MACfilter: Repeater leitet MAC vom Clienten nicht weiter

Question

Hallo Netzwerksspezialisten!

Ich habe Probleme mit meinem Repeater, der die MAC vom Cienten nicht an den Router "durchschleift" - was zur Folge hat , dass der Router dauernd "Spoof Attacks" meldet (MAC vom Repeater plus IP vom Clienten, statt MAC+IP vom Clienten).

Router: D-Link DI-624
Repeater: DWL-G710 (jetzt abgesteckt)
Neuer Repeater: Asus WL-330gE (gleiches Problem)

Konfiguration Router:
WPA2
DHCP - alles Statische IPs
MAC-Filter - nur bestimmte MACs zugelassen

Konfiguration Repeater Asus:
WPA2
MAC-Filter

Habe jetzt unter DHCP beim Routermenü zusätzlich bei der MAC vom Repeater auch die IP von einem Clienten eingetragen. Allerdings klappt das immer nur mit einem Clienten, bei den anderen kommen weiterhin Spoof Meldungen.
Weiss jemand Rat ...?
Ich habe schon in Foren gesucht, aber keine Lösung gefunden. Das Problem mit dem MAC-Filter in Verbindung mit einem Repeater scheint aber öfters bei D-Link Geräten vorzukommen.
Habe mir deswegen jetzt den Asus Repeater zugelegt - der von der Konfiguration her auch umfangreicher ist.
Aber offensichtlich ists wirklich der Router, der Probleme macht.
Hat jemand einen Tipp, was ich noch versuchen könnte...? Oder eine Empfehlung bezüglich eines neuen Routers..?

Gruss Poison

Answer 1

Moin Poison,

vorab: ich bin kein Netzwerkspezialist.

Wenn ich mein Netzwerk mit Look@LAN scanne, dann werden mir der Router und die Rechner mit ihren jeweiligen Namen und IPs angezeigt, nicht aber der Repeater. Im Router selbst werden dagegen die Rechner nicht angezeigt, wohl aber mehrere Verbindungen zum Repeater mit den verschiedenen IPs der Rechner.

Deshalb mal folgende Überlegungen:

- Der Repeater meldet sich über feste IP und WPA2-verschlüsselte Verbindung am Router an, in welchem er mit seiner MAC-Adresse als gültiger Repeater eingetragen ist.
- Die Rechner melden sich über feste IP und WPA2-verschlüsselte Verbindung am Repeater an, in welchem sie mit ihren MAC-Adresse als gültige DHCP-Clients eingetragen sind, wobei der DHCP-Server des Repeaters deaktiviert ist.
- Der Repeater stellt also die Verbindungen der bei ihm unter ihrer jeweiligen fest eingestellten IP angemeldeten zulässigen Clients unter seiner eigenen MAC-Adresse zum Router durch.

Durch den zwischengeschalteten Repeater kann der Router die MAC-Adressen der Clients (Rechner) garnicht auslesen, da es keine direkte Verbindung zu deren WLAN-Adaptern gibt.

Ob das alles so stimmt und wie da jetzt was im Router und im Repeater einzustellen wäre kann ich dir leider nicht sagen, da ich diese Geräte und deren Anleitungen nicht kenne.

??? Für jeden Rechner zwei Einträge, mit eigener MAC-Adresse für eine direkte Verbindung und mit der MAC-Adresse des Repeaters für eine 'verlängerte' Verbindung ???

??? Mehrere Einträge für den Repater als Client mit den verschiedenen festen IPs der Rechner ???

Gruß
Kalle

Answer 2

Hallo Kalle! :-)

- Der Repeater meldet sich über feste IP und WPA2-verschlüsselte Verbindung am Router an, in welchem er mit seiner MAC-Adresse als gültiger Repeater eingetragen ist.

Das scheint das Problem zu sein. In der Konfiguraton des Routers gibt es nicht die Möglichkeit, den Repeater als "Repeater" zu definieren. Es gibt diese Option gar nicht.
Der Repeater ist für den Router also im Grunde ein "normaler" Client, mit dessen MAC verschiedene IPs "hereinkommen".
Was wieder Spoof Alarm auslöst.

Für jeden Rechner zwei Einträge, mit eigener MAC-Adresse für eine direkte Verbindung und mit der MAC-Adresse des Repeaters für eine 'verlängerte' Verbindung ??? Mehrere Einträge für den Repater als Client mit den verschiedenen festen IPs der Rechner ???

Nein eben nicht - es funktioniert nur mit einem Clienten (einer zusätzlichen IP) auf diese Weise. Sobald ich mehrere IPs auf die MAC vom Repeater "lege", funktioniert es nicht mehr (alles schon ausprobiert).

Wäre es eine Möglickeit den Repeater beim Router in der DMZ einzutragen, was meinst Du? Oder besser den Clienten (IP-Aussencam) dort eintragen? Kommt dann trotzdem der MAC Filter beim Router zum Tragen (Spoof Meldungen).
Und wie sieht das dann mit der Sicherheit aus?

Gruss Poison

Answer 3

Dann mach doch den MAC-Filter aus, wenn es Schwierigkeiten damit gibt.
Ist eh nur eine primitive Sicherheitsfunktion, die nur völlig Unbedarfte potentielle "Einbrecher" abhält.

Yossarian

Answer 4

Hallo Yossarian!

Ich glaube allerdings, dass die Probleme eher mit dem DHCP zusammenhängen - weil ich alles statische IPs vergeben habe. Der MAC Filter erlaubt oder verweigert ja nur den Zugriff.
DHCP definiert eine bestimmte MAC zu einer bestimmten IP gehörend. Und sobald eine MAC mit einer anderen IP "reinkommt" (Repeater - Client), meldet der Router eben wieder Spoof.
DHCP kann ich nicht ausmachen, da ich einen FTP-Server, IP-Cam etc. habe, auf die ich von aussen (WAN) auch zugreifen möchte.
Gruss Poison

Answer 5

In der Konfiguraton des Routers gibt es nicht die Möglichkeit, den Repeater als "Repeater" zu definieren. Es gibt diese Option gar nicht.

Stichwort ist WDS


Has Du schon geprüft ob es eine aktuellere WDS-fähige Firmware für Deinen router gibt?

http://www.dlink.de/?go=gNTyP9CnptFMIC4AStFCF834mptYIe5TTtvhLPG3yV3oV4B7kP9vYs9kZ+I7rDArHS/5zy9E+o4KB9zm2w==

mfg Ralf

Answer 6

Hallo Ralf!

Habe gerade geschaut, ob es diesbezüglich was Neues gibt - auf der Deutschen Seite ist die aktuellste Version sogar älter, als die die ich drauf habe. Ich habe die Firmware Version: 4.04 , Mon, 14 July 2008 (im Gegensatz zur deutschen Seite: da ist die Firmware zwar auch in Englisch, aber vom 14-05-2007). Meine hab ich damals auf einer engl. Seite gefunden - aber leider ist auch da nichts mit WDS :-((
Dazu kommt noch, dass ich jeden zweiten Tag Datum und Zeit neu einstellen muss - habs schon mit NTP Sysnchronisierung, sowie manuell versucht, aber Datum + Zeit stellt sich immer wieder auf 2002 zurück :-(

Ich glaube, ich werde mir über kurz oder lang einen neuen Router zulegen (hast Du diesbezüglich einen Tipp?)
Er sollte möglichst "alles" können, auf jeden Fall WDS, WPA2, MACFilter, NAT, Firewall etc. :-))
Gruss Poison

Answer 7

MAC-Filter braucht man nicht wirklich ...der lässt sich zu leicht austricksen ...am wichtigsten ist meiner Meinung nach die Verschlüsselung ...und WPA2 machen eigentlich alle aktuellen Router. Das ist also auch kein Kaufkriterium mehr.

Zusatz-Features wie USB, VoIP, DECT oder Kompatiblität und Datendurchsatz machen den Preis aus ...da würde ich spontan die FritzBox 7270 empfehlen ...aber kostet halt.

greetz Ralf

Answer 8

Hallo,

ich glaube, das mit dm WDS muss noch mal etwas präzisiert werden.

Bei WDS wird eine Verbinung zwischen den Acces-Points eingerichtet welche im Point-to-Point-Bridging-Modus oder im Point-to-Multipoint-Repeating-Modus eingerichtet wird. Und alle Einstellungen sind auf allen APs vorzunehmen und für alle APs ist die gleiche SSID zu verwenden. Damit ist das s.g. 'Roaming' möglich, d.h., der Rechner meldet sich immer an dem AP mit der besten Verbindung an und man kann sogar mit dem Läppi durchs Haus laufen und der wechselt dann ohne Verbindungsunterbrechen zum jeweils besten AP. WDS mit WPA-Verschlüsselung ist aber meistens nur zwischen Geräten des gleichen Herstellers möglich, ansonsten nur WEP.

Da WEP ja eigentlich ein Witz ist, bliebe statt WDS der Universal Repeader Mode bei Geräten unterschiedlicher Hersteller. In diesem Modus richtet sich die Verschlüsselung nach dem größten gemeinsamen Nenner. Der Repeater ist hierbei ein Client, an welchem sich weitere Clients anmelden können. Die jeweiligen Einstellungen sind eigentlich nur in dem Repeater vorzunehmen und dieser kann auch unter einer eigenen SSID laufen. Roaming (unterbrechungsfreier Standortwechsel) ist in dieser Konstellation nicht möglich, man müsste also die Verbindung zum Repeater unterbrechen um sich mit einer anderen Verbindung an der Basis oder einem anderen Repeater anmelden zu können.

WDS-Fähigkeit der Geräte ist also nicht unbedingt erforderlich, um einen Repeater betreiben zu können, das Problem beim Einrichten ist aber oftmals, dass die Handbücher der Router sich zu dieser Frage i.d.R. ziemlich bedeckt halten und die Handbücher der Repeater sich meistens nur mit der Verbindung zu Geräten aus dem eigenen Haus befassen.

Bei einer kompletten Neuanschaffung würde ich im Moment vermutlich auch zu der o.a. FritzBox 7270 von AVM + dem neuen AVM-Repeater greifen. Da wäre dann wirklich WDS mit WPA2 gewährleistet, was bei einem alleinigen Wechsel des Routers vermutlich nicht der Fall ist.

Gruß
Kalle

Answer 9

Hallo Kalle!

Der Rechner meldet sich immer an dem AP mit der besten Verbindung an und man kann sogar mit dem Läppi durchs Haus laufen und der wechselt dann ohne Verbindungsunterbrechen zum jeweils besten AP.

Das brauche ich eigentlich nicht - mit dem Laptop sitze ich entweder im Wohnzimmer oder auf der Terrasse und dort habe ich Zugriff auf das WLAN des Routers. Im Wohnzimmer kanns allerdings schon passieren, dass ich auf einmal die Verbindung vom Repeater bekomme (da der nebenan steht) , in dem Fall wars bisher immer so, dass Spoof Meldungen kamen.

Ich brauche den Repeater eigentlich nur für die IP-Aussencam, und diese IP habe ich bereits "doppelt" beim DHCP eingetragen (zusätzlich mit der MAC vom Repeater). Ausserdem habe ich nur die CAM beim MAC-Filter des Repeaters freigegeben, somit sollte sich der Laptop nicht mehr mit dem Repeater verbinden können.

Den Asus Repeater habe ich übrigens erst diese Woche von Amazon geliefert bekommen, den D-Link werde ich dann zurückschicken, da er auch regelmässig "Aussetzer" hatte.
Der Asus Repeater läuft sehr stabil und hat ausserdem ein umfangreicheres Menü und mehr Konfigurationsmöglichkeiten.

Router werde ich mir wahrscheinlich in nächster Zeit einen neuen zulegen - mich nervt auch, dass ich jeden 2. Tag das Datum und die Uhrzeit neu eingeben muss(trotz NTP Synch).

Gruss Poison

PS: die Fritzbox 7270 hört sich gut an , danke Euch beiden für den Tipp ;-)