[Problem] LAN-Zugang auf bekannte Geräte beschränken (MAC-Adressfilter)

dasbinich

Neuer User
Mitglied seit
17 Aug 2005
Beiträge
183
Punkte für Reaktionen
5
Punkte
18
Hallo, ich betreibe in meinem Haus eine Ferienwohnung und habe in den Räumen versteckt hinter dem TV Schrank eine Fritzbox 6490 cable im Mesh als Repeater installiert. Den Gästen habe ich einen Wlan Gastzugang eingerichtet.
Wenn aber nun ein Gast sein Gerät über die LAN Buchsen der FB einsteckt, ist dieses Gerät in meinem LAN eingebunden.
Im Wla kann ich unbekannte Geräte mit einem MAC Filter sperren, aber wie kann ich das im LAN machen?
Danke für die Rückmeldungen.
 
Bei einer Kabelverbindung ist das (akuell?!) nicht möglich.

Wie ist denn die 6490 aktuell verbunden? (kabelgebunden oder per WLAN?)

Verbinde diese "einfach" mit dem Gastzugang Deiner Hauptbox, somit erhalten alle mit der 6490 verbundenen Geräte keinen Zugriff auf Dein LAN. (dies ist per WLAN als auch per Kabel möglich)
 
  • Like
Reaktionen: Bugs Bunny
Bitte nicht glauben dass dies etwas bringt im Fall des Falles!
Eine MAC Adresse kann man in wenigen Sekunden klonen, das wird eine mutwilligen Angreifer in keinster Weise ausbremsen!

Wie oben schon erwähnt musst du wenn die ganze Box über den Gast Port an deinem hauptrouter anschließen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Iarn
Hallo, an das mit dem Gastport hatte ich auch schon gedacht. Leider funktioniert das mit meiner LAN Verkabelung nicht. Ich habe immer im Zuge einer Renovierung in mehreren Schritten das LAN Netz erweitert und musste daher drei Switche einbauen. Wenn ich einen Lan Port meiner Hauptbox für die 6490 nehme, sind leider auch mehrere meiner Geräte im Gastnetz.
Einfacher wäre die Einschränkung über einen MAC Filter.
Theoretisch kann natürlich mit leichter krimineller Energie dieser Filter umgangen werden, das traue ich aber meinen überwiegend älteren Gästen nicht zu. Und wenn doch, muss ich damit leben. Zugang zu meinen Daten auf dem NAS haben sie dann immer noch nicht. Oder sehe ich das falsch?
 
Ein Mac-Filter, der sämtliche bekannten und unbekannten Mac-Adressen sperrt, lässt sich durch das Klonen welcher Mac-Adresse austricksen? Nur in einem Netz mit realen zugelassenen Mac-Adressen lassen sich selbige auch klonen, nur um das mal klarzustellen.
 
Muss das denn unbedingt die 6490 sein?
Hänge doch einen AP mit nur einem Port hin und du hast das Problem nicht (wenn nicht ein Gast auch noch einen Switch dazwischen klemmt).
Oder packe die FritzBox, die ja eh versteckt hinter dem TV-Schrank ist in eine abschließbaren Kasten.
Nochmal oder schließe die benötigten Port einfach ab (https://www.conrad.de/de/p/roline-m...YeExYW_63r70nnbWK-kaAor3EALw_wcB&refresh=true)
 
Hallo, an der 6490 ist ein Sat Receiver angeschlossen. Wichtig ist mir aber das bessere WLan über die Fritzbox in der Ferienwohnung.
 
Letztlich ist das dann eh alles Augenwischerei.
Egal ob du die Box nun eischließt oder nicht, wenn ich nen Zugang haben will hole ich mir das Kabel welches zum Sat-Receiver geht.
Da hilft wirklich nur alles an das Gastnetz zu hängen.
Wenn es dir ganz wichtig ist kannst du das auch über V-Lan realisieren um deine restlichen Geräte an dem LAN-Zweig nicht im Gastnetz zu haben. Dazu bräuchtest du aber weitere Hardware.

Und wie stoney oben schrieb, die Box einfach per WLAN ins Gastnetz hängen geht auch nicht?
Auch nicht mit einem AP im für Gäste nicht zugängigen Bereich?
 
Ich könnte die Box in dem darunter liegenden Keller installieren. Dann hätte ich das Wlan durch die Kellerdecke und die Box muss ich dann per Wlan-Stick einbinden. Funktionieren würde das auch.
Danke schon mal an das Forum.
Interessieren würde mich aber weiterhin eine Lösung über einen Mac Filter.
 
Für den Betrieb in/für Ferienwohnungen in Deutschland kann ich nur einen Freifunk-Router empfehlen.
Damit haben deine Gäste keinerlei Zugriff auf dein Heimnetz, du kannst den Datendurchsatz einstellen, ein Passwort ist nicht nötig und rechtlich bist du auch auf der sicheren Seite, egal was die Gäste im Internet machen:
 
Wenn aber nun ein Gast sein Gerät über die LAN Buchsen der FB einsteckt, ist dieses Gerät in meinem LAN eingebunden.
Das ist dann imo noch das geringste Problem, siehe unten.

Im Wla kann ich unbekannte Geräte mit einem MAC Filter sperren, aber wie kann ich das im LAN machen?
  1. Einen MAC-Adressfilter gibt es nicht und macht in diesem Fall auch keinen Sinn, da man den mit jedem Switch dazwischen umgehen kann.
  2. Wenn der Gast physischen Zugriff auf die Fritzbox hat, ist eh alles umsonst. Mit physischem Zugriff kann man die Konfiguration komplett auslesen und entschlüsseln (dazu braucht man die vorh. Kennwörter nicht zu kennen), man hat dann alle Zugangsdaten die auf der Fritzbox gespeichert sind. Sinnlos, da zu versuchen noch irgendetwas mit einem MAC-Adressfilter zu schützen.

Es gibt also nur eine Lösung, der Gast darf keinen physischen Zugriff zur Box erhalten (das betrifft auch Netzteil und die LAN-Ports, denn es genügt schon Zugriff auf die Stromversorgung und einer der 4 LAN-Ports um an die Konfiguration der Box zu kommen). Blöd also, wenn da bspw. ein LAN-Kabel irgendwo im Zugriffsbereich des Gastes liegt (zum Receiver bspw.). Und wie gesagt, da würde auch kein MAC-Filter schützen, den Bootloader der Box würde das nicht interessieren.

Edit:
Ich würde also auch vorschlagen, die Box ausschließlich in das Gast-LAN der Hauptbox zu integrieren. Mit geeigneten Ethernet-Switches würde das übrigens auch ohne neu zu verlegende Netzwerkkabel gehen. Man bräuchte nur ein weiteres Netzwerkkabel welches von der Hautbox zum 1. Switch geht (für das sog. Gast-LAN, der Ethernet-Switch taggt das dann in das passendes VLAN und am "Ziel-Switch" wird dieses VLAN dann einem Port zugewiesen wo dann die Fritzbox für die Ferienwohnung angeschlossen wird). Auf der Box in der Ferienwohnung sollten dann auch keine "kritischen" Zugangsdaten gespeichert/vorhanden sein.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: dasbinich
Ok, die Box muss dort weg. Danke ans Forum.
 

Zurzeit aktive Besucher

Statistik des Forums

Themen
246,158
Beiträge
2,247,073
Mitglieder
373,677
Neuestes Mitglied
MK34
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.