendwie will mir das mit dem 1722 nicht gelingen... kann das sein, dass das mit dem Gerät net geht? Wie könnte eine Alternative Lösung aussehen?
Gruß
Dschi
danke für die Info.
Ich wollte eigentlich eine Lösung, mit der ich auch im kabelgebundenen LAN wie im WLAN Bereich einen MAC-Adressen Filterung nutzen kann.
Irgendwie will mir das mit dem 1722 nicht gelingen... kann das sein, dass das mit dem Gerät net geht? Wie könnte eine Alternative Lösung aussehen?
Gruß
Dschi
Ich habe mich gerade etwas durchgelesen...
Könnte ein interner PPPoE Server auf dem 1722 eine Lösung sein?
Jeder User muss sich dann mit einem eigenen username&Password anmelden.
Allerdings brauchen wir halt ca. 120 User...
Andere Frage, wieviele Einträge verträgt die MAC-Filtertabelle im 54g?
Gruß Und Dank
Könnte ein interner PPPoE Server auf dem 1722 eine Lösung sein?
Jeder User muss sich dann mit einem eigenen username&Password anmelden.
Allerdings brauchen wir halt ca. 120 User...
Andere Frage, wieviele Einträge verträgt die MAC-Filtertabelle im 54g?
Gruß Und Dank
Hi,
Ciao
LoUiS
Ja, das waere eine Moeglichkeit.Könnte ein interner PPPoE Server auf dem 1722 eine Lösung sein?
In die Tabelle passen 512 Eintraege: "Access-List TABLE: 512 x [..]". Aber eigentlich realisiert man sowas dann in der Groesse schon mit einem Radius Server, allein schon um nicht auf jedem Accesspoint die MAC-Adress Listen pflegen zu muessen.Andere Frage, wieviele Einträge verträgt die MAC-Filtertabelle im 54g?
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Ähm andere Frage: Der Lancom ist ein Router! Wenn es also darum geht Clients - noch dazu 120 Stück - die also somit nicht alle am Lancom Switch direkt angeschlossen sind auszusperren? - Da nimmt man in der Regel managebare Switchs, verpaßt denen eine Positiv Liste mit MAC Adressen und die Clients bekommen keinen Link. - Es sei denn jemand fälscht die MAC 
- Ist das bei dir nicht möglich?
Gruß
COMCARGRU
- Ist das bei dir nicht möglich?Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Das wäre schon gegangen 
Da ich aber nicht so ganz in dem Gebiet zu Hause bin und bisher immer einen Tecci zur Verfügung hatte, habe ich mir extra ein paar Angebote machen lassen. Die Lancom Verteter haben mir alle übereinstimmend gesagt, dass so was mit dem 1722 geht, deshalb wurde ein normaler Switch angeschafft
Der Radius-Server erscheint mir ein möglicher Ausweg zu sein, dafür taugt im Prinzip ja irgendeine ältere Kiste, oder?
Gruß & Dank
Da ich aber nicht so ganz in dem Gebiet zu Hause bin und bisher immer einen Tecci zur Verfügung hatte, habe ich mir extra ein paar Angebote machen lassen. Die Lancom Verteter haben mir alle übereinstimmend gesagt, dass so was mit dem 1722 geht, deshalb wurde ein normaler Switch angeschafft
Der Radius-Server erscheint mir ein möglicher Ausweg zu sein, dafür taugt im Prinzip ja irgendeine ältere Kiste, oder?
Gruß & Dank
Ja, eine kleine Kiste mit nem Linux drauf und FreeRadius reicht dafuer allemal. Dann musst man wenigstens nicht immer die MAC Adressen auf allen APs aendern, sondern nur einmal in der user Datei des Radius. Wuerde ich doch bei so vielen Clients vorziehen.Der Radius-Server erscheint mir ein möglicher Ausweg zu sein, dafür taugt im Prinzip ja irgendeine ältere Kiste, oder?
LANCOM selbst arbeitet derzeit auch ein einer Loesung, die den externen RADIUS Server ueberfluessig machen wird.
Das wird dann mit einer kommenden LCOS Version released.Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
Das heißt ich muss nur eine Übergangslösung basteln... ?LANCOM selbst arbeitet derzeit auch ein einer Loesung, die den externen RADIUS Server ueberfluessig machen wird. Wink Das wird dann mit einer kommenden LCOS Version released.
Je weniger Geräte je weniger Administration und weniger Stromkosten...
Und der Radius funktioniert sowohl im WLAN als auch im LAN?
Kann ich mit dem Radius auch IP-Adressen zuordnen?
Ich muss mir mal ein Testgerät aufsetzen... nur woher nehmen wenn nicht stehlen...
Danke für die Hilfe.
Gruß
Hallo,
weiss wer, wann so ungefähr der Radiusserver ins LCOS integriert werden soll? Innerhalb dieses Jahres? Innerhalb nächstes 1/4 Jahr?
Wird der RADIUS kostenfrei sein, oder wird er wie die VPN-Lizenzen kostenpflilchtig werden?
<-- weiss wer einen guten Switch, der mit RADIUS zusammen arbeitet? LANCOM hat wohl leider keine solchen Geräte im Angebot wenn ich mich nicht irre. Sollten hier im Forum für Geräte die LANCOM nicht anbietet keine Empfehlungen für andere Geraäte erwünscht sein, bitte per PM an mich! -->
Gruß
Jürgen
weiss wer, wann so ungefähr der Radiusserver ins LCOS integriert werden soll? Innerhalb dieses Jahres? Innerhalb nächstes 1/4 Jahr?
Wird der RADIUS kostenfrei sein, oder wird er wie die VPN-Lizenzen kostenpflilchtig werden?
<-- weiss wer einen guten Switch, der mit RADIUS zusammen arbeitet? LANCOM hat wohl leider keine solchen Geräte im Angebot wenn ich mich nicht irre. Sollten hier im Forum für Geräte die LANCOM nicht anbietet keine Empfehlungen für andere Geraäte erwünscht sein, bitte per PM an mich! -->
Gruß
Jürgen
Wo steht den was von einem RADIUS Server im LANCOM? Das hab ich nicht geschrieben. Zu Terminen gibt es hier im Uebrigen keine Informationen.weiss wer, wann so ungefähr der Radiusserver ins LCOS integriert werden soll? Innerhalb dieses Jahres? Innerhalb nächstes 1/4 Jahr?
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.