Gastnetz mit MAC-Filter?

[Radoom]

Hi zusammen.
Vom Standard-FritzOS (7490) kommend:
Ich würde gern auch im Gastnetz der Fritz eine Filterung auf Mac Adressen haben, bzw. neue, unbekannte standardmäßig sperren bis ich ihnen etwas erlaube (sie freischalte für Web-Zugriff), ähnlich wie im normalen Heimnetz. Mit der AVM Firmware kann sich nämlich jedes Device mit einer der Fritz noch unbekannten MAC im GastWlan einloggen, wenn der User das Gastnetz-PW kennt. Das ist nicht "Kindgerecht" :-/ ... Geht da bei Freetz-NG mehr (bzw. weniger)?

Was will ich genau?
Hier läuft normales FritzOS auf einer 7490.
Im regulären LAN/WLAN dürfen nur Geräte etwas, denen ich ein entsprechendes Profil zuordne (Kindersicherung/Zugangsprofile). Alle neuen Geräte bekommen automatisch das "Standard-Profil", und in dem habe ich "du darfst nix nirgends niemals" eingestellt => neue MAC ist in der Sackgasse bis sie ein anderes Profil zugewiesen bekommt. Gut soweit für "vertrauenswürdige" Geräte.

Im Gastnetz hängen hier die unwürdigen wie Nintendo Switch, TV, Küchenmaschine. Kennt nun jemand das Gast-Passwort (weil "er" es aus einem dieser Geräte unvermeidbar auslesen kann), dann kann "er" sich mit einer beliebigen MAC im Gast-WLAN einloggen und unbegrenzt surfen etc pp. By Design. Aber doof!

Wenn ich nun auch im Gastnetz nur von mir händisch eingetragene MAC-Adressen zulassen könnte (bzw. jede "neue" erstmal kategorisch aussperren) wäre ich glücklich. Im "normalen" Heimnetz greifen die Regeln, "neue" MACs dürfen nichts - und im Gast-WLAN wär's dann genauso bis ich was erlaube. Damit könnte ich das GastWLAN als Smarthome-Spyware-Netz laufen lassen und "unberechtigte" User die das Passwort kennen hätten trotzdem nichts mehr davon.

Freetz-NG auf der guten alten 7490 ... wäre das die Lösung, geht da "mehr"?

[fda77]

Du könntest es mit iptables versuchen. Das ist aber experimentell, lässt manche Boxen abstürzen und conntrack funkioniert auf keinen fall -> FAQ , IPPF und so!
Du könntest das einfach modul zur "MAC"-Filterung nutzen, eigentlich sollte das funktionieren. Und dann aller bekannten MACs erlauben und den rest droppen...
Ich weiss aber nicht wie AVM das gast aufder 7490 gelöst hat, also ob es ein eignees Netzwerk-Interface hat

[Radoom]

Habe es nun anders gelöst, in "Hardware". Habe für kleines Geld einen GL.iNet GL-AR300M16-EXT geschossen. Dem kurzerhand "natives" openWrt geflashed, auf der Fritte LAN4 auf Gastnetz gestellt, und ihn da dran "kaskadiert". Auf dem kann ich in der Gui oder der firewall config "block all, allow only xyz" regeln soviel ich will. Die "smarten" Geräte kommen jetzt in das gl-inet Wlan, und er lässt keine Geräte nach draußen telefonieren die ich nicht explizit per MAC freigebe. Bleibt weiter alles getrennt vom Haupt-WLan der Fritte, 2-Stufiges GAstnetz sozusagen, wobei halt der gl-inet der einzige Player im Fritz-Gastnetz ist. Jetzt kann der Nachwuchs bestenfalls noch die MAC der Küchenmaschine clonen... aber dann hat er's auch verdient ;-), fliegt aber spätestens auf, wenn die Dame des Hauses das Abendessen-Rezept nicht "gepushed" bekommt...datt jibbt Ärgjer :-D

[fda77]

Es hat schon Vorteile wenn man nicht wie AVM iptables vermurkst hat
Wenn du jetzt noch mehrere getrennte SSIDs braucht kommt Vlan dazu und der passende Openwrt-Router, oder eine Fritzbox mit Openwrt. Hab ich auch so ;-)