damnbx
Goto Top

Router für OpenVPN (Client) und VLAN

Hallo,

ich suche einen Router der VLANs und OpenVPN als Client unterstützt. Als Internetbereisteller davor dient eine Fritzbox 7490, die schon seit ca 2,5 Jahren absolut störungsfrei ihren Dienst verrichtet. Die Telekom trennt mich aber alle 24 Stunden kurz vom Internet, das heißt der Router sollte die VPN Verbindung nach einer kurzen Unterbrechung wieder zurücksetzen oder einfach wieder verbinden. Dabei soll ein VLAN ohne VPN, das andere über das VPN gehen.

Aktuell handelt es sich um 16Mbits DSL der Telekom, Vectoring wird aber ausgebaut und deshalb sollte der Router auch mit 100 Mbits klar kommen. An dem Router hängt ein ganzer Satz Unifi APs.

Welcher Router ist da zu empfehlen? Ich habe hier noch einen Mikrotik 750GL, der ist mir aber ehrlich gesagt zu kompliziert. Eventuell einen EdgeRouter Lite?

Vielen Dank!

Content-Key: 312707

Url: https://administrator.de/contentid/312707

Ausgedruckt am: 29.03.2024 um 13:03 Uhr

Mitglied: aqui
aqui 15.08.2016 aktualisiert um 21:06:29 Uhr
Goto Top
Mkrotik oder pfSense oder auch OpenWRT
der ist mir aber ehrlich gesagt zu kompliziert.
Bitte wie ??? Nicht dein Ernst, oder ??
Schon mal das WinBox Tool versucht ?? damit ist es ein Kinderspiel ala Klicki Bunti:
http://download2.mikrotik.com/routeros/winbox/3.4/winbox.exe

Grundlagen zu beiden Themen findest du hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
Mitglied: Epixc0re
Epixc0re 15.08.2016 um 21:28:06 Uhr
Goto Top
Hallo,

gerne kann ich dir das auch fix fertig einrichten. Sag bescheid.
Bin MikroTik zertifiziert.

lG,
Stefan
Mitglied: damnbx
damnbx 16.08.2016 aktualisiert um 14:34:10 Uhr
Goto Top
Doch, das ist schon mein Ernst.

Ich habe extra ein Windows Notebook (nutze normal ubuntu) benutzt um den Router mit dem Tool zu konfigurieren. Eine sehr genaue Vorstellung der Konfiguration habe ich, allerdings bekomme ich den Router nicht exakt so konfiguriert. Gibt es da auch Router, die einfacher zu konfigurieren sind?

Es sind ja keine spezifischen spezial Einstellungen, das habe ich versucht:

- ein Port als WAN mit DHCP Client (funktioniert)
- zwei VLANS mit jeweils einem DHCP Server (funktioniert)
- diese beiden VLANs tagged auf einmal Port (funktioniert)
- NAT (funktioniert)
- auf einem Port VLAN 1 untagged (bin ich überfordert)
- auf einem Port VLAN 2 untagged (bin ich auch überfordert)
- OpenVPN Client (noch nicht ausprobiert)
Mitglied: aqui
aqui 16.08.2016 aktualisiert um 14:49:15 Uhr
Goto Top
Doch, das ist schon mein Ernst.
Traurig und auch unverständlich, denn du bist ja schon sehr weit gekommen in der MT Konfig... face-sad
Einfacher als das gibts ja nun wahrlich nicht. Es hört sich aber (sorry) bei dir eher danach an das dir gravierende (VLAN) Teile zum Netzwerkverständnis fehlen, denn den Router zu konfigurieren mit dem WinBox Tool ist ja nun kinderleicht per Klicki Bunti. Was sollte es da noch einfacheres geben ?? Cisco mit IOS und CLI ?

Halte dich an das hiesige VLAN Tutorial, da sind die Einstellungen für den Mikrotik ganz detailiert mit Screenshots beschrieben.
Damit solltest auch du das VLAN Thema sofort zum Fliegen bringen zumal du den gesamten Rest außer den VLANs ja schon super hinbekommen hast. Wo ist also dein Problem...
Mit dem Tutorial im Rücken sollte das dann auch für dich ein Kinderspiel sein:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: damnbx
damnbx 16.08.2016 um 20:28:08 Uhr
Goto Top
Hallo,

ich habe nun heute noch einige Zeit damit verbracht, und nun funktionieren auch die VLANs. Was ich allerdings traurig und unverständlich finde ist der OpenVPN Support durch Mikrotik, siehe hier: http://forum.mikrotik.com/viewtopic.php?f=1&t=77898
Somit lässt der Router nicht mit meinem VPN Anbieter nutzen. Es wird auch keine Authentifizierung via Zertifikate unterstützt.

OpenWRT. Ich gehe davon aus, dass die gängigen WLAN TP-Link Kisten, die recht gut unterstützt werden, von der Performance nicht für VPN bei der zu erwartenden Bandbreite ausreichen. OpenWRT auf dem 750GL wird wohl eher nicht empfohlen, so wie ich gelesen habe. Eigenbau oder größere Hardware ist dann recht schnell recht teuer. Selbes gilt für pfsense.

Gibt es noch weitere Alternativen?
Mitglied: aqui
aqui 17.08.2016 aktualisiert um 10:39:58 Uhr
Goto Top
Mein VPN Anbieter...???
Externe VPN Dienstleister sind eh mit erheblicher Vorsicht zu geniessen, denn in der regel sind die unsicher. Sie vergeben ja die Schlüssel und damit ist dein VPN Traffic von sich auch schon unsicher.
Will man lieber gar nicht wissen wem sie diesen Schlüssel noch geben... face-sad Finger weg von sowas also..
Außerdem ist LZO Compression immer negotiatable. Auch wenn der MT es nicht supportet kommt ein Server damit problemlos klar.
Ich gehe davon aus, dass die gängigen WLAN TP-Link Kisten, die recht gut unterstützt werden
Ja, dem ist so...das gilt aber auch für die anderen HW Anbieter...
Eigenbau oder größere Hardware ist dann recht schnell recht teuer. Selbes gilt für pfsense.
Nöö...das ist Unsinn. Zumal älltere, preiswerte PCEngines Bards (2Dxx) sogar dedizierte Crypto HW an Bord haben die fast 100 Mbit in wirespeed schaffen.
Aber der Begriff "teuer" ist wie immer im Leben relativ ohne konkret zu werden ! Deshalb ist deine "Feststellung" mehr oder weniger ziemlich sinnfrei hier.
Wenn bei dir "teuer" schon bei 30 Euronen anfängt hast du natürlich ein Problem. Allerdings ist auch klar das gewisse Performance natürlich kostet. Einen Ferrari zu Chinapreisen gibt es logischerweise nicht, das verhindern schon die simpelsten Grundsätze der Ökonomie wie jeder weiss.
Mitglied: damnbx
damnbx 17.08.2016 um 10:59:56 Uhr
Goto Top
Mein VPN Anbieter...???
AirVPN. Ein Wechsel auf Private Internet Access ist zu überlegen.

Externe VPN Dienstleister sind eh mit erheblicher Vorsicht zu geniessen, denn in der regel sind die unsicher. Sie vergeben ja die Schlüssel und damit ist dein VPN Traffic von sich auch schon unsicher.
Sicherheit spielt nicht die größte Rolle. Einsatzort sind ein paar Ferienwohnungen. Trotz Nutzervereinbarung, Passwort nur an Gäste und regelmäßige Änderung des Passworts kam eine Abmahnung. Auch mit Anwalt wurden wir diese nicht los und mussten am Ende bezahlen. Ich habe auch gar keine Lust mehr mich damit auseinanderzusetzen, mit einem VPN dieser Art ist man, wenn ich das alles richtig verstehe, vor Abmahnungen geschützt bzw umgeht diese.

Eigenbau oder größere Hardware ist dann recht schnell recht teuer. Selbes gilt für pfsense.
Nöö...das ist Unsinn. Zumal älltere, preiswerte PCEngines Bards (2Dxx) sogar dedizierte Crypto HW an Bord haben die fast 100 Mbit in wirespeed schaffen.
Dann werde ich mir das mal anschauen!

Für den Router sind grob 100€ eingeplant.
Mitglied: aqui
aqui 17.08.2016 aktualisiert um 11:06:46 Uhr
Goto Top
Passwort nur an Gäste und regelmäßige Änderung des Passworts kam eine Abmahnung. Auch mit Anwalt wurden wir diese nicht los und mussten am Ende bezahlen.
Das ist klar wenn man das so macht. Ist aber auch recht dilletantisch wenn du ehrlich bist.
Verantwortungsvolle Netzwerker machen das mit einem Captive Portal, einer Whitelist und Syslog User Tracking.
Damit bist du rechtlich wasserdicht !
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
mit einem VPN dieser Art ist man, wenn ich das alles richtig verstehe, vor Abmahnungen geschützt bzw umgeht diese.
Nein, ganz sicher nicht. Wenn einer über den Link Kinderpornos hochlädt bist du auch dran...mit VPN oder nicht.
Zumal der VPN Anbieter ja sogar noch die Schlüssel hat und im Handumdrehen den Anschluss inkl. der Daten entlarven kann.
Wer hat dir denn solche Märchen erzählt...?? Sagt einem ja schon der gesunde Menschenverstand das das sinnfrei ist.
Mitglied: damnbx
damnbx 17.08.2016 aktualisiert um 13:50:31 Uhr
Goto Top
Das ist klar wenn man das so macht. Ist aber auch recht dilletantisch wenn du ehrlich bist.
Ja, das stimmt, dieser "man" war auch nicht ich. Ich habe zur schnellen Lösung des Problems einen Router von Sorglosinternet besorgt, welcher einwandfrei lief, das ist aber auf Dauer recht teuer.

Verantwortungsvolle Netzwerker machen das mit einem Captive Portal, einer Whitelist und Syslog User Tracking.
Damit bist du rechtlich wasserdicht !
Das kann ich auch noch zusätzlich machen. Muss jedes Gerät bei einer erneuten Verbindung erneut ein Zugangscode eingeben, oder merkt sich der Router das? Eine Whitelist oder das Sperren irgendwelcher Dienste werde ich aber aus Prinzip nicht machen.

Das von dir letztgenannte Problem würde dadurch auch gelöst werden.

EDIT: Mir fällt gerade ein, dass da auch noch ein kleines Restaurant abgedeckt wird, bei welchem auch WLAN genutzt wird. Da fange ich nicht an, Vouchers auszugeben. Auch ein Drucker wäre sehr sehr unpraktikabel.
Mitglied: aqui
aqui 18.08.2016 um 10:39:30 Uhr
Goto Top
Das kann ich auch noch zusätzlich machen.
Wieso "zusätzlich" ???
Es reicht doch schlicht und einfach NUR EINZIG ein Captive Portal und gut iss ?!
Warum nur machst du es so megakompliziert ??
Muss jedes Gerät bei einer erneuten Verbindung erneut ein Zugangscode eingeben,
Nein !
Solange die Voucher Zeit nicht abgelaufen ist kommt man immer OHNE wiederholte Eingabe via Captive Portal ins Netz.
Der Router "merkt" sich den User für die Dauer der Voucher Gültigkeit !
Eine Whitelist oder das Sperren irgendwelcher Dienste werde ich aber aus Prinzip nicht machen.
Das ist dann aber bewusst ein Risiko was du eingehst. Musst du wissen....
Eigentlich Unsinn, denn niemand braucht in Gastnetzen P2P oder Tauschbörsen Protokolle die Tür und Tor für illegale Handlungen öffnen. Sinn macht sowas gleich von vorn herein zu unterbinden.
Letztlich aber deine Entscheidung nur dann musst du aber auch klar wissen was die Folgen sind bzw. dann wird ein User Tracking umso wichtiger !
Da fange ich nicht an, Vouchers auszugeben. Auch ein Drucker wäre sehr sehr unpraktikabel.
Dann hast du aber auch alle rechtlichen Konsequenzen zu akzeptieren.
Sorry, aber final musst du dich dann mal fragen lassen was der Dilettantismus dann wirklich soll.
Dein Motto "Wasch mich aber mach mich nicht naß" kann in so einem Umfeld nicht funktionieren wo Sicherheit gefragt ist.
Es gibt ja nun zig Möglichkeiten Vouchers auszugeben. Auch ein Abreissblock sollte in einem Restaurant machbar sein oder das besucher sich die Voucher selber per SMS anfordern was dir eine noch bessere rechtliche Kontrolle der Benutzer geben wird, denn jeder wird sich sehr wohl überlegen mit seiner Mobilnummer das zu machen.
Voucher für pfSense online verwalten und optional Voucher per SMS verschicken
Mitglied: damnbx
damnbx 18.08.2016 aktualisiert um 14:08:19 Uhr
Goto Top
Vielen Dank für deine Antwort.

Ich würde einfach gerne einen Router mit Captive Portal und einer VPN Unterstützung haben, der mehr als 50Mbits VPN Durchsatz hat. Welches Protokoll ist mir mittlerweile egal, denn es kommt nicht auf die Sicherheit der Verschlüsselungstechnik an. Die Hintergründe für diese Methode sind für mich schlüssig, danach frage ich ja gar nicht ;)

Mit dem RB750GL habe ich einen PPTP VPN Client erfolgreich zum Laufen gebracht. Werde mich dann demnächst an L2TP IPSec machen.

Ich bekomme nur eins einfach nicht hin: Es gibt aktuell 2 VLANS, beide tagged über einen Port. Ich würde gerne auf dem gleichen Port das VLAN 2 untagged übertragen. Da bin ich gerade ein bisschen am verzweifeln.

Von der Performance wird der 750GL nicht ausreichen, sonst gefällt der Mikrotik mir nach ein wenig Übung, Geduld und Zeit ganz gut! Ich werde mich mal nach einem Captive Portal für den Mikrotik umsehen. Wenn ich das schaffe, L2TP IPSec läuft und das VLAN-Problem gelöst wurde, dann werde ich mich nach einem Mikrotik Router umschauen, der ein bisschen mehr Power für VPN hat. Ein RB3011UiAS-RM sticht mir da - mit einer guten, laienhaft an GHz bemessenen CPU Leistung - positiv ins Auge. Da könnte ich mir sogar den kleinen Switch sparen.

Muss jedes Gerät bei einer erneuten Verbindung erneut ein Zugangscode eingeben,
Nein !
Das ist sehr gut, ich wusste nicht dass sich das der Router merkt, das macht es deutlich praktikabler. Sorry für meine Unkenntnis an dieser Stelle.

Eigentlich Unsinn, denn niemand braucht in Gastnetzen P2P oder Tauschbörsen Protokolle die Tür und Tor für illegale Handlungen öffnen. Sinn macht sowas gleich von vorn herein zu unterbinden.
Da hast du Recht, ich dachte konkret an eine Whitelist, die ich so nicht haben will. P2P werde ich versuchen, nach Möglichkeit, zu sperren. Das wird ja nun wirklich seltenst für legale Zwecke benutzt.

Letztlich aber deine Entscheidung nur dann musst du aber auch klar wissen was die Folgen sind bzw. dann wird ein User Tracking umso wichtiger !
Deswegen schaue ich mich danach um, wie das User Tracking mit dem Mikrotik zu handhaben ist.

Es gibt ja nun zig Möglichkeiten Vouchers auszugeben. Auch ein Abreissblock sollte in einem Restaurant machbar sein oder das besucher sich die Voucher selber per SMS anfordern was dir eine noch bessere rechtliche Kontrolle der Benutzer geben wird, denn jeder wird sich sehr wohl überlegen mit seiner Mobilnummer das zu machen.
Dass sich jeder Nutzer es gründlicher überlegt, ob er seine Rufnummer dazu herausgibt, ist einleuchtend. In welcher Art und Weise gibt das mir aber eine rechtliche Kontrolle? Werden die Tickets mit den Rufnummern verknüpft und mir ins Log geschrieben? Klingt aber interessant und einfacher, denn man muss keine Voucher manuell ausgeben, da wäre natürlich die Frage was das kostet (auch das werde ich baldmöglichst versuchen selbst in Erfahrung zu bringen).

Danke nochmal für die umfangreiche Hilfe!
Mitglied: aqui
aqui 19.08.2016 um 21:54:39 Uhr
Goto Top
Ich würde gerne auf dem gleichen Port das VLAN 2 untagged übertragen
Das geht vermutlich nicht, bzw. müsste man mal im Manual klären.
Die Funktion nennt sich native VLAN. Viele Switches lassen sich konfigurieren am Port in welches VLAN untagged Traffic geforwardet werden soll am Port.
Ob das mit dem MT auch geht müsste man nachlesen. Gut möglich das MT das supportert.
Die Frage ist aber WARUM ?
Wenn du am anderen Ende einen VLAN Switch hast ist das doch leicht zu lösen.
Von der Performance wird der 750GL nicht ausreichen,
Dann nimmst du einen 2011er
wie das User Tracking mit dem Mikrotik zu handhaben ist.
Immer per Syslog Logging wie es auch bei der pfSense und allen anderen gemacht wird.
In welcher Art und Weise gibt das mir aber eine rechtliche Kontrolle?
Über die Nummer hast du vollen Zugriff auf die Adressdaten des Nutzers um Rechtssicherheit zu schaffen.
Werden die Tickets mit den Rufnummern verknüpft und mir ins Log geschrieben?
Die Art und Weise der Frage zeigt das du keinerlei Kenntnisse zu dem Thema besitzt....
Ja, das wird natürlich gesichert und auch die einzigartige Mac Adresse des Nutzers.
da wäre natürlich die Frage was das kostet
Einfach mal das Tutorial lesen !!!
http://noc.smsflatrate.net
Mitglied: damnbx
damnbx 21.08.2016 um 15:38:24 Uhr
Goto Top
Ich wollte nur etwas direkt schon im gleichen Raum anschließen, aber so muss da wohl auch noch ein Switch hin denn ich habe nicht gesehen, wie das mit dem Mikrotik geht.

Von der Performance wird der 750GL nicht ausreichen,
Dann nimmst du einen 2011er
Der schafft wohl auch nur 20 Mbits VPN, der 3011 wäre super aber er basiert auf ARM wofür kein User-Manager verfügbar ist und deshalb kein super fancy captive portal verfügbar ist.. Der nächst-größere kostet dann gleich 300€ was ein wenig zu viel ist.

Welches board mit pfsense würde mehr als 30Mbits VPN schaffen? So wie es aussieht ist die Verschlüsselung der Flaschenhals.
Mitglied: aqui
aqui 21.08.2016 um 15:55:34 Uhr
Goto Top
aber so muss da wohl auch noch ein Switch hin denn ich habe nicht gesehen, wie das mit dem Mikrotik geht.
Nicht unbedingt... Der MT hat ja genügend Ports und ein Syslog Server und Client hat er auch. Neuere Modelle haben sogar einen USB Port wo man einen Stick zum Speichern anschliessen kann face-wink
Also alles an Bord der MT. Wieso hast du das übersehen ?
Welches board mit pfsense würde mehr als 30Mbits VPN schaffen?
Das ist das APU1D oder APU2 Board
http://www.pcengines.ch/apu.htm
Mitglied: damnbx
damnbx 22.08.2016 um 15:03:19 Uhr
Goto Top
aber so muss da wohl auch noch ein Switch hin denn ich habe nicht gesehen, wie das mit dem Mikrotik geht.
Nicht unbedingt... Der MT hat ja genügend Ports und ein Syslog Server und Client hat er auch. Neuere Modelle haben sogar einen USB Port wo man einen Stick zum Speichern anschliessen kann face-wink
Also alles an Bord der MT. Wieso hast du das übersehen ?
Sorry, habe den Bezug vergessen. Das war auf die Sache mit dem VLAN bezogen, dass ich es nicht geschafft habe auf einem Port sowohl ein VLAN untagged und zwei VLANs tagged zu übertragen, wobei ich da auch nicht mehr viel nachgeschaut habe denn das ist nicht so wichtig, es ist einfacher dort noch einen VLAN fähigen Switch hinzustellen, denn die könne das auf jeden Fall.

Die CPU des 3011 ist wie gesagt ARM basierend und deshalb ist dort kein User-Manager verfügbar, der einfach begrenzt gültige Voucher herausgeben könnte.

Ich habe die Info bekommen, dass es doch nur die Ferienwohnungen sein sollten. Das bedeutet für mich folgendes: Die WLAN Abdeckung ist ziemlich genau so, dass nur Geräte die sich in den Ferienwohnungen befinden Empfang haben. Das WLAN ist verschlüsselt, Passwort gibt es auf Nachfrage. Der Mikrotik wird auf dem VLAN einfach die DHCP leases (1 minute) loggen, somit weiß ich minutengenau, welche MAC Adresse um welcher Uhrzeit im Internet ist. Mehr Informationen würde ich bei einem Captive Portal mit einmal gültigen Vouchers auch nicht bekommen, außer ich würde genau aufschreiben, welcher Voucher zu welcher Person gehört, was aber definitiv niemand machen möchte / machen wird.
Somit wird es wahrscheinlich das RouterBOARD RB3011UiAS-RM. Sollte noch diesen Monat lieferbar sein.

Das Board für PfSense werde ich mal als Alternative im Gedächtnis behalten.

Danke!
Mitglied: aqui
aqui 23.08.2016 um 16:28:38 Uhr
Goto Top
dass ich es nicht geschafft habe auf einem Port sowohl ein VLAN untagged und zwei VLANs tagged zu übertragen,
Sorry aber das ist ja nicht das Problem des MT sondern ein klassiches PEBKAC Problem bei dir persönlich !
Das hiesige VLAN Tutorial erklärt doch ganz genau wie das problemlos mit ein paar Mausklicks zu lösen ist:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Die Besonderheit von dir ist aber das du bestimmen willst an dem Port in welches VLAN dortiger untagged Traffic geforwardet wird. Normal wie gesagt immer vlan 1.
Ob man andere vlan bestimmen kann müsste das Manual zeigen. Stichwort native vlan...
http://forum.mikrotik.com/viewtopic.php?t=76078
usw.
Die CPU des 3011 ist wie gesagt ARM basierend und deshalb ist dort kein User-Manager verfügbar, der einfach begrenzt gültige Voucher herausgeben könnte.
Bist dur dir sicher ?? Das OS ist Router OS und da sollte das doch eigentlich egal sein ob ARM oder MIPS basierend. Hast du einen Quell die das beschreibt ??
Das WLAN ist verschlüsselt, Passwort gibt es auf Nachfrage
Tödlich für ein Gästenetz !!
Das Warum ist oben ja mehrfach beschrieben.
Du könntest natürlich noch einen transparenten Proxy wie Squid laufenlassen, dann weisst du wirklich wer was gemacht hat und welche Ziele die User nutzen.
Mitglied: damnbx
damnbx 23.08.2016 um 16:58:39 Uhr
Goto Top
Die CPU des 3011 ist wie gesagt ARM basierend und deshalb ist dort kein User-Manager verfügbar, der einfach begrenzt gültige Voucher herausgeben könnte.
Bist dur dir sicher ?? Das OS ist Router OS und da sollte das doch eigentlich egal sein ob ARM oder MIPS basierend. Hast du einen Quell die das beschreibt ??
Ja:
http://forum.mikrotik.com/viewtopic.php?t=104464#p519455
http://forum.mikrotik.com/viewtopic.php?t=104472#p519377

Das WLAN ist verschlüsselt, Passwort gibt es auf Nachfrage
Tödlich für ein Gästenetz !!
Das Warum ist oben ja mehrfach beschrieben.
Es ist mir trotzdem nicht vollständig klar. Ein Captive Portal mit personalisierten Vouchern hat doch nur den Vorteil, dass nur die ins Internet kommen, die einen Voucher bekommen. Es findet ja definitiv keine Verknüpfung zwischen Voucher und der Person inkl Adresse manuell statt, das ist hier nicht machbar und wird auch niemand machen. Somit hat man am Ende MAC, Voucher-Passwort und den Zeitraum. Damit hätte es nur den Effekt der Zugangskontrolle, die aber auch schon ohne Captive Portal schon durch die Reichweite der Access Points und zusätzlich durch ein Passwort geschützt ist. Damit habe ich am Ende ohne Captive Portal die MAC Adresse und den Zeitraum. Ganz abgesehen davon wird es ja sowieso nur sehr selten benötigt, da ja 99% der Dinge, vor die man sich durch so etwas schützen will, sowieso durch den VPN gar nicht bis zu mir kommen.
Verstehe mich nicht falsch, ich finde die Lösung mit dem Captive Portal und den Vouchern sehr gut, und sehe auch den Einsatzzweck dafür. Nur in meinem Fall sehe ich keine Notwendigkeit dafür, es würde nur mehr Aufwand bedeuten.
Mitglied: aqui
aqui 23.08.2016 um 19:02:12 Uhr
Goto Top
Es findet ja definitiv keine Verknüpfung zwischen Voucher und der Person inkl Adresse manuell statt,
Letztlich hast du da Recht wenn du die Voucher vollkommen anonymisiert ausgibst.
Den einzigen aber nicht zu unterschätzenden Vorteil hast du dann nur in der Zeit Limitierung und in der Anzahl der parallelen Logins.
Sprich einmal ist nach Ablauf des Zeitkontingents kein Login mehr möglich
Zweitens mit dem Limit des parallelen Logins auf 0 wird eine Weitergabe des Vouchers sinnlos, da dieser nicht mehrfach genutzt werden kann.
Das sind dann schonmal 2 größere Hürden für einen Missbrauch.
Bei der simplen Herausgabe des WLAN Schlüssels weiss es nach ein paar Stunden die Kinder und dann der Besuch und dann sagts der deen Kinder, die dann den Bekannten und alle 3 Tage dann die ganze Stadt oder Ort.
In die Falle bist du getappt. Alle 2 oder 3 Tage das Passwort ändern und Gästen das dann wieder zu verklickern ist schlimmer und unhandlicher als ein sinnvolles Voucher System, aber das ist letztlich wie immer Geschmackssache.
Jeder muss selber definieren welchen Spagat er geht bei Rechtssicherheit und Bequemlichkeit. Beides zum Nulltarif geht nicht....klar.
schon durch die Reichweite der Access Points und zusätzlich durch ein Passwort geschützt ist.
Nicht ganz wenn ein Client mit Richtantenne arbeitet. Da ist dann die "Reichweite" auch schon mal 10mal so groß.
sowieso durch den VPN gar nicht bis zu mir kommen.
Wieso VPN ?? Diese Lösung hat doch mit VPNs erstmal per se gar nichts zu tun ?? Eine Gastnetz Absicherung ist doch VPN frei. Wie kommst du jetzt auf dies Thema ?
Mitglied: damnbx
damnbx 23.08.2016 um 21:01:28 Uhr
Goto Top
Danke für die Weiterführung des Gedankengangs!

> sowieso durch den VPN gar nicht bis zu mir kommen.
Wieso VPN ?? Diese Lösung hat doch mit VPNs erstmal per se gar nichts zu tun ?? Eine Gastnetz Absicherung ist doch VPN frei. Wie kommst du jetzt auf dies Thema ?
Der Router soll das VLAN für die Gäste durch ein VPN leiten. Das hat folgenden Vorteil: Auch wenn ich einmalige Voucher ausgebe, die Benutzer mit Voucher Codes zusammenführe und die Zeit speichere, eine Abmahnung kommt erstmal zu mir. Das ist nervig, weil man dann zum Anwalt muss um da rauszukommen, selbst wenn die Chancen gut ist und es kein wahnsinns Act ist.
Mit einem VPN spare ich mir diesen Schritt: Niemand wird für eine "einfache" Abmahnung den Aufwand eingehen und den VPN aushebeln um das ganze zurückzuverfolgen - das ist ja schließlich auch nicht gerade einfach. Und wenn es doch mal dazu kommt, dann habe ich die Logs und brauche sowieso einen Anwalt. Es ist also einfach nur zur Vermeidung von Aufwand und mit nur geringen monatlichen Kosten verbunden.

Ich habe auch mal Bekannte die in Hotels/Ferienwohnungen arbeiten oder diese betreiben gefragt. Die eine Hälfte hat keine Ahnung wie das funktioniert, das macht jemand anders, die andere Hälfte meinte "dass das Internet umgeleitet wird", oder sie auch Boxen wie die Beschützerbox oder Sorglosbox (diese Namen.....) haben. Bei den APs selbst dagegen sind die Ufos sehr verbreitet, mit TP Links als APs hat wohl niemand auf Dauer gute Erfahrungen gemacht unter den Leuten, die ich gefragt habe.
Mitglied: aqui
aqui 23.08.2016 aktualisiert um 23:46:18 Uhr
Goto Top
Willst du das VPN selber betreiben ?? Sprich alo der Tunnel Endpoint ist dann bei dir ??
Das wäre letztlich sinnfrei weil dann deine IP dann der Verursacher ist.
Bei öffentlichen VPN Providern ist es das gleiche. Die geben dir einen von ihnen generierten Schlüssel, können damit also auch jeglichen Verkehr entschlüsseln und kenn durch den User Passwort bezug auch den Verursacher und werden es dann wieder auf dich abwälzen.
Schlimmer noch., durch den nicht mehr geheimen Schlüssel haben sie sogar noch den Inhalt da sie es problemlos entschlüsseln können.
Was also soll ein VPN hier ??

Beschützer- oder Sorglos Boxen sind Provider die den Gastraffic Traffic per GRE oder VPN tunneln, das ist schon richtig.
Da für sie Providerstatus gilt ist die Rechtslage etwas anders als bei Privatpersonen. Fakt ist aber das sie generell zu Lawful Intercept gesetztlich verpflichtet sind um Strafverfolgngbehörden die Daten zugänglich zu machen.
Als zahlender Nutzer bis du dann letztlich wieder dran.
Es ist ja nicht möglich hier quasi einen rechtsfreien Raum zu schaffen, das sollte dir doch klar sein !
Mitglied: damnbx
damnbx 24.08.2016 um 12:32:50 Uhr
Goto Top
Willst du das VPN selber betreiben ??
Nein, also das wäre ja wirklich vollkommen sinnbefreit.

Was also soll ein VPN hier ??
Es ist nicht ohne weiteres Möglich auszumachen, wer was genau im Internet über den VPN verursacht hat. Außerdem sind sie ein Provider, der dafür nicht haften muss. Der Provider führt keinerlei Logs und außerdem surfen da ein ganzer Satz Leute auf der selben IP. Dass es rein theoretisch möglich ist ist mir klar, allerdings nur mit einem wahnsinnig hohen Aufwand, und so schnell übersteigt der Aufwand den Nutzen nicht und selbst wenn dann habe ich noch meine Logs.

Beschützer- oder Sorglos Boxen sind Provider die den Gastraffic Traffic per GRE oder VPN tunneln, das ist schon richtig.
Das was ich mache ist das selbe, nur dass ich mich auf kein Gerät verlasse, welches praktisch eine Blackbox ist, da ich da keinen Zugriff drauf habe.
Da für sie Providerstatus gilt ist die Rechtslage etwas anders als bei Privatpersonen. Fakt ist aber das sie generell zu Lawful Intercept gesetztlich verpflichtet sind um Strafverfolgngbehörden die Daten zugänglich zu machen.
Klar, aber wenn es keine Daten oder Logs gibt kann man sie auch nicht rausrücken.

Nochmals, es geht hier auch nur um "einfache" Abmahnungen zu vermeiden, für Dinge die ich selbst nicht getan habe und dafür nicht verantwortlich bin. Das private Netz geht direkt über den Internetanschluss.
Mitglied: aqui
aqui 24.08.2016 um 12:48:20 Uhr
Goto Top
Nein, also das wäre ja wirklich vollkommen sinnbefreit.
Bedeutet das du dann aber als VPN Kunde bei einem Dienstleister wieder rechtlich dran bist wenn über deinen Tunnel Straftaten begangen werden. Über den Login des VPN Schlüssels bist du für den Dienstleister wieder einwandfrei identifizierbar.
Es ist nicht ohne weiteres Möglich auszumachen, wer was genau im Internet über den VPN verursacht hat.
Doch ! Der VPN Betreiber "sieht" ja am Tunnelendpunkt wieder alle originären IP Adressen die dann über den VPN Schlüssel wieder eindeutig dir zuzuordnen sind. Gesetzlich ist jeder Provider dazu verpflichtet !
Um es wirklich unkenntlich zu machen musst du sowas wie ein TOR Netzwerk nutzen, was dann aber eine rechtliche Grauzone ist.
Außerdem sind sie ein Provider, der dafür nicht haften muss.
Richtig, der wird aber dich dann als Kunde ans Messer liefern !
Der Provider führt keinerlei Logs und außerdem surfen da ein ganzer Satz Leute auf der selben IP
Ha ha ha... naive Annahme...aber träume gerne weiter. Wäre dem so wäre das ein rechtsfreier Raum...gibt es bekanntermaßen nicht.
allerdings nur mit einem wahnsinnig hohen Aufwand,
Keineswegs. Über deinen Login bekommst du eine eindeutig identifizierbare Tunnel IP und bist voll haftbar.
Der VPN Provider wird dich kaum als anonymen Kunden führen, oder ?
nur dass ich mich auf kein Gerät verlasse, welches praktisch eine Blackbox ist, da ich da keinen Zugriff drauf habe.
Auch das ist doch naiv. Du verlässt dich doch auf den VPN Provider und seine "VPN Blackbox". Auch da hast du keinerlei Einflussmöglichkeiten !
Klar, aber wenn es keine Daten oder Logs gibt
Die gibt es aber zweifelsohne. Der Provider ist dazu verpflichtet.
Du solltest das alles besser nochmal überdenken ob du dan nicht gründlich auf dem Holzweg bist ?!
Mitglied: damnbx
damnbx 24.08.2016 um 14:45:34 Uhr
Goto Top
Du verstehst meine Absicht nicht ganz, ich habe nicht vor einen rechtsfreien Raum zu erstellen, sondern die Hürden für das Ausfindigmachens des Anschlusses ein wenig höher zu setzen.

Die Abmahnindustrie in der Form gibt es so praktisch nur in Deutschland, da kein anderes Land so sehr davon ausgeht, dass der Störer auch der ist, dem der Anschluss gehört. Dass das nach den neuen Gesetzen weiterhin so ist haben unzählige Anwalte bestätigt.

Zuerst sieht man also die IP eines Rechenzentrums in den Niederlanden, in Schweden oder wo auch immer der Server steht. Das hält schon mal einige ab, da es 1) nicht in Deutschland ist und somit um ein vielfaches aussichtsloser, und 2) es sich um ein Rechenzentrum handelt. Die IP zeigt auf einen Server, der dem VPN Provider gehört, was sich mit Mithilfe des Rechenzentrums relativ einfach ausfindig machen lässt. Das ganze muss dann nun mit einem gerichtlichen Vollstreckungsbefehl in dem Land des Providers (!) an diesen herangetragen werden. Nun gehen durch den Server zudem die IP gehört ein ganzer Haufen VPNs, das heißt der VPN Provider muss nun irgendwie alles zusammenführen. Er braucht nicht nur Metadaten der Verbindung selbst, was bestimmt von einigen geloggt wird, sondern muss auch noch alle besuchten Seiten und Dienste speichern. Meiner Meinung nach ist das nicht der Fall, aber selbst wenn, das ändert gar nichts an dem, wofür ich den VPN einsetzen will.

> Der Provider führt keinerlei Logs und außerdem surfen da ein ganzer Satz Leute auf der selben IP
Ha ha ha... naive Annahme...aber träume gerne weiter. Wäre dem so wäre das ein rechtsfreier Raum...gibt es bekanntermaßen nicht.
Der Provider führt keine Logs da es nicht notwendig ist und kein Gesetz es vorschreibt, da er nicht in der EU ist.
Siehe hier: https://www.bestvpn.com/blog/5539/data-retention-and-vpn-logging-in-the- ...
Nun, wenn er dann meine IP hat, muss noch bei dem Telekommunikationsanbieter, auch wieder rechtlich korrekt (aber in DE sehr einfach) die IP zugeordnet werden.

Wie oben gesagt, will ich mit einem VPN bezwecken, dass es einfach nur schwerer wird, Rechtsverletzungen mir aufzudrücken, die ich nicht begangen habe. Dass es möglich ist bezweifle ich doch gar nicht, aber im Vergleich zu "wir gehen zu Anbieter xy und fragen wem die IP gehört" ist das um ein vielfaches komplizierter.
Mitglied: aqui
aqui 25.08.2016 um 10:10:01 Uhr
Goto Top
OK, das stimmt natürlich das das die Hürden etwas höher setzt. Trotzdem ist aber deine Annahme Der Provider führt keine Logs da es nicht notwendig ist und kein Gesetz es vorschreibt, da er nicht in der EU ist. naiv denn sie ist schlicht falsch.
Jeder Provider ist weltweit verpflichtet eine Infrastruktur für lawful intercept vorzuhalten und zu betreiben.
OK Länder wie Nordkorea, Irak usw. mehr oder weniger nicht aber andere schon. Das ist also recht naiv wenn du meinst das dort keinerlei Logging oder Traffic Analyse gemacht wird.
Die Hürden der Recherche sind sicher höher und werden einen Feld- Wald und Wiesenabmahnanwalt abhalten da hast du zweifelsohne Recht aber du kannst dir sicher sein wenn einer über deinen Link Kinderpornos tauscht oder andere kapitale Delikte begeht dann macht man jeden ausfindig. Nordkorea usw. ausgenommen, klar aber es dürfte sicher auch schwer sein hier einen VPN Tunnel zu etablieren.
In so fern stimmt deine Theorie dann.