Hallo zusammen,
ich suche nach einer Möglichkeit, den Zugang über die LAN-Ports an einem LANCOM 1780-4G Router abzusichern. Ziel ist, dass sich nur bestimmte Geräte über Ethernet verbinden dürfen, und zwar ausschließlich über ihre MAC-Adresse – ganz ohne Benutzereingabe (wie Passwort oder Zertifikate).
Ich möchte, dass sich nur zuvor definierte Geräte per LAN-Kabel mit dem Netzwerk verbinden können. Die Geräte (z. B. Drucker oder IoT-Geräte) sollen automatisch authentifiziert werden, idealerweise anhand ihrer MAC-Adresse. Die Authentifizierung soll direkt über den 1780-4G Router erfolgen – ohne externen RADIUS-Server oder zusätzlichen Switch.
Was ich bereits versucht habe:
1. RADIUS-Server + 802.1X mit MAB direkt am Router aktiviert
Ich habe den internen RADIUS-Server auf dem LANCOM 1780-4G aktiviert.
Eine MAC-Adresse wurde als Benutzer eingetragen (z. B. xxxxxxxxxxxx, ohne Doppelpunkte, alles klein, habe auch mit : und - getestet)
Passwort ist gleich der MAC-Adresse, „Case sensitive username check“ ist deaktiviert.
Nur PAP ist aktiviert.
802.1X habe ich auf dem Router aktiviert und auf die LAN-Ports angewendet.
Im Log erscheint die Fehlermeldung:
„MAC address is not authorized“
Trotz korrektem Format scheint die Authentifizierung nicht zu funktionieren.
Ich habe zusätzlich versucht, über eine „Protokollbasierte Filterregel“ die MAC-Adresse gezielt zuzulassen (Regeltyp: „Pass packets“, MAC-Adresse als Quelle).
Sobald die Regel aktiv ist, funktioniert keine Kommunikation mehr – auch DHCP etc. ist tot.
Ich habe verschiedene Kombinationen getestet (Match auf Source, Protokoll leer oder 0000), aber ohne Erfolg.
Ist es überhaupt möglich, mit dem LANCOM 1780-4G den LAN-Zugang per MAC-Adresse direkt am Router abzusichern – z. B. über 802.1X + MAB oder über andere Mechanismen?
Falls nicht: Gibt es einen anderen Ansatz, wie man direkt am Router verhindern kann, dass sich unberechtigte Geräte per LAN verbinden?
Ich bin für jede Idee oder Rückmeldung dankbar.
Viele Grüße
Joel
LANCOM 1780-4G – Ethernet-Zugang über MAC-Adresse oder 802.1X absichern?
Moderator: Lancom-Systems Moderatoren
-
Dr.Einstein
- Beiträge: 3275
- Registriert: 12 Jan 2010, 14:10
Re: LANCOM 1780-4G – Ethernet-Zugang über MAC-Adresse oder 802.1X absichern?
Soweit mir bekannt ist das Standard-Format aabbcc-ddeeff.
Re: LANCOM 1780-4G – Ethernet-Zugang über MAC-Adresse oder 802.1X absichern?
Moin,
du hast einen 4G+ ? (10.90 ist nötig: https://www.lancom-systems.de/fileadmin ... Rel_DE.pdf).
Mach doch mal einen Radisu und 802.1x-Trace, dort solltest du die richtigen Formate sehen.
VG
du hast einen 4G+ ? (10.90 ist nötig: https://www.lancom-systems.de/fileadmin ... Rel_DE.pdf).
Mach doch mal einen Radisu und 802.1x-Trace, dort solltest du die richtigen Formate sehen.
VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
-
Dr.Einstein
- Beiträge: 3275
- Registriert: 12 Jan 2010, 14:10
Re: LANCOM 1780-4G – Ethernet-Zugang über MAC-Adresse oder 802.1X absichern?
10.90 ist nur dann nötig, wenn man dynamische VLANs anlernen will auf einem ETH Interface. IEEE x ging schon seit 10.42 oder so.ua hat geschrieben: 02 Mai 2025, 10:34 10.90 ist nötig: https://www.lancom-systems.de/fileadmin ... Rel_DE.pdf).
Re: LANCOM 1780-4G – Ethernet-Zugang über MAC-Adresse oder 802.1X absichern?
Wie bereits geschrieben, der Schlüssel, das Problem näher einzugrenzen, ist der RADIUS-Trace - und zwar sowohl der RADIUS-Server- als auch RADIUS-Client-Trace.
Das Format der "Benutzenamen" ist auf der LAN-Seite einstellbar, über den Menüpunkt Setup/LAN/IEEE802.1X/Username-Attribute-Format. Der Default dafür ist 'aabbccddeeff', also ohne irgendwelche Doppelpunkte oder Bindestriche und in Kleinbuchstaben. Der ist anders als auf der WLAN-Seite, da wird 'aabbcc-ddeeff' verwendet, also mit einem Bindestrich in der Mitte. Der Default wurde seinerzeit bewußt so anders gewählt, um mit anderen Geräten (waren es sogar LANCOM-Switche?) 'kompatibel' zu sein.
Die Protokollfilter sollte man erst mal außen vor lassen, die sind ein komplett getrenntes Modul. Ohne eine genaue Auflistung der Regel mit allen Feldern kann man dazu auch wenig sagen. Eine Regel alleine mit der MAC-Adresse, die man freischalten will, wird dafür aber garantiert nicht reichen. Denn die Filter greifen in beiden Richtungen, und z.B. vom Router ausgehende Broad- und Multicasts, die die Clients erreichen sollen, deckt man damit nicht ab. LANCOMs schicken z.B. DHCP-Offers im Default als Broadcast...
Dass MAC-Adressen in unverschlüsselten Ethernet-Paketen sich leicht fälschen lassen und so ein Zugangsschutz nur begrenzte Wirksamkeit hat, ist auch verstanden?
Das Format der "Benutzenamen" ist auf der LAN-Seite einstellbar, über den Menüpunkt Setup/LAN/IEEE802.1X/Username-Attribute-Format. Der Default dafür ist 'aabbccddeeff', also ohne irgendwelche Doppelpunkte oder Bindestriche und in Kleinbuchstaben. Der ist anders als auf der WLAN-Seite, da wird 'aabbcc-ddeeff' verwendet, also mit einem Bindestrich in der Mitte. Der Default wurde seinerzeit bewußt so anders gewählt, um mit anderen Geräten (waren es sogar LANCOM-Switche?) 'kompatibel' zu sein.
Die Protokollfilter sollte man erst mal außen vor lassen, die sind ein komplett getrenntes Modul. Ohne eine genaue Auflistung der Regel mit allen Feldern kann man dazu auch wenig sagen. Eine Regel alleine mit der MAC-Adresse, die man freischalten will, wird dafür aber garantiert nicht reichen. Denn die Filter greifen in beiden Richtungen, und z.B. vom Router ausgehende Broad- und Multicasts, die die Clients erreichen sollen, deckt man damit nicht ab. LANCOMs schicken z.B. DHCP-Offers im Default als Broadcast...
Ja, ist es, und der 1X-Authenticator ist dafür durchaus ein gangbarer Weg. Wobei mit MAB=immediate streng genommen gar kein 802.1X gemacht wird...Ist es überhaupt möglich, mit dem LANCOM 1780-4G den LAN-Zugang per MAC-Adresse direkt am Router abzusichern – z. B. über 802.1X + MAB oder über andere Mechanismen?
Dass MAC-Adressen in unverschlüsselten Ethernet-Paketen sich leicht fälschen lassen und so ein Zugangsschutz nur begrenzte Wirksamkeit hat, ist auch verstanden?