toegang gastennetwerk en MAC-filtering

[Spie2]

Hallo

Ik heb MAC-filtering toegepast op mijn draadloos netwerk.
Ik stel nu vast dat ik gasten geen toegang kan verschaffen tot een gastennetwerk zolang dit actief is of tot ik hun MAC-adres heb toegevoegd.

Ik dacht dat AP-isolatie misschien een rol zou spelen, maar dit blijkt geen impact te hebben.
Toegang tot lokaal netwerk is niet toegestaan.

Mij lijkt het overbodig dat wanneer het AP van het gastennetwerk geïsoleerd is van het eigen lokale netwerk om dan ook nog eens rekening te houden met de MAC-filter. De MAC-filter is enkel van toepassing op mijn lokaal netwerk ... niet op het gastennetwerk.

Zie ik iets over het hoofd?

Vriendelijke groeten
Piet

[Babylonia]

Ik heb MAC-filtering toegepast op mijn draadloos netwerk.
Ik stel nu vast dat ik gasten geen toegang kan verschaffen tot een gastennetwerk zolang dit actief is of tot ik hun MAC-adres heb toegevoegd
..................
De MAC-filter is enkel van toepassing op mijn lokaal netwerk ... niet op het gastennetwerk.

Dat is in contradictie met elkaar met wat je schrijft.

Naar aanleiding van deze bevindingen heb ik een aantal testen gedaan.  Ik constateer hetzelfde met je eerste bevindingen.

Hoewel ik vanuit de gedachte van een meer gesloten afgeschermd "normaal" netwerk tegenover een meer open "gastnetwerk" men een MAC-filtering mogelijk separaat zou willen instellen voor beide netwerken, kan ik in de gebruiksaanwijzing die gescheiden functionaliteit nergens opmaken dat het als zodanig bedoeld is.

"Gebruik de MAC-filter om te controleren of MAC-adressen (of specifieke apparaten) toegang hebben tot het draadloze netwerk.
Deze functie controleert alleen de netwerktoegang en geen andere coderingsinstellingen."

De MAC-filtering staat ook apart in de tab-bladen van functies, en is bijv. geen onderliggend onderdeel bij elk van de instellingen bij netwerk, of bij gastnetwerk. Dus het lijkt in deze opzet niet geïmplementeerd te zijn om separaat in te stellen.

Willen gebruikers die functionaliteit beter uitgewerkt hebben in een gescheiden keuze van MAC-filtering voor zowel het normale netwerk, als het gasten netwerk, kunnen ze een verzoek daartoe indienen voor verbetering bij Synology. Zodat het mogelijk in een wat latere firmware update wordt toegevoegd.

[Spie2]

Dat is in contradictie met elkaar met wat je schrijft.

Dank je wel voor je reactie.
Wat betreft de contradictie is de laatste zin eigenlijk onderdeel van de laatste alinea die een gewenst gedrag schetst. M.a.w. dit is effectief het gedrag dat ik zou willen ...
Wat betreft uw suggestie, heb ik de indruk dat je veel geluk moet hebben met een implementatie van een verzoek door Synology ... maar ik zal sowieso een verzoek indienen, we zien wel ... ik zal het misschien omschrijven als 'bug' 

[Babylonia]

Zo heel veel geluk hoef je daarbij niet te hebben.
De hele filosofie en structuur van Synology is juist goed te luisteren naar gebruikers, met wat zij willen, en daar naar te handelen.
De hele DSM software zoals die bijv. voor hun NAS'sen inmiddels in de loop van de jaren vorm heeft gekregen, is grotendeels op die terugkoppeling door gebruikers als zodanig ontwikkeld. Dat zal met hun routers ook wel als zodanig hun beslag krijgen.

Een aantal verzoeken voor uitbreiding van functies heeft in die paar maanden reeds plaatsgevonden.
Met name de wijze om port forwarders in te stellen (dat kon in het begin slechts per poort, nu in ranges of gescheiden door komma's), en bijv. de implementatie van VLAN ten behoeven van IP-TV en VOIP, zodat je de modem/router van de ISP er tussenuit kunt halen en kunt vervangen door die van Synology.

[Undertaxxx25]

Heb gisteren nog een Wish-list voor toekomstige updates doorgestuurd en boven vermeld MAC-filtering probleem heb ik ook aangekaart. Zoals Babylonia al aangaf is Synology op dat vlak echt TOP. VLAN support werd na amper enkele weken al toegevoegd met een ganse resem andere bug fixes en toevoegingen. Nog heel even geduld en ben er zeker van dat het MAC-filtering issue dan ook opgelost wordt. 

[Hofstede]

Die hele MAC-filtering is tegenwoordig toch een wassen neus? Is binnen vijf minuten te kraken als er maar één device in de buurt zit dat toegang heeft tot de WiFi. Ik stel het tegenwoordig nooit meer in.

[Babylonia]

Vertel ? !

[Robert Koopman]

Even met Google zoeken en je leest:

An attacker can always determine the client's MAC address if they can sniff packets to or from the client.
This is true regardless of whether encryption is used or not.

[eddydc]

Hallo,
Weet er iemand al een stand van zaken maw is er nu al een gast netwerk mogelijk zonder dat de mac filters er op van toepassing zijn?
Mvg
Eddy

[aliazzz]

MAC filtering is verschaft nauwelijks tot geen extra security. Bij een wireless scan naar aanwezige ap's, is het eerste wat men kan uitlezen van de ap's het MAC of ze nou wel of geen ssid actief uitzenden. Ik sluit me daarom aan bij @Hofstede en Robert.

[Babylonia]

Dan snap je de werking niet van die MAC-filtering.
Die MAC-filtering is helemaal niet bedoeld om MAC-adressen af te schermen.
Het is alleen bedoeld om aangemerkte apparaten te weigeren of toe te staan van het WiFi netwerk gebruik te maken.

Vanuit de Help:

"Gebruik de MAC-filter om te controleren of MAC-adressen (of specifieke apparaten) toegang hebben tot het draadloze netwerk.
Deze functie controleert alleen de netwerktoegang en geen andere coderingsinstellingen."

Maar ja. Toegang tot je WiFi netwerken regel je doorgaans toch al met wachtwoorden.
Als blijkt dat er iemand op zit die je bij nader inzien liever toch geen toegang wilt verschaffen (die wel het wachtwoord heeft), kun je dat apparaat met die MAC-filtering buitensluiten. Dat kan onder omstandigheden makkelijker zijn dan een nieuw WiFi wachtwoord instellen, en alle apparaten die wel toegang mogen hebben opnieuw in te moeten regelen met het nieuwe wachtwoord.

Alleen maakt die MAC-filtering geen onderscheid tussen je "privé" WiFi netwerk, en je "gast" WiFi netwerk.
Voor "uitsluiten" maakt het weinig uit.  Alleen als je de MAC-filtering functie wilt inzetten "voor toegang" zou het prettiger zijn dat wel gescheiden te kunnen houden. De functie werkt nu nog steeds hetzelfde als vorig jaar. Kennelijk te weinig verzoeken van gebruikers om het aan te passen?

[Ben(V)]

Ik zou er maar niet te veel van voorstellen dat er een gescheiden mac filterig komt voor een gast netwerk en het normale netwerk.

Mac filtering geschied oplevel 2 en kan normaal gesproken alleen op het gehele netwerk verkeer toegepast worden.
Het verkeer scheiden in twee netwerken (gast en normaal) is een level 3 functie en dan is de mac filtering al gedaan.

Ik dacht zelfs dat het hardware matig in de chipsets zit ingebakken die consumenten ruters gebruiken.

[aliazzz]

Als ik @ben goed begrijp zou updaten alleen mogelijk zijn als de CPU een FPGA is. Dit komt maar zelden voor.

[Ben(V)]

Een CPU is nooit een FPGA.
Een FPGA kan hooguit ingezet worden ter ondersteuning van een cpu.

Consumenten router bestaan echter uit standard chipset van meestal broadcom die alle standard functionaliteiten voor een router in huis hebben.

Maar het problem zit gewoon in het OSI model waarbij mac filtering op level 2 zit en pas op level 3 netwerkfunctionaliteit als subnets beschikbaar komt.
Mac filtering is dan al gedaan.

[aliazzz]

Een CPU is nooit een FPGA.
Een FPGA kan hooguit ingezet worden ter ondersteuning van een cpu.

Helaas, deze bewering is verre van waar. Zoek eens op softcpu met google.

De embedded markt voor 8,16 en grotere architecturen verschuiven op dit moment juist naar softcpu's toe. Met name door de veelzijdigheid in de aftersales en de inmiddels gunstigere prijzen dan pak hem beet 10 jaar geleden worden fpga's superbetaalbaar en steeds vaker ingezet in huis tuin en keukenhardware (SOHO).

Weliswaar is op dit moment een fpga voor thuis meer hobbysfeer, maar dit zal zo maar anders kunnen worden als de prijzen blijven zakken.