pfSense, larm när ny enhet ansluter?

Permalänk
Medlem

pfSense, larm när ny enhet ansluter?

Hej hopp:)

Jag har problem med en familjemedlem och dennes "kompisar"
Med DHCP avaktiverat hittar dom fasta IP.
Med begränsat antal fasta IP lyckas dom använda befintliga vilande.
Jag har inte lyckats spärra IP adresserna till mac adresser.
Har hittat "kompisar" sittandes på trottoaren uppkopplade på nätverket.
Uppfinningsrikedomen är extrem, givetvis med hjälp från familjemedlemmen.

Söker efter en funktion där jag får larm via mail när en ny enhet ansluter till nätverket antingen med en ny IP-adress eller om mac adressen ändras på en befintlig.

Finns det?

Permalänk
Medlem

Jag förstår inte riktigt, men du är ute efter att spärra folk utanför ditt hus från att ansluta? Är det för att någon ger dem trådlösa nyckeln?

Permalänk
Medlem
Skrivet av LovePig:

Hej hopp:)

Jag har problem med en familjemedlem och dennes "kompisar"
Med DHCP avaktiverat hittar dom fasta IP.
Med begränsat antal fasta IP lyckas dom använda befintliga vilande.
Jag har inte lyckats spärra IP adresserna till mac adresser.
Har hittat "kompisar" sittandes på trottoaren uppkopplade på nätverket.
Uppfinningsrikedomen är extrem, givetvis med hjälp från familjemedlemmen.

Söker efter en funktion där jag får larm via mail när en ny enhet ansluter till nätverket antingen med en ny IP-adress eller om mac adressen ändras på en befintlig.

Finns det?

Borde inte detta fungera? Finns under "Services -> DHCP Server".

Deny unknown clients: Only the clients defined below will get DHCP leases from this server.

Bara du sätter statiska IPs för dina och familjens enheter innan du kryssar i detta alternativet.

Permalänk
Medlem

@LovePig: Sätt upp radiusautentisering och stryp tillgången till Wifi när "familjemedlemen" missköter sig?

Permalänk
Medlem
Skrivet av Pertan:

Borde inte detta fungera? Finns under "Services -> DHCP Server".

Deny unknown clients: Only the clients defined below will get DHCP leases from this server.

Bara du sätter statiska IPs för dina och familjens enheter innan du kryssar i detta alternativet.

@LovePig:
Du ska inte behöva ha fast ip för att använda ACL för macadresser. Väldigt osmidigt med fasta ipt på klienter. Men som Pertan skriver så är spärra på macadress det enklaste. Eller någon typ av radius/inlogg. Kolla också om du har någon plugin som du kan använda.

Permalänk
Medlem
Skrivet av LovePig:

Söker efter en funktion där jag får larm via mail när en ny enhet ansluter till nätverket antingen med en ny IP-adress eller om mac adressen ändras på en befintlig.

Finns det?

https://en.wikipedia.org/wiki/Arpwatch

Permalänk
Medlem

Japp, nyckeln lämnas ut. och inte bara min. ett gäng drar runt och kopplar upp sig överallt i byn och laddar ner mycket konstigt.

Statiska ip har jag redan.
Lyckades aldrig riktigt med att låsa ip mot mac-adress men ska ge mig på det igen.
Det är förmodligen lösningen.

Sen hade Arpwatch varit perfekt, men finns inte längre som paket till pfSense

Permalänk
Medlem

Kan du inte göra det enkelt och sänka signalstyrkan eller behöver du själv ha tillgång till nätverket från trottoaren?

Permalänk
Medlem

Vore ju roligare om du satt upp en honeypot gör en landnings sida men en "anslut" knapp, och med texten "När du klickar anslut så godkänner du användaravtalet." och i det användaravtalet kan du ha med att du är tillåten att installera https://www.youtube.com/watch?v=BGm8idw45as

(Försöker hålla inlägget på rätt sida om lagen.. Ta inlägget med en hink salt)

Permalänk
Medlem

Alternativt byt lösen ord på wifi och säg sen som det är att vederbörande inte får ge ut nyckeln och då denne gjort eller fortsatt gör det så får man va utan wifi...
annars så skulle man ju kunna sätta upp ett gäst nät med ett lösenord som denne familje medlem kan och när vederbörande har kompisar hemma som behöver internet så aktiverar man det för att sedan stänga av det när dom lämnat.

Kan man inte också kan sätta data gränser på de flesta gäst nät sätt den lågt så får dom surfa med eget internet sen.

Personligen hade jag fipplat med radius.

Min syster hade samma problem där räckte det dock med att sätta en deny list för icke kända mac adresser och sedan hålla tyst om vad lösenordet för wifi va

Permalänk
Medlem

I och med att det låter som om du är i kontroll över nätverket så är det väl enklast att exkludera familjemedlemmen som inte sköter sig och låsa in routern. I annat fall så se till att ha kontrollen över nycklarna. Varför skapa massa nya problem...

Permalänk
Medlem

Tänker jag helt konstigt om jag tycker det låter enklare att bara byta kod till WiFi och sedan själv skriva in det på din familjs enheter? Då kan ju hen inte dela ut det.

Själv så skriver jag alltid själv in WiFi på kompisarns telefoner, och ger inte ut mitt lösenord.

Permalänk
Medlem

FreeRADIUS

Hej!

Jag hade definitivt satt upp Wi-Fi access punkten till att använda sig av FreeRADIUS (på pfSense)!

Sätta olika lösen på respektive användare -> enklare när missbruk sker att bara ändra ett lösen på en enhet.

Verkar som om att man kan trottla användare per användare, har dock inte testat ...

Man kan troligtvis även kolla någon (FreeRADIUS) log med crontab/script för att fånga upp nya MAC adresser etc.

Ha det!

Permalänk
Inaktiv

Beklagar din sits. Trodde inte idag att det var ett så stort problem då access till internet finns överallt, kanske är det lättare i det här fallet än andra?

Enklast är nog att köra en omvänd MAC adress lås, dvs du anger de MAC adresserna du litar på = Familjemedlemmarna - alla andra kommer inte ut på internet.

Tyvärr vet jag inte om man kan göra det i pfsense, då det är primärt en L3 device.

Om det inte går så är nog enda sättet att installera certifikat, förmodligen allt för komplicerat om man ställer det i relation till att be någon att inte dela med sig av lösenordet.

Permalänk
Inaktiv
Skrivet av C0mbat:

Hag hade definitivt satt upp Wi-Fi access punkten till att använda sig av FreeRADIUS (på pfSense)!

Fast här handlar det nog om att lösenordet sprids, det löser ju inte Radius...

Permalänk
Medlem
Skrivet av studiox_swe:

Enklast är nog att köra en omvänd MAC adress lås, dvs du anger de MAC adresserna du litar på = Familjemedlemmarna - alla andra kommer inte ut på internet.
Tyvärr vet jag inte om man kan göra det i pfsense, då det är primärt en L3 device.

Bra förslag, och det går att göra i pfsense under "Services / DHCP / MAC Allow"
Sen för att tighta till det kan man skapa en brandväggsregel som blockerar icke önskvärda enheter.

Permalänk
Medlem
Skrivet av LovePig:

Sen hade Arpwatch varit perfekt, men finns inte längre som paket till pfSense

Arpwatch behöver inte ligga i din router, det räcker med att den sitter i samma broadcast-domän (bakom din router). Du kan skaffa t.ex en raspberry som du kör arpwatch på. Funkar utmärkt hemma hos mig.

Permalänk
Medlem
Skrivet av grimboso:

Tänker jag helt konstigt om jag tycker det låter enklare att bara byta kod till WiFi och sedan själv skriva in det på din familjs enheter? Då kan ju hen inte dela ut det.

På windows-enheter går lösenordet att läsa ut i klartext. Jag har inte forskatt i Android, och iPhones, men jag kan göra samma sak på min telefon, Nokia N9, med MeeGo.

Har man lämnat ifrån sig lösenordet, oavsett hur, så har mottagaren alltid en möjlighet att gräva fram det.
B!

Permalänk
Inaktiv
Skrivet av Plattelöparn:

Bra förslag, och det går att göra i pfsense under "Services / DHCP / MAC Allow"
Sen för att tighta till det kan man skapa en brandväggsregel som blockerar icke önskvärda enheter.

Fast det hindrar ju inte att man sätter en fast adress, eller menar du att man kan göra en regel som blockar alla IP adresser som inte kommer från DHCP?

På många switchar kan man ju hindra att enheter som inte fått adress via dhcp snooping inte får prata så kanske går i pfsense också

Permalänk
Inaktiv
Skrivet av madtop:

Arpwatch behöver inte ligga i din router, det räcker med att den sitter i samma broadcast-domän (bakom din router). Du kan skaffa t.ex en raspberry som du kör arpwatch på. Funkar utmärkt hemma hos mig.

Det är ju rätt troligt att personen bara har en broadcastdomän, då kan det ju köras på en stationär dator lika väl, som en liten service

Permalänk
Medlem
Skrivet av studiox_swe:

Fast det hindrar ju inte att man sätter en fast adress, eller menar du att man kan göra en regel som blockar alla IP adresser som inte kommer från DHCP?

På många switchar kan man ju hindra att enheter som inte fått adress via dhcp snooping inte får prata så kanske går i pfsense också

Ja, indirekt kopplat till DHCP. Man lägger till fasta adresser under DHCP, med MAC-ACL. Man kan ju göra ett alias med betrodda enheter och sen göra en brandväggsregel som blockerar allt utom adresserna i aliaset. Det hindrar ju dock inte att nån sätter ett fast ip på sin enhet, men man kan även lägga till ACL under DNS Resolver. Ingen DNS = ingen surf.
Man kan ju ha arpwatch eller liknande, men det känns lite som att ha en bjällra som plingar när folk kommer genom ytterdörren. De flesta stänger ju och låser sin ytterdörr...

Permalänk
Inaktiv
Skrivet av Plattelöparn:

Ja, indirekt kopplat till DHCP. Man lägger till fasta adresser under DHCP, med MAC-ACL. Man kan ju göra ett alias med betrodda enheter och sen göra en brandväggsregel som blockerar allt utom adresserna i aliaset. Det hindrar ju dock inte att nån sätter ett fast ip på sin enhet, men man kan även lägga till ACL under DNS Resolver. Ingen DNS = ingen surf.

Som jag förstod det så var just det problemet, att man satte en egen IP adress

Ganska lätt på Juniper SRX:

anders@loophole# show ethernet-switching-options
secure-access-port
{ interface ge-0/0/0.0 { allowed-mac 00:23:18:10:a6:8b; } }

Permalänk
Medlem
Skrivet av Plattelöparn:

Ingen DNS = ingen surf.

Fast det går ju att komma runt genom att ansluta direkt till en känd IP för, exempelvis, en VPN, och sen använda den tjänsten, eller Googles DNS.
Inte för att jag vet om det är så troligt att någon skulle göra sig besväret för att surfa på någon annans nät, men trots allt.
Jag hade nog kört på en MAC whitelist, och personliga lösenord. Den som lämnar ut sitt lösenord, och låter polarna klona sin MAC, får vara utan Internet resten av månaden.

Ett annat alternativ, som antagligen är enklare är att säga till vederbörande att man inte längre får någon tillgång till WiFi't, och dra en kabel till vederbörandes rum för fast uppkoppling. Har man inte lösenordet, kan man inte ge det till någon annan.
B!

Permalänk
Medlem

provar nu med mina mac-adresser i mac allow och det har fungerat bra än så länge.
jag har fått en ny titel "förbannade gubbjävel"

men dom här ungdomarna är bättre än mig på det här så jag får studera vidare på alla era förslag.

Tackar ödmjukast för hjälpen!

Permalänk
Medlem

Vad är det för gangsterhåla du bor i? Tormestorp ser ju rätt normalt ut på google maps.

Permalänk
Medlem
Skrivet av LovePig:

jag har fått en ny titel "förbannade gubbjävel"

Det är en hederstitel. Sådana får man när man gör saker rätt.

Tänk på att om du lämnar en Windows-dator igång, och med inloggad användare, så går det att se både lösenord till nätverket, och MAC. Att klona MAC är inte svårt, och sedan är de inne igen. Ditt nätverk kan få lite spel om man försöker logga in samtidigt som den datorn är på nätverket, men vem som blir utkastad, om alls, blir det nog mest slumpen som avgör.

Jag gratulerar, och önskar lycka till.
B!

Permalänk
Medlem
Skrivet av Bozzeta:

Vad är det för gangsterhåla du bor i? Tormestorp ser ju rätt normalt ut på google maps.

det är en håla, men en riktigt tyst håla
bara just några som absolut ska använda andras wifi, har väl blivit en sport

Permalänk
Medlem

Det finns roligare grejer du kan göra istället för att blocka access!
Sätt upp en proxy server som levererar annat än vad användaren förväntar sig.
Roliga exepel är Upside-Down-Ternet och kittenwar.

Man kan vara hur kreativ man vill.
Kanske redirecta alla sidor till rickroll.

Permalänk
Medlem

Fast "upside down" Kitten " osv, fungerar bara om "lånarna" använder "Internet".
Om de i stället sitter med appar och streamar, chattar, osv, eller laptopen och kör torrents, så gör det ingen "nytta".
B!

Permalänk
Medlem

Enklaste och säkraste i samband med pfSense, konsument och WiFi är:

  • Krypterad WiFi.

  • WiFi nekar okända MAC-adresser.

  • WiFi normalt ej synlig.

  • Captive Portal i pfSense med SSL/TLS inloggning och max 1 samtidig användare per användarkonto med automatisk utslängning efter 60-120 minuter.