WLAN "geht" bei einem der User "plötzlich" nicht mehr?

Hallöle,

wir haben hier eine Fritzbox 7430, WLAN ist aktiviert und WPA2 + WPA3 verschlüsselt mit Passphrase. Zusätzlich dürfen sich nur vorgegebene, von Hand eingetragene MAC-Adressen anmelden.

Das klappte monatelang hervorragend. Bis vorgestern. Seither beschwert sich eine bestimmte Userin, dass keines ihrer drei Geräte mehr ins Netz komme. Anscheinend auch nicht erst seit vorgestern, obwohl sie nicht mit der Sprache heraus will, seit wann.

Ich habe an der Konfiguration des Routers nichts verändert und mir fällt auch nichts ein, was ich gemacht haben könnte, um als Nebenwirkung den Empfang des Funksignals zu verschlechtern.

Meine eigenen beiden drahtlosen Geräte kommen nach wie vor ohne jedes Problem ins WLAN. Allerdings befinden die sich im gleichen, sehr großen Raum wie die Fritzbox. Ab und zu scheinen die Endgeräte der Dame Kontakt zu bekommen und sind für kurze Zeit im Menü der Fritzbox zu sehen, aber grundsätzlich heißt es dort "Zur Zeit sind keine gescheiterten Anmeldeversuche in diesem Funknetz bekannt." Ich bin mit meinem Latein am Ende.

Answer 1

[IchDirk]

Wenn Du die fraglichen Geräte denn testweise einmal

im gleichen, sehr großen Raum wie die Fritzbox

testest, reagiert das System dann?

Lösche die Geräte von der "Userin" aus der Box manuell, nimm dann mal die Sperre der FritzBox kurzzeitg raus (kein MAC Filter und jedes WLAN Gerät zulassen) und lasse die Geräte verbinden.

Somit müssten diese der FritzBox dann bekannt werden und sich automatisch anmelden.

DAnn die Sperre wieder wie gewohnt aktivieren und die MAC Adressen entsprechend zulassen.

Bitte beachten; es gibt Geräte die automatisch nach einiger Zeit ihre MAC ändern (Private Modus aktivieren) um nicht eindeutig im Netzwerk identifiziert werden zu können.

Wenn das so ist, akzeptiert die FritzBox diese bei DEINER Einstellung nicht mehr, da sie für die Box als "fremd Nutzer" identifiziert werden.

Woher ich das weiß: Berufserfahrung

Answer 2

[Transistor3055]

Sowohl bei iOS und auch bei Android gibt es eine Datenschutz-Option für zufällige MAC-Adresse. Diese Option soll das Verfolgen des Standortes, vor allem bei öffentlichen Hotspots, unterbinden. Diese Option ist für ein Heimnetz nutzlos, da der Standort über viele andere Wege ermittelt werden kann, und stört eher, als es nutzt.

Vorschlag:

Geräte nicht mit zufälligen MAC-Adressen betreiben (ist für öffentliche Hotspots, daher nutzlos in Heim-WLAN).

• Auf iOS "Private LAN-Adresse" ausschalten (zu finden unter dem (i)),
• auf Android "Geräte MAC verwenden" einschalten.

Dann würfelt das Gerät keine neuen MAC-Adressen. Denn ist diese Option AN, so wird jede "Neueinrichtung" einer WLAN-Verbindung auf dem Gerät eine zufällige MAC-Adresse würfeln.
Schon gewusst? Einmal eingerichtete "=bekannte WLAN-Verbindungen" würfelt keine neue MAC, jedoch wenn neu eingerichtet wird, wieder eine MAC gewürfelt.

Mein Rat:

Lasse im WLAN Router immer neue Geräte zu und benutze einen starken WLAN-Schlüssel. Es ist eine trügerische Sicherheit ein MAC-Filter zu benutzen, denn Hacker können mit Leichtigkeit ihre eigenen MAC-Adresse auf bereits zugelassenen Geräte ändern. Also ist ein MAC-Filter für diese "Hacker" ein Witz, somit nahezu nutzlos. Auch Apple empfiehlt kein MAC-Filter zu nutzen, vermutlich genau wegen diesem Phänomen:

https://support.apple.com/de-de/HT202068

PS:

Vermutlich hat Sie die WLAN-Verbindung vom Gerät entfernt (geht bei iOS mit dem (i) "dieses Netzwerk ignorieren") und dann frisch eingerichtet, mit dem Ergebnis "gewürfelte MAC-Adresse". Bei Android ist es ähnlich.

Viel Erfolg!

Woher ich das weiß: eigene Erfahrung

Comments

[LDanne]

Woher kennt der Hacker die auf meinem Router zugelassenen MAC-Adressen?

[Transistor3055]

@LDanne

Ich deute es mal grob an:

1. Dein WLAN-Name zuhause hat z.B. den Namen "FritzBox UX"
2. Ich nehmen mein eigenes Smartphone, Tablet oder Laptop und mache ein Hotspot mit exakt dem WLAN-Namen "FritzBox UX" auf. Mit kräftigen guten Signale und guten Antennen.
3. Ich stelle mich jetzt in der Nähe an deinem Zuhause. Oder lege das Smartphone versteckt in einen Blumentopf oder Fensterbank oder...
4. Ich warte jetzt 1-4 Stunden.
5. Wenn du mit deinem Smartphone, Tablet oder Laptop vorbei läufst....
6. Zack, verbindet sich bzw. versucht sich dein Smartphone mit "Meinem" Smartphone-Hotspot zu verbinden. Er schickt sogar zusätzlich deinen WLAN-Schlüssel (im Glauben das es der richtige Zugangspunkt sei) über diesen WLAN-Verbindungsversuch...
7. Jetzt kann ich mit spezieller Software nachsehen, wer (=Deine MAC-Adresse) es versucht hat sich "automatisch mit diesem WLAN verbinden" wollte.
8. Jetzt kenne ich deine MAC-Adresse von deinem Smartphone, denn bei der WLAN-Anmeldung wird genau diese (=Deine) MAC-Adresse verschickt
9. ... usw. ...

Fazit: Schwups kenne ich deine Geräte MAC-Adresse und ggf. noch mehr...

Auch dein Router protokolliert doch alle neuen WLAN-Anmeldungen bzw. auch die gescheiterten Anmeldeversuche, wenn z.B. WLAN-Schlüssel falsch ist.

Viel Erfolg!

[LDanne]

@Transistor3055

Warum sollte ich mein Netzwerk dann überhaupt verschlüsseln?

[Transistor3055]

@LDanne

Weil, der WLAN-Schlüssel selbst immer auch mit AES "verschlüsselt" übertragen wird.

Mit dem Verschlüsselungsalgorithmus AES (Advanced Encryption Standard) mit variablen Passwortlängen von bis zu 256 Bit, wird der WLAN-Schlüssel "verschlüsselt" übertragen, das ist also kein Klartext, denn Dritte lesen können. Und diese Verschlüsselung kann auch nicht (ohne hohe Rechenleistung und sehr viel Zeit) wieder entschlüsselt werden.

Ja, eine Verschlüsselung mit einem langen WLAN-Schlüssel zu entschlüsseln benötigt sehr sehr viel Zeit + Rechenleistung. Somit ist eine Verschlüsselung gut und relativ sicher.

Viel Erfolg!

[LDanne]

@Transistor3055

Aber du hast doch gerade eben angedeutet, dass der Hacker mit seinem System den Schlüssel entschlüsseln kann.

[Transistor3055]

@LDanne

MAC-Adresse Ja, die ist sofort erkennbar.

WLAN-Schlüssel ist mit AES verschlüsselt.

Ja, ein guter Rechner benötigt 1-2 oder mehr Jahre, um einen WLAN-Schlüssel durch "Ausprobieren" von vielen Milliarden Möglichkeiten, um mit AES das selbe "aufgezeichnete" Ergebnis der Verschlüsselung zu erreichen.

Der Aufwand wäre unheimlich hoch!

Als so dumm ist das Konzept der Verschlüsselung nicht!

Viel Erfolg!

[LDanne]

@Transistor3055

Also die ganzen Andeutungen bezüglich Netzwerkschlüssel und "9. ... usw. ..." waren nur Panikmache und Clickbait, die nichts mit der MAC-Adresse zu tun hatten.

[Transistor3055]

@LDanne

Du scheinst die Materie nicht zu begreifen, sonst würdest du nicht derartige banale Rückfragen stellen. Es geht überhaupt nicht um Panikmache, sondern deine vermeintliche trügerische Sicherheit "MAC-Filter" ist nahezu nutzlos.

Du scheinst dich mit WLAN-Sicherheit zu beschäftigen, sonst würdest du keine MAC-Filter festlegen wollen. Jedoch von WLAN-Sicherheit verstehst du recht weniger, und mein Hinweis (und auch von Apple) kein MAC-Filter zu benutzen, da es nur eine trügerische Sicherheit verspricht, war nur zusätzliche Informationen für dich.

Deine erste Rückfrage war:

Woher kennt der Hacker die auf meinem Router zugelassenen MAC-Adressen?

Meine Antwort hast du bekommen.

Fazit:

Ein MAC-Filter ist nutzlos, denn:

• Kits die eine zulässige MAC-Adresse (siehe meine Antwort auf deine erste Rückfrage) erlangen können, sind zu blöd den verschlüsselte WLAN-Schlüssel zu knacken.
• Und gute WLAN-Experten (Hacker) können mit Leichtigkeit eine zulässige MAC-Adresse für/aus deinem WLAN-Zugang erlangen (siehe meine Antwort auf deine erste Rückfrage)

Fazit:

1. Ein MAC-Filter ist nutzlos.
2. Ein langer WLAN-Schlüssel (WPA2, besser WPA3) ist sicher und gut.

Stelle bitte keine Rückfragen, wenn du die Antworten nicht benötigst oder nicht verstehst.

Viel Erfolg!