Forum Ljud, bild och kommunikation Nätverk och uppkoppling Tråd Inlägg

pfSense, larm när ny enhet ansluter?

1 2
Skriv svar
Permalänk
Medlem

pfSense, larm när ny enhet ansluter?

Hej hopp:)

Jag har problem med en familjemedlem och dennes "kompisar"
Med DHCP avaktiverat hittar dom fasta IP.
Med begränsat antal fasta IP lyckas dom använda befintliga vilande.
Jag har inte lyckats spärra IP adresserna till mac adresser.
Har hittat "kompisar" sittandes på trottoaren uppkopplade på nätverket.
Uppfinningsrikedomen är extrem, givetvis med hjälp från familjemedlemmen.

Söker efter en funktion där jag får larm via mail när en ny enhet ansluter till nätverket antingen med en ny IP-adress eller om mac adressen ändras på en befintlig.

Finns det?

Visa signatur

nörd

Redigera
Citera flera Citera
Permalänk
Medlem

Jag förstår inte riktigt, men du är ute efter att spärra folk utanför ditt hus från att ansluta? Är det för att någon ger dem trådlösa nyckeln?

Visa signatur

.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av LovePig:

Hej hopp:)

Jag har problem med en familjemedlem och dennes "kompisar"
Med DHCP avaktiverat hittar dom fasta IP.
Med begränsat antal fasta IP lyckas dom använda befintliga vilande.
Jag har inte lyckats spärra IP adresserna till mac adresser.
Har hittat "kompisar" sittandes på trottoaren uppkopplade på nätverket.
Uppfinningsrikedomen är extrem, givetvis med hjälp från familjemedlemmen.

Söker efter en funktion där jag får larm via mail när en ny enhet ansluter till nätverket antingen med en ny IP-adress eller om mac adressen ändras på en befintlig.

Finns det?

Gå till inlägget

Borde inte detta fungera? Finns under "Services -> DHCP Server".

Deny unknown clients: Only the clients defined below will get DHCP leases from this server.

Bara du sätter statiska IPs för dina och familjens enheter innan du kryssar i detta alternativet.

Visa signatur

| AMD R9 3900X | Asus ROG Strix X570-F Gaming | Palit Jetstream 2070 Super | 16GB DDR4 | Noctua NH-D15 |

Redigera
Citera flera Citera
Permalänk
Medlem

@LovePig: Sätt upp radiusautentisering och stryp tillgången till Wifi när "familjemedlemen" missköter sig?

Visa signatur

CPU: Det finns. GPU: Lite snabbare än den gamla! RAM: Absolut! Nätagg: Alldeles lagom. Kylning: Tyst och tillräcklig.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Pertan:

Borde inte detta fungera? Finns under "Services -> DHCP Server".

Deny unknown clients: Only the clients defined below will get DHCP leases from this server.

Bara du sätter statiska IPs för dina och familjens enheter innan du kryssar i detta alternativet.

Gå till inlägget

@LovePig:
Du ska inte behöva ha fast ip för att använda ACL för macadresser. Väldigt osmidigt med fasta ipt på klienter. Men som Pertan skriver så är spärra på macadress det enklaste. Eller någon typ av radius/inlogg. Kolla också om du har någon plugin som du kan använda.

Visa signatur

.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av LovePig:

Söker efter en funktion där jag får larm via mail när en ny enhet ansluter till nätverket antingen med en ny IP-adress eller om mac adressen ändras på en befintlig.

Finns det?

Gå till inlägget

https://en.wikipedia.org/wiki/Arpwatch

Redigera
Citera flera Citera
Permalänk
Medlem

Japp, nyckeln lämnas ut. och inte bara min. ett gäng drar runt och kopplar upp sig överallt i byn och laddar ner mycket konstigt.

Statiska ip har jag redan.
Lyckades aldrig riktigt med att låsa ip mot mac-adress men ska ge mig på det igen.
Det är förmodligen lösningen.

Sen hade Arpwatch varit perfekt, men finns inte längre som paket till pfSense

Visa signatur

nörd

Redigera
Citera flera Citera
Permalänk
Medlem

Kan du inte göra det enkelt och sänka signalstyrkan eller behöver du själv ha tillgång till nätverket från trottoaren?

Visa signatur

Marantz NR1605, Rotel RB1090, Ino Audio piPs
SMSL SP200 THX Achromatic Audio Amplifier 888, SMSL M400, Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060, ATH-M40x, Sennheiser HD660S, DROP X KOSS ESP/95X, Koss KPH30i, DROP X HiFiMan HE4XX

Redigera
Citera flera Citera
Permalänk
Medlem

Vore ju roligare om du satt upp en honeypot gör en landnings sida men en "anslut" knapp, och med texten "När du klickar anslut så godkänner du användaravtalet." och i det användaravtalet kan du ha med att du är tillåten att installera https://www.youtube.com/watch?v=BGm8idw45as

(Försöker hålla inlägget på rätt sida om lagen.. Ta inlägget med en hink salt)

Visa signatur

CPU: Ryzen 9 3900x Noctua NH-D14 MOBO: TUF Gaming X570-PLUS GPU: GTX 980 RAM: 32 GB 3200 MHz Chassi: R4 PSU: Corsair AX860 Hörlurar: SteelSeries 840 Mus: Logitech G502 Lightspeed V.v. nämn eller citera mig för att få svar.

Redigera
Citera flera Citera
Permalänk
Medlem

Alternativt byt lösen ord på wifi och säg sen som det är att vederbörande inte får ge ut nyckeln och då denne gjort eller fortsatt gör det så får man va utan wifi...
annars så skulle man ju kunna sätta upp ett gäst nät med ett lösenord som denne familje medlem kan och när vederbörande har kompisar hemma som behöver internet så aktiverar man det för att sedan stänga av det när dom lämnat.

Kan man inte också kan sätta data gränser på de flesta gäst nät sätt den lågt så får dom surfa med eget internet sen.

Personligen hade jag fipplat med radius.

Min syster hade samma problem där räckte det dock med att sätta en deny list för icke kända mac adresser och sedan hålla tyst om vad lösenordet för wifi va

Redigera
Citera flera Citera
Permalänk
Medlem

I och med att det låter som om du är i kontroll över nätverket så är det väl enklast att exkludera familjemedlemmen som inte sköter sig och låsa in routern. I annat fall så se till att ha kontrollen över nycklarna. Varför skapa massa nya problem...

Redigera
Citera flera Citera
Permalänk
Medlem

Tänker jag helt konstigt om jag tycker det låter enklare att bara byta kod till WiFi och sedan själv skriva in det på din familjs enheter? Då kan ju hen inte dela ut det.

Själv så skriver jag alltid själv in WiFi på kompisarns telefoner, och ger inte ut mitt lösenord.

Visa signatur

White Heart i5-6600k@4.8ghz 1.325v ~ EVGA 780TI SC+ @ 1304mhz ~ 2x8 gb Corsair 2166mhz ~ Samsung 840 240gb ~ Crossover 2795 QHD 1440p 120hz

3D-Mania i7-6700k@5.0ghz 1.396 ~ EVGA 1080 FTW @ 2189/11500 ~ 4x4 Corsair Dominator Platinum 3800 mhz ~ Samsung 850 Pro 512gb ~ Acer Predator x34a, 3440x1440 100hz

Redigera
Citera flera Citera
Permalänk
Medlem

FreeRADIUS

Hej!

Jag hade definitivt satt upp Wi-Fi access punkten till att använda sig av FreeRADIUS (på pfSense)!

Sätta olika lösen på respektive användare -> enklare när missbruk sker att bara ändra ett lösen på en enhet.

Verkar som om att man kan trottla användare per användare, har dock inte testat ...

Man kan troligtvis även kolla någon (FreeRADIUS) log med crontab/script för att fånga upp nya MAC adresser etc.

Ha det!

Redigera
Citera flera Citera
Permalänk
Inaktiv

Beklagar din sits. Trodde inte idag att det var ett så stort problem då access till internet finns överallt, kanske är det lättare i det här fallet än andra?

Enklast är nog att köra en omvänd MAC adress lås, dvs du anger de MAC adresserna du litar på = Familjemedlemmarna - alla andra kommer inte ut på internet.

Tyvärr vet jag inte om man kan göra det i pfsense, då det är primärt en L3 device.

Om det inte går så är nog enda sättet att installera certifikat, förmodligen allt för komplicerat om man ställer det i relation till att be någon att inte dela med sig av lösenordet.

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av C0mbat:

Hag hade definitivt satt upp Wi-Fi access punkten till att använda sig av FreeRADIUS (på pfSense)!

Gå till inlägget

Fast här handlar det nog om att lösenordet sprids, det löser ju inte Radius...

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av studiox_swe:

Enklast är nog att köra en omvänd MAC adress lås, dvs du anger de MAC adresserna du litar på = Familjemedlemmarna - alla andra kommer inte ut på internet.
Tyvärr vet jag inte om man kan göra det i pfsense, då det är primärt en L3 device.

Gå till inlägget

Bra förslag, och det går att göra i pfsense under "Services / DHCP / MAC Allow"
Sen för att tighta till det kan man skapa en brandväggsregel som blockerar icke önskvärda enheter.

Visa signatur

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av LovePig:

Sen hade Arpwatch varit perfekt, men finns inte längre som paket till pfSense

Gå till inlägget

Arpwatch behöver inte ligga i din router, det räcker med att den sitter i samma broadcast-domän (bakom din router). Du kan skaffa t.ex en raspberry som du kör arpwatch på. Funkar utmärkt hemma hos mig.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av grimboso:

Tänker jag helt konstigt om jag tycker det låter enklare att bara byta kod till WiFi och sedan själv skriva in det på din familjs enheter? Då kan ju hen inte dela ut det.

Gå till inlägget

På windows-enheter går lösenordet att läsa ut i klartext. Jag har inte forskatt i Android, och iPhones, men jag kan göra samma sak på min telefon, Nokia N9, med MeeGo.

Har man lämnat ifrån sig lösenordet, oavsett hur, så har mottagaren alltid en möjlighet att gräva fram det.
B!

Visa signatur

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av Plattelöparn:

Bra förslag, och det går att göra i pfsense under "Services / DHCP / MAC Allow"
Sen för att tighta till det kan man skapa en brandväggsregel som blockerar icke önskvärda enheter.

Gå till inlägget

Fast det hindrar ju inte att man sätter en fast adress, eller menar du att man kan göra en regel som blockar alla IP adresser som inte kommer från DHCP?

På många switchar kan man ju hindra att enheter som inte fått adress via dhcp snooping inte får prata så kanske går i pfsense också

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av madtop:

Arpwatch behöver inte ligga i din router, det räcker med att den sitter i samma broadcast-domän (bakom din router). Du kan skaffa t.ex en raspberry som du kör arpwatch på. Funkar utmärkt hemma hos mig.

Gå till inlägget

Det är ju rätt troligt att personen bara har en broadcastdomän, då kan det ju köras på en stationär dator lika väl, som en liten service

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av studiox_swe:

Fast det hindrar ju inte att man sätter en fast adress, eller menar du att man kan göra en regel som blockar alla IP adresser som inte kommer från DHCP?

På många switchar kan man ju hindra att enheter som inte fått adress via dhcp snooping inte får prata så kanske går i pfsense också

Gå till inlägget

Ja, indirekt kopplat till DHCP. Man lägger till fasta adresser under DHCP, med MAC-ACL. Man kan ju göra ett alias med betrodda enheter och sen göra en brandväggsregel som blockerar allt utom adresserna i aliaset. Det hindrar ju dock inte att nån sätter ett fast ip på sin enhet, men man kan även lägga till ACL under DNS Resolver. Ingen DNS = ingen surf.
Man kan ju ha arpwatch eller liknande, men det känns lite som att ha en bjällra som plingar när folk kommer genom ytterdörren. De flesta stänger ju och låser sin ytterdörr...

Visa signatur

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Redigera
Citera flera Citera
Permalänk
Inaktiv
Skrivet av Plattelöparn:

Ja, indirekt kopplat till DHCP. Man lägger till fasta adresser under DHCP, med MAC-ACL. Man kan ju göra ett alias med betrodda enheter och sen göra en brandväggsregel som blockerar allt utom adresserna i aliaset. Det hindrar ju dock inte att nån sätter ett fast ip på sin enhet, men man kan även lägga till ACL under DNS Resolver. Ingen DNS = ingen surf.

Gå till inlägget

Som jag förstod det så var just det problemet, att man satte en egen IP adress

Ganska lätt på Juniper SRX:

anders@loophole# show ethernet-switching-options
secure-access-port
{ interface ge-0/0/0.0 { allowed-mac 00:23:18:10:a6:8b; } }

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Plattelöparn:

Ingen DNS = ingen surf.

Gå till inlägget

Fast det går ju att komma runt genom att ansluta direkt till en känd IP för, exempelvis, en VPN, och sen använda den tjänsten, eller Googles DNS.
Inte för att jag vet om det är så troligt att någon skulle göra sig besväret för att surfa på någon annans nät, men trots allt.
Jag hade nog kört på en MAC whitelist, och personliga lösenord. Den som lämnar ut sitt lösenord, och låter polarna klona sin MAC, får vara utan Internet resten av månaden.

Ett annat alternativ, som antagligen är enklare är att säga till vederbörande att man inte längre får någon tillgång till WiFi't, och dra en kabel till vederbörandes rum för fast uppkoppling. Har man inte lösenordet, kan man inte ge det till någon annan.
B!

Visa signatur

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Redigera
Citera flera Citera
Permalänk
Medlem

provar nu med mina mac-adresser i mac allow och det har fungerat bra än så länge.
jag har fått en ny titel "förbannade gubbjävel"

men dom här ungdomarna är bättre än mig på det här så jag får studera vidare på alla era förslag.

Tackar ödmjukast för hjälpen!

Visa signatur

nörd

Redigera
Citera flera Citera
Permalänk
Medlem

Vad är det för gangsterhåla du bor i? Tormestorp ser ju rätt normalt ut på google maps.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av LovePig:

jag har fått en ny titel "förbannade gubbjävel"

Gå till inlägget

Det är en hederstitel. Sådana får man när man gör saker rätt.

Tänk på att om du lämnar en Windows-dator igång, och med inloggad användare, så går det att se både lösenord till nätverket, och MAC. Att klona MAC är inte svårt, och sedan är de inne igen. Ditt nätverk kan få lite spel om man försöker logga in samtidigt som den datorn är på nätverket, men vem som blir utkastad, om alls, blir det nog mest slumpen som avgör.

Jag gratulerar, och önskar lycka till.
B!

Visa signatur

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Bozzeta:

Vad är det för gangsterhåla du bor i? Tormestorp ser ju rätt normalt ut på google maps.

Gå till inlägget

det är en håla, men en riktigt tyst håla
bara just några som absolut ska använda andras wifi, har väl blivit en sport

Visa signatur

nörd

Redigera
Citera flera Citera
Permalänk
Medlem

Det finns roligare grejer du kan göra istället för att blocka access!
Sätt upp en proxy server som levererar annat än vad användaren förväntar sig.
Roliga exepel är Upside-Down-Ternet och kittenwar.

Man kan vara hur kreativ man vill.
Kanske redirecta alla sidor till rickroll.

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Fast "upside down" Kitten " osv, fungerar bara om "lånarna" använder "Internet".
Om de i stället sitter med appar och streamar, chattar, osv, eller laptopen och kör torrents, så gör det ingen "nytta".
B!

Visa signatur

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Redigera
Citera flera Citera
Permalänk
Medlem

Enklaste och säkraste i samband med pfSense, konsument och WiFi är:

  • Krypterad WiFi.

  • WiFi nekar okända MAC-adresser.

  • WiFi normalt ej synlig.

  • Captive Portal i pfSense med SSL/TLS inloggning och max 1 samtidig användare per användarkonto med automatisk utslängning efter 60-120 minuter.

Visa signatur

Grundregel för felsökning: Bryt och begränsa.

Redigera
Citera flera Citera
1 2
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara