pfSense, larm när ny enhet ansluter?

Trädvy Permalänk
Medlem
Registrerad
Jul 2011

pfSense, larm när ny enhet ansluter?

Hej hopp:)

Jag har problem med en familjemedlem och dennes "kompisar"
Med DHCP avaktiverat hittar dom fasta IP.
Med begränsat antal fasta IP lyckas dom använda befintliga vilande.
Jag har inte lyckats spärra IP adresserna till mac adresser.
Har hittat "kompisar" sittandes på trottoaren uppkopplade på nätverket.
Uppfinningsrikedomen är extrem, givetvis med hjälp från familjemedlemmen.

Söker efter en funktion där jag får larm via mail när en ny enhet ansluter till nätverket antingen med en ny IP-adress eller om mac adressen ändras på en befintlig.

Finns det?

....

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Dec 2002

Jag förstår inte riktigt, men du är ute efter att spärra folk utanför ditt hus från att ansluta? Är det för att någon ger dem trådlösa nyckeln?

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Plats
Västmanland
Registrerad
Jul 2001
Skrivet av LovePig:

Hej hopp:)

Jag har problem med en familjemedlem och dennes "kompisar"
Med DHCP avaktiverat hittar dom fasta IP.
Med begränsat antal fasta IP lyckas dom använda befintliga vilande.
Jag har inte lyckats spärra IP adresserna till mac adresser.
Har hittat "kompisar" sittandes på trottoaren uppkopplade på nätverket.
Uppfinningsrikedomen är extrem, givetvis med hjälp från familjemedlemmen.

Söker efter en funktion där jag får larm via mail när en ny enhet ansluter till nätverket antingen med en ny IP-adress eller om mac adressen ändras på en befintlig.

Finns det?

Borde inte detta fungera? Finns under "Services -> DHCP Server".

Deny unknown clients: Only the clients defined below will get DHCP leases from this server.

Bara du sätter statiska IPs för dina och familjens enheter innan du kryssar i detta alternativet.

| Intel i7 2600K @ 4,4 | Asus P8P67 Deluxe | MSI GTX980 Ti | 16GB DDR3 |

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Feb 2010

@LovePig: Sätt upp radiusautentisering och stryp tillgången till Wifi när "familjemedlemen" missköter sig?

CPU: Hyffsat snabb! GPU: Finns också! RAM: Absolut! Nätagg: Alldeles lagom. Kylning: Tillräcklig.

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Dec 2002
Skrivet av Pertan:

Borde inte detta fungera? Finns under "Services -> DHCP Server".

Deny unknown clients: Only the clients defined below will get DHCP leases from this server.

Bara du sätter statiska IPs för dina och familjens enheter innan du kryssar i detta alternativet.

@LovePig:
Du ska inte behöva ha fast ip för att använda ACL för macadresser. Väldigt osmidigt med fasta ipt på klienter. Men som Pertan skriver så är spärra på macadress det enklaste. Eller någon typ av radius/inlogg. Kolla också om du har någon plugin som du kan använda.

[size="1"]*signatur raderad*, referrallänkar behöver vi inte gömma i signaturer (§8 marknadsföring)[/size] Till MOD: Ditt smartskafft, man gömmer inte något som är helt synligt!

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av LovePig:

Söker efter en funktion där jag får larm via mail när en ny enhet ansluter till nätverket antingen med en ny IP-adress eller om mac adressen ändras på en befintlig.

Finns det?

https://en.wikipedia.org/wiki/Arpwatch

Trädvy Permalänk
Medlem
Registrerad
Jul 2011

Japp, nyckeln lämnas ut. och inte bara min. ett gäng drar runt och kopplar upp sig överallt i byn och laddar ner mycket konstigt.

Statiska ip har jag redan.
Lyckades aldrig riktigt med att låsa ip mot mac-adress men ska ge mig på det igen.
Det är förmodligen lösningen.

Sen hade Arpwatch varit perfekt, men finns inte längre som paket till pfSense

....

Trädvy Permalänk
Medlem
Plats
Karlstad
Registrerad
Mar 2002

Kan du inte göra det enkelt och sänka signalstyrkan eller behöver du själv ha tillgång till nätverket från trottoaren?

Marantz NR1605, Rotel RB1090, Ino Audio piPs
Audio-Gd NFB-11 (2015), Objective2+ODAC RevB, Audeze LCD-2 Rosewood, Monoprice M1060

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Jan 2011

Vore ju roligare om du satt upp en honeypot gör en landnings sida men en "anslut" knapp, och med texten "När du klickar anslut så godkänner du användaravtalet." och i det användaravtalet kan du ha med att du är tillåten att installera https://www.youtube.com/watch?v=BGm8idw45as

(Försöker hålla inlägget på rätt sida om lagen.. Ta inlägget med en hink salt)

CPU: I7 4770k Noctua DH-14 MOBO: Maximus VI Hero GPU: Nvidia 980 RAM: 16 GB Corsair RAM 1600 MHz SSD: Corsair force GT 120 GB, OC Agility 3 120 GB HDD: WD 2TB Chassi: R4 PSU: Corsair AX860 Ljud: Asus Xonar D2X Hörlurar: AKG K 240 MK II Microfon: Modmic 4 Mus: Logitech G500s Matta: Steelseries QcK Mini Skärmar: en BenQ 22' och en Samsung 19'. V.v. citera mig för att få svar.

Trädvy Permalänk
Medlem
Plats
/home/pa
Registrerad
Jul 2004

Alternativt byt lösen ord på wifi och säg sen som det är att vederbörande inte får ge ut nyckeln och då denne gjort eller fortsatt gör det så får man va utan wifi...
annars så skulle man ju kunna sätta upp ett gäst nät med ett lösenord som denne familje medlem kan och när vederbörande har kompisar hemma som behöver internet så aktiverar man det för att sedan stänga av det när dom lämnat.

Kan man inte också kan sätta data gränser på de flesta gäst nät sätt den lågt så får dom surfa med eget internet sen.

Personligen hade jag fipplat med radius.

Min syster hade samma problem där räckte det dock med att sätta en deny list för icke kända mac adresser och sedan hålla tyst om vad lösenordet för wifi va

Chassi: Fractal Design Node 304, GPU: EVGA GeForce GTX 670, CPU: Intel i5 3570K Kylare: Antec 620, SSD: Samsung 840 120GB, PSU: Fractal Design Integra R2 650W, Mobo: ASRock Z77E-ITX, RAM: Corsair Vengeance LP 2x8GB, OS: Win7 Pro

Trädvy Permalänk
Medlem
Registrerad
Maj 2003

I och med att det låter som om du är i kontroll över nätverket så är det väl enklast att exkludera familjemedlemmen som inte sköter sig och låsa in routern. I annat fall så se till att ha kontrollen över nycklarna. Varför skapa massa nya problem...

Trädvy Permalänk
Medlem
Plats
Visby
Registrerad
Apr 2015

Tänker jag helt konstigt om jag tycker det låter enklare att bara byta kod till WiFi och sedan själv skriva in det på din familjs enheter? Då kan ju hen inte dela ut det.

Själv så skriver jag alltid själv in WiFi på kompisarns telefoner, och ger inte ut mitt lösenord.

White Heart i5-6600k@4.8ghz 1.325v ~ EVGA 780TI SC+ @ 1304mhz ~ 2x8 gb Corsair 2166mhz ~ Samsung 840 240gb ~ Crossover 2795 QHD 1440p 120hz

3D-Mania i7-6700k@5.0ghz 1.396 ~ EVGA 1080 FTW @ 2189/11500 ~ 4x4 Corsair Dominator Platinum 3800 mhz ~ Samsung 850 Pro 512gb ~ Acer Predator x34a, 3440x1440 100hz

Trädvy Permalänk
Medlem
Registrerad
Jun 2012

FreeRADIUS

Hej!

Jag hade definitivt satt upp Wi-Fi access punkten till att använda sig av FreeRADIUS (på pfSense)!

Sätta olika lösen på respektive användare -> enklare när missbruk sker att bara ändra ett lösen på en enhet.

Verkar som om att man kan trottla användare per användare, har dock inte testat ...

Man kan troligtvis även kolla någon (FreeRADIUS) log med crontab/script för att fånga upp nya MAC adresser etc.

Ha det!

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010

Beklagar din sits. Trodde inte idag att det var ett så stort problem då access till internet finns överallt, kanske är det lättare i det här fallet än andra?

Enklast är nog att köra en omvänd MAC adress lås, dvs du anger de MAC adresserna du litar på = Familjemedlemmarna - alla andra kommer inte ut på internet.

Tyvärr vet jag inte om man kan göra det i pfsense, då det är primärt en L3 device.

Om det inte går så är nog enda sättet att installera certifikat, förmodligen allt för komplicerat om man ställer det i relation till att be någon att inte dela med sig av lösenordet.

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av C0mbat:

Hag hade definitivt satt upp Wi-Fi access punkten till att använda sig av FreeRADIUS (på pfSense)!

Fast här handlar det nog om att lösenordet sprids, det löser ju inte Radius...

Trädvy Permalänk
Medlem
Registrerad
Feb 2016
Skrivet av studiox_swe:

Enklast är nog att köra en omvänd MAC adress lås, dvs du anger de MAC adresserna du litar på = Familjemedlemmarna - alla andra kommer inte ut på internet.
Tyvärr vet jag inte om man kan göra det i pfsense, då det är primärt en L3 device.

Bra förslag, och det går att göra i pfsense under "Services / DHCP / MAC Allow"
Sen för att tighta till det kan man skapa en brandväggsregel som blockerar icke önskvärda enheter.

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Trädvy Permalänk
Medlem
Registrerad
Mar 2012
Skrivet av LovePig:

Sen hade Arpwatch varit perfekt, men finns inte längre som paket till pfSense

Arpwatch behöver inte ligga i din router, det räcker med att den sitter i samma broadcast-domän (bakom din router). Du kan skaffa t.ex en raspberry som du kör arpwatch på. Funkar utmärkt hemma hos mig.

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003
Skrivet av grimboso:

Tänker jag helt konstigt om jag tycker det låter enklare att bara byta kod till WiFi och sedan själv skriva in det på din familjs enheter? Då kan ju hen inte dela ut det.

På windows-enheter går lösenordet att läsa ut i klartext. Jag har inte forskatt i Android, och iPhones, men jag kan göra samma sak på min telefon, Nokia N9, med MeeGo.

Har man lämnat ifrån sig lösenordet, oavsett hur, så har mottagaren alltid en möjlighet att gräva fram det.
B!

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av Plattelöparn:

Bra förslag, och det går att göra i pfsense under "Services / DHCP / MAC Allow"
Sen för att tighta till det kan man skapa en brandväggsregel som blockerar icke önskvärda enheter.

Fast det hindrar ju inte att man sätter en fast adress, eller menar du att man kan göra en regel som blockar alla IP adresser som inte kommer från DHCP?

På många switchar kan man ju hindra att enheter som inte fått adress via dhcp snooping inte får prata så kanske går i pfsense också

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av madtop:

Arpwatch behöver inte ligga i din router, det räcker med att den sitter i samma broadcast-domän (bakom din router). Du kan skaffa t.ex en raspberry som du kör arpwatch på. Funkar utmärkt hemma hos mig.

Det är ju rätt troligt att personen bara har en broadcastdomän, då kan det ju köras på en stationär dator lika väl, som en liten service

Trädvy Permalänk
Medlem
Registrerad
Feb 2016
Skrivet av studiox_swe:

Fast det hindrar ju inte att man sätter en fast adress, eller menar du att man kan göra en regel som blockar alla IP adresser som inte kommer från DHCP?

På många switchar kan man ju hindra att enheter som inte fått adress via dhcp snooping inte får prata så kanske går i pfsense också

Ja, indirekt kopplat till DHCP. Man lägger till fasta adresser under DHCP, med MAC-ACL. Man kan ju göra ett alias med betrodda enheter och sen göra en brandväggsregel som blockerar allt utom adresserna i aliaset. Det hindrar ju dock inte att nån sätter ett fast ip på sin enhet, men man kan även lägga till ACL under DNS Resolver. Ingen DNS = ingen surf.
Man kan ju ha arpwatch eller liknande, men det känns lite som att ha en bjällra som plingar när folk kommer genom ytterdörren. De flesta stänger ju och låser sin ytterdörr...

Här hade jag tänkt skriva ett skämt om UDP,
men var osäker på om det skulle nå fram.

Trädvy Permalänk
Inaktiv
Registrerad
Mar 2010
Skrivet av Plattelöparn:

Ja, indirekt kopplat till DHCP. Man lägger till fasta adresser under DHCP, med MAC-ACL. Man kan ju göra ett alias med betrodda enheter och sen göra en brandväggsregel som blockerar allt utom adresserna i aliaset. Det hindrar ju dock inte att nån sätter ett fast ip på sin enhet, men man kan även lägga till ACL under DNS Resolver. Ingen DNS = ingen surf.

Som jag förstod det så var just det problemet, att man satte en egen IP adress

Ganska lätt på Juniper SRX:

anders@loophole# show ethernet-switching-options
secure-access-port
{ interface ge-0/0/0.0 { allowed-mac 00:23:18:10:a6:8b; } }

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003
Skrivet av Plattelöparn:

Ingen DNS = ingen surf.

Fast det går ju att komma runt genom att ansluta direkt till en känd IP för, exempelvis, en VPN, och sen använda den tjänsten, eller Googles DNS.
Inte för att jag vet om det är så troligt att någon skulle göra sig besväret för att surfa på någon annans nät, men trots allt.
Jag hade nog kört på en MAC whitelist, och personliga lösenord. Den som lämnar ut sitt lösenord, och låter polarna klona sin MAC, får vara utan Internet resten av månaden.

Ett annat alternativ, som antagligen är enklare är att säga till vederbörande att man inte längre får någon tillgång till WiFi't, och dra en kabel till vederbörandes rum för fast uppkoppling. Har man inte lösenordet, kan man inte ge det till någon annan.
B!

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Medlem
Registrerad
Jul 2011

provar nu med mina mac-adresser i mac allow och det har fungerat bra än så länge.
jag har fått en ny titel "förbannade gubbjävel"

men dom här ungdomarna är bättre än mig på det här så jag får studera vidare på alla era förslag.

Tackar ödmjukast för hjälpen!

....

Trädvy Permalänk
Medlem
Registrerad
Maj 2003

Vad är det för gangsterhåla du bor i? Tormestorp ser ju rätt normalt ut på google maps.

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003
Skrivet av LovePig:

jag har fått en ny titel "förbannade gubbjävel"

Det är en hederstitel. Sådana får man när man gör saker rätt.

Tänk på att om du lämnar en Windows-dator igång, och med inloggad användare, så går det att se både lösenord till nätverket, och MAC. Att klona MAC är inte svårt, och sedan är de inne igen. Ditt nätverk kan få lite spel om man försöker logga in samtidigt som den datorn är på nätverket, men vem som blir utkastad, om alls, blir det nog mest slumpen som avgör.

Jag gratulerar, och önskar lycka till.
B!

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Medlem
Registrerad
Jul 2011
Skrivet av Bozzeta:

Vad är det för gangsterhåla du bor i? Tormestorp ser ju rätt normalt ut på google maps.

det är en håla, men en riktigt tyst håla
bara just några som absolut ska använda andras wifi, har väl blivit en sport

....

Trädvy Permalänk
Medlem
Plats
stockholm
Registrerad
Mar 2008

Det finns roligare grejer du kan göra istället för att blocka access!
Sätt upp en proxy server som levererar annat än vad användaren förväntar sig.
Roliga exepel är Upside-Down-Ternet och kittenwar.

Man kan vara hur kreativ man vill.
Kanske redirecta alla sidor till rickroll.

Trädvy Permalänk
Medlem
Plats
Helsingborg
Registrerad
Maj 2003

Fast "upside down" Kitten " osv, fungerar bara om "lånarna" använder "Internet".
Om de i stället sitter med appar och streamar, chattar, osv, eller laptopen och kör torrents, så gör det ingen "nytta".
B!

Allting jag skriver är om inget annat uttrycks, min åsikt! Ingenting måste vara dagens sanning enligt din åsikt, och gör du antaganden baserade på mina åsikter hoppas jag att du övervägt mer än bara just min åsikt.

Trädvy Permalänk
Medlem
Plats
Malmö
Registrerad
Feb 2007

Enklaste och säkraste i samband med pfSense, konsument och WiFi är:

  • Krypterad WiFi.

  • WiFi nekar okända MAC-adresser.

  • WiFi normalt ej synlig.

  • Captive Portal i pfSense med SSL/TLS inloggning och max 1 samtidig användare per användarkonto med automatisk utslängning efter 60-120 minuter.

Grundregel för felsökning: Bryt och begränsa.