Mikrotik CAPsMAN MAC-Filter nutzen
Hallo,
ich habe bei mir CAPsMAN eingerichtet, was auch wunderbar funktioniert. Habe darauf zwei WLAN-Netze laufen, "Normal-WLAN" und "GAST-WLAN".
Nun möchte ich die Clients im "Normal-WLAN" nur mit der erlaubten MAC-Adresse reinlassen, die Clients im "GAST-WLAN" können frei rein. Wie richte ich am besten die MAC-Filterung ein? Es gibt so viele Ansätze im Internet, das das eher verwirrt, als hilft. Was würdet ihr empfehlen?
Danke!
ich habe bei mir CAPsMAN eingerichtet, was auch wunderbar funktioniert. Habe darauf zwei WLAN-Netze laufen, "Normal-WLAN" und "GAST-WLAN".
Nun möchte ich die Clients im "Normal-WLAN" nur mit der erlaubten MAC-Adresse reinlassen, die Clients im "GAST-WLAN" können frei rein. Wie richte ich am besten die MAC-Filterung ein? Es gibt so viele Ansätze im Internet, das das eher verwirrt, als hilft. Was würdet ihr empfehlen?
Danke!
Please also mark the comments that contributed to the solution of the article
Content-Key: 355576
Url: https://administrator.de/contentid/355576
Printed on: April 24, 2024 at 23:04 o'clock
9 Comments
Latest comment
/caps-man access-list ist dein Stichwort ...
Also die erlaubten Macs mit Einträgen dort anlegen und am Ende der Liste eine generelle "Reject-Regel" anlegen. First Match wins! Trifft keine Regel als die letzte zu wird der client nicht connecten können (white list).
Du weist aber schon das ein MAC-Filter jeder Dummy umgehen kann?!
Also die erlaubten Macs mit Einträgen dort anlegen und am Ende der Liste eine generelle "Reject-Regel" anlegen. First Match wins! Trifft keine Regel als die letzte zu wird der client nicht connecten können (white list).
/caps-man access-list add action=accept mac-address=11:22:33:44:55:66 interface=Normal-WLAN
/caps-man access-list add action=accept mac-address=11:22:33:44:55:77 interface=Normal-WLAN
/caps-man access-list add action=accept mac-address=11:22:33:44:55:88 interface=Normal-WLAN
/caps-man access-list add action=reject interface=Normal-WLAN
Du weist aber schon das ein MAC-Filter jeder Dummy umgehen kann?!
Zitat von @McLion:
Ja weiß ich, aber was soll man machen? Wenigstens das. Oder gibt es was sichereres?
Klar 802.1x Radius Auth ... WPA-EnterpriseJa weiß ich, aber was soll man machen? Wenigstens das. Oder gibt es was sichereres?
Zitat von @McLion:
Ja... ich meine, habe mein Notebook auf accept gesetzt, aber andere Geräte können sich trotzdem mit dem WLAN verbinden.
Deswegen ist die generelle Reject Regel da! Diese hat keine MAC in der Angabe, wirkt also auf alle anderen die nicht von einer anderen Regel vor dieser Regel gematcht wurden, habe ich doch extra oben geschrieben!Ja... ich meine, habe mein Notebook auf accept gesetzt, aber andere Geräte können sich trotzdem mit dem WLAN verbinden.
Diese muss ganz am Ende stehen! First Match Wins!!!!
Wie bei den Firewall-Regeln auch.
Oder soll ich alle MACs der Welt in die Liste eintragen und auf reject setzen?
Quark .Lerne die CLI, die Winbox zeigt manchmal nicht alles was geht.
So soll's sein . Bidde.