24
Absicherung für Internet-Anschlussinhaber in WG - evtl. RADIUS
Hallo,
Ich wohne in einer WG mit 9 Personen. In dieser WG gibt es ein Netzwerk (ein Router, viele Clients (Kabel und WLAN), meherer Wlan Access points, Server (Windows Server 2008)) das mit VDSL50 (in den nächsten tagen) an das Internet angeschlossen ist.
Nun soll das Netzwerk sicherer werden (in erster Linie für den Anschlussinhaber). Es hat sich heraus gestellt, das der Internetzugang bei einer WG dieser größe leider nicht mehr richtig kontrollierbar ist. Deshalb soll sich etwas ändern.
Ich dachte dabei an einen Radiusserver (FreeRadius), der in einer VM auf dem Server läuft. Somit müsste sich schonmal jeder einzeln Authentifizieren bevor er das Netzwerk nutzen darf. Darauf aufbauend, wollte ich nun den Traffic mitschneiden, um im falle von Filesharing etc. die Schuld von mir (dem Anschlussinhaber) abweisen zu können.
Mein Frage ist nun, ob ihr vllt. eine Idee habt, die das Problem evtl. besser lösen würde? Habt ihr Tipps/Anmerkungen zur Durchführung dieser Idee?
Der neue Router (Speedport W723v) ist noch nicht bei uns, unterstützt er einen exterenen radius Server?
Bringt es überhaupt was, den Traffic mitzuschneiden? Ist das im Falle des Falles ein gültiger "Beweis"?
Ich weiß, dass das nicht gerade die feine Art ist, den Traffic mitzuschneiden, aber es würde mit allen abgesprochen werden. Die WG will auch nicht zusammen zahlen, nur weil einer Mist gebaut hat.
Der Ratschlag, dass man einfach Ausmachen sollte, dass Filesharing etc. tabu sind, hilft in dieser Situation leider nicht sehr weiter, da 9 Personen nunmal auch Besuch kriegen etc.. In der WG ist ein sehr großer "Durchlauf" an Personen, die nunmal auch ab und zu das Internet mit Ihren Laptops nutzen.
Am Ende wird dann vllt. gesagt "Der wars!"...was mir dann aber auch nicht weiterhilft.
Ich hoffe Ihr helft mir.
Ich wohne in einer WG mit 9 Personen. In dieser WG gibt es ein Netzwerk (ein Router, viele Clients (Kabel und WLAN), meherer Wlan Access points, Server (Windows Server 2008)) das mit VDSL50 (in den nächsten tagen) an das Internet angeschlossen ist.
Nun soll das Netzwerk sicherer werden (in erster Linie für den Anschlussinhaber). Es hat sich heraus gestellt, das der Internetzugang bei einer WG dieser größe leider nicht mehr richtig kontrollierbar ist. Deshalb soll sich etwas ändern.
Ich dachte dabei an einen Radiusserver (FreeRadius), der in einer VM auf dem Server läuft. Somit müsste sich schonmal jeder einzeln Authentifizieren bevor er das Netzwerk nutzen darf. Darauf aufbauend, wollte ich nun den Traffic mitschneiden, um im falle von Filesharing etc. die Schuld von mir (dem Anschlussinhaber) abweisen zu können.
Mein Frage ist nun, ob ihr vllt. eine Idee habt, die das Problem evtl. besser lösen würde? Habt ihr Tipps/Anmerkungen zur Durchführung dieser Idee?
Der neue Router (Speedport W723v) ist noch nicht bei uns, unterstützt er einen exterenen radius Server?
Bringt es überhaupt was, den Traffic mitzuschneiden? Ist das im Falle des Falles ein gültiger "Beweis"?
Ich weiß, dass das nicht gerade die feine Art ist, den Traffic mitzuschneiden, aber es würde mit allen abgesprochen werden. Die WG will auch nicht zusammen zahlen, nur weil einer Mist gebaut hat.
Der Ratschlag, dass man einfach Ausmachen sollte, dass Filesharing etc. tabu sind, hilft in dieser Situation leider nicht sehr weiter, da 9 Personen nunmal auch Besuch kriegen etc.. In der WG ist ein sehr großer "Durchlauf" an Personen, die nunmal auch ab und zu das Internet mit Ihren Laptops nutzen.
Am Ende wird dann vllt. gesagt "Der wars!"...was mir dann aber auch nicht weiterhilft.
Ich hoffe Ihr helft mir.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 169178
Url: https://administrator.de/contentid/169178
Ausgedruckt am: 25.11.2024 um 13:11 Uhr
24 Kommentare
Neuester Kommentar
Moin
Die Frage ist erst einmal, was dir ein RADIUS-Server da helfen soll ? vgl. dazu http://de.wikipedia.org/wiki/RADIUS
(...)ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und zum Accounting (Triple-A-System) von Benutzern bei Einwahlverbindungen in ein Computernetzwerk dient.
Ich glaube, du suchst eher einen Proxy-Server.
Gruß
Die Frage ist erst einmal, was dir ein RADIUS-Server da helfen soll ? vgl. dazu http://de.wikipedia.org/wiki/RADIUS
(...)ist ein Client-Server-Protokoll, das zur Authentifizierung, Autorisierung und zum Accounting (Triple-A-System) von Benutzern bei Einwahlverbindungen in ein Computernetzwerk dient.
Ich glaube, du suchst eher einen Proxy-Server.
Gruß
"um im falle von Filesharing etc. die Schuld von mir (dem Anschlussinhaber) abweisen zu können."
Das wird so leider nicht klappen, über die Störerhaftung ist der Anschlussinhaber immer dran.
Präsentiert der Anschlussinhaber den wahren Urheberechtsverletzer, so kann der Abmahnanwalt beide abmahnen den Anschlussinhaber und den Filesharer.
Das wird so leider nicht klappen, über die Störerhaftung ist der Anschlussinhaber immer dran.
Präsentiert der Anschlussinhaber den wahren Urheberechtsverletzer, so kann der Abmahnanwalt beide abmahnen den Anschlussinhaber und den Filesharer.
Gibt es da keine Möglichkeit? Wie macht es den z.B. eine Universität?
Damit wollt ich den jeweiligen Nutzer identifiezieren, da eine Identifizierung über MAC oder IP Adresse nicht sinvoll wäre, da vereinzelte Personen auch mehrere Rechner haben. Da fiel mir als einzige Lösung ein Radius ein
Zitat von @SteVOOO:
Nun soll das Netzwerk sicherer werden (in erster Linie für den Anschlussinhaber). Es hat sich heraus gestellt, das der
Internetzugang bei einer WG dieser größe leider nicht mehr richtig kontrollierbar ist. Deshalb soll sich etwas
ändern.
Ich dachte dabei an einen Radiusserver (FreeRadius), der in einer VM auf dem Server läuft. Somit müsste sich schonmal
jeder einzeln Authentifizieren bevor er das Netzwerk nutzen darf. Darauf aufbauend, wollte ich nun den Traffic mitschneiden, um im
falle von Filesharing etc. die Schuld von mir (dem Anschlussinhaber) abweisen zu können.
Frage das am besten einen Anwalt. In Foren darf sowieso keine Rechtsberatung gegeben werden...Nun soll das Netzwerk sicherer werden (in erster Linie für den Anschlussinhaber). Es hat sich heraus gestellt, das der
Internetzugang bei einer WG dieser größe leider nicht mehr richtig kontrollierbar ist. Deshalb soll sich etwas
ändern.
Ich dachte dabei an einen Radiusserver (FreeRadius), der in einer VM auf dem Server läuft. Somit müsste sich schonmal
jeder einzeln Authentifizieren bevor er das Netzwerk nutzen darf. Darauf aufbauend, wollte ich nun den Traffic mitschneiden, um im
falle von Filesharing etc. die Schuld von mir (dem Anschlussinhaber) abweisen zu können.
Bringt es überhaupt was, den Traffic mitzuschneiden? Ist das im Falle des Falles ein gültiger "Beweis"?
Ich weiß, dass das nicht gerade die feine Art ist, den Traffic mitzuschneiden, aber es würde mit allen abgesprochen
werden. Die WG will auch nicht zusammen zahlen, nur weil einer Mist gebaut hat.
Na super, dann bringt Dein Gegenüber halt auch ein "Logfile" mit dem er / sie beweist, das es jemand anders war... oder macht Deinen Server aus oder kippt einen Eimer Wasser drüber oder oder.Ich weiß, dass das nicht gerade die feine Art ist, den Traffic mitzuschneiden, aber es würde mit allen abgesprochen
werden. Die WG will auch nicht zusammen zahlen, nur weil einer Mist gebaut hat.
Ganz Abgesehen davon: Du willst Traffic mitschneiden und auch auswerten? Bei WG-Kollegen? Mit alles? Sehr schlau... frag das vielleicht auch mal einen Anwalt. Mit mir würdest Du auf jeden Fall Probleme kriegen, wenn ich mal meinen Laptop in so ner WG einstöpseln würde und das dann erfahre.
Für mich ist das keine technische Frage. Daher: Auf jeden Fall einen Anwalt fragen, ich glaube in der CT war auch mal ein Artikel zu dem Thema. Soweit ich weiss müssen ja kleine ISPs (<1000?) auch nix mitloggen (?).
Viel Spass noch und Gruß
Daniel
Vielen Dank für die ganzen Nettigkeiten 
"Ich weiß, dass das nicht gerade die feine Art ist, den Traffic mitzuschneiden"
also, wie du vllt. bemerkt hast, ist mir diese Lösung auch nicht gerade Recht.
"Mein Frage ist nun, ob ihr vllt. eine Idee habt, die das Problem evtl. besser lösen würde?"
deshalb schreibe ich hier, um evtl. zu erfahren wie Ihr sowas in solch einer Situation lösen würdet
AUS MEINER SICHT IST DAS EINE TECHNISCHE FRAGE. ICH FRAGE NACH TECHNISCHEN ALTERNATIVEN. WAS WÜRDE GEHEN AUSSER TRAFFICMITSCHNITT
Es heißt dabei immer "bei wg kollegen blabla" oder "mit mir würdest du probleme kriegen" ... versetze dich doch einfach mal in meine Lage, wie würdest du den handeln wenn der anschluss auf dich läuft? Auf gut Glück? Wir sprechen hier (wie bereits oben genaustens beschrieben) nicht von 3 Leuten unter denen sowas leicht abzusprechen oder zu klären ist.
Ich will es selber auch ohne TrafficMitschnitt klären, aber ich habe keine Idee die wirklich etwas bringen würde.
Übrigens: Ich hab vor mehreren jahren schonmal eine Abmahnung zahlen dürfen.
Eine Anmerkung noch:
"Mit mir würdest Du auf jeden Fall Probleme kriegen, wenn ich mal meinen Laptop in so ner WG einstöpseln würde und das dann erfahre."
Wenn ich ein Auto klaue und dann bleibe ich stehen weil der tank leer ist, verklage ich dann den Besitzer? o.O
"Ich weiß, dass das nicht gerade die feine Art ist, den Traffic mitzuschneiden"
also, wie du vllt. bemerkt hast, ist mir diese Lösung auch nicht gerade Recht.
"Mein Frage ist nun, ob ihr vllt. eine Idee habt, die das Problem evtl. besser lösen würde?"
deshalb schreibe ich hier, um evtl. zu erfahren wie Ihr sowas in solch einer Situation lösen würdet
AUS MEINER SICHT IST DAS EINE TECHNISCHE FRAGE. ICH FRAGE NACH TECHNISCHEN ALTERNATIVEN. WAS WÜRDE GEHEN AUSSER TRAFFICMITSCHNITT
Es heißt dabei immer "bei wg kollegen blabla" oder "mit mir würdest du probleme kriegen" ... versetze dich doch einfach mal in meine Lage, wie würdest du den handeln wenn der anschluss auf dich läuft? Auf gut Glück? Wir sprechen hier (wie bereits oben genaustens beschrieben) nicht von 3 Leuten unter denen sowas leicht abzusprechen oder zu klären ist.
Ich will es selber auch ohne TrafficMitschnitt klären, aber ich habe keine Idee die wirklich etwas bringen würde.
Übrigens: Ich hab vor mehreren jahren schonmal eine Abmahnung zahlen dürfen.
Eine Anmerkung noch:
"Mit mir würdest Du auf jeden Fall Probleme kriegen, wenn ich mal meinen Laptop in so ner WG einstöpseln würde und das dann erfahre."
Wenn ich ein Auto klaue und dann bleibe ich stehen weil der tank leer ist, verklage ich dann den Besitzer? o.O
Der aktuelle Rechtsstand ist wohl, wenn man als Inhaber schriftlich nachweisen kann, dass man den Nutzern illegales Krams untersagt hat, dann ist man raus.
Ansonsten einfach mehrere öffentliche IPs über PPPoE verteilen.
Anbieter für sowas gibts (wobei man dann bei VDSL mit VPN arbeiten muss) und du musst dich um nichts mehr kümmern, weil jeder seine eigene IP hat.
Trafficmitschnitt ist rechtlich so grenzwertig, dass wir darüber gar nicht reden wollen...
Ansonsten einfach mehrere öffentliche IPs über PPPoE verteilen.
Anbieter für sowas gibts (wobei man dann bei VDSL mit VPN arbeiten muss) und du musst dich um nichts mehr kümmern, weil jeder seine eigene IP hat.
Trafficmitschnitt ist rechtlich so grenzwertig, dass wir darüber gar nicht reden wollen...
Der Vergleich mit dem geklauten Auto hingt wohl arg, da Du ja den Traffic auch mitschneidest wenn ich nichts illegales mache.
Ich würde meinen Anschluss halt nicht teilen, wenn das so ein Problem ist (habe ich auch immer so gemacht).
"Bringt es überhaupt was, den Traffic mitzuschneiden?Ist das im Falle des Falles ein gültiger "Beweis"?" -> hat mit Technik nichts zu tun und ist wohl das Kernproblem und das ist ein juristisches.
Zur Technik: Als Proxy nehme ich ganz gerne den IPCop mit Advanced Proxy und BOT. Nur Zugang von bekannten Geräten (Identifizierung per MAC Adresse), sollte mit BOT gehen. Außerdem den IPCop dann als transparenten Proxy einrichten, und auf allen Clients als Router verwenden. Inwieweit es Logging Funktionen und Module zur Überwachung gibt kann ich nicht sagen, lässt sich aber wohl ganz gut selbst recherchieren und sollte eigentlich kein Problem sein.
Gruß Daniel
Ich würde meinen Anschluss halt nicht teilen, wenn das so ein Problem ist (habe ich auch immer so gemacht).
"Bringt es überhaupt was, den Traffic mitzuschneiden?Ist das im Falle des Falles ein gültiger "Beweis"?" -> hat mit Technik nichts zu tun und ist wohl das Kernproblem und das ist ein juristisches.
Zur Technik: Als Proxy nehme ich ganz gerne den IPCop mit Advanced Proxy und BOT. Nur Zugang von bekannten Geräten (Identifizierung per MAC Adresse), sollte mit BOT gehen. Außerdem den IPCop dann als transparenten Proxy einrichten, und auf allen Clients als Router verwenden. Inwieweit es Logging Funktionen und Module zur Überwachung gibt kann ich nicht sagen, lässt sich aber wohl ganz gut selbst recherchieren und sollte eigentlich kein Problem sein.
Gruß Daniel
Gerade erst gelesen, das wäre ja sogar eine Lösung... versuche ich mir zu merken.
also erstmal: Hauptsache du hast daran Spaß.
"Ich würde meinen Anschluss halt nicht teilen, wenn das so ein Problem ist (habe ich auch immer so gemacht)."
in unserer Wohnung gibt es leider, wie in dem überwiegenden Teil der Privatwohnungen in Deutschland, keine 9 telefonanschlüsse.
"hat mit Technik nichts zu tun und ist wohl das Kernproblem und das ist ein juristisches."
für mich ist das Kernproblem die Technik, deshalb standen die Fragen dazu auch vor den Juristischen ;)
trotzdem danke für deine Nette Beschreibung deines IPCop.
"Ich würde meinen Anschluss halt nicht teilen, wenn das so ein Problem ist (habe ich auch immer so gemacht)."
in unserer Wohnung gibt es leider, wie in dem überwiegenden Teil der Privatwohnungen in Deutschland, keine 9 telefonanschlüsse.
"hat mit Technik nichts zu tun und ist wohl das Kernproblem und das ist ein juristisches."
für mich ist das Kernproblem die Technik, deshalb standen die Fragen dazu auch vor den Juristischen ;)
trotzdem danke für deine Nette Beschreibung deines IPCop.
ok, ich werde also von einem Trafficmitschnitt abstand nehmen. Das mit den IPs ist wohl die beste Lösung. Soweit wird es wohl dann aber doch nicht kommen.
Hallo SteVOOO,
Vielleicht eine etwas einfachere Lösung:
Schnödes DSL-Modem hinter dem Splitter, dann ein Switch und für jeden ein DSL-Router, jeweils mit eigenen Verträgen, jeweils mit eigener IP.
Ich habe das noch nicht ausprobiert, die Nachfrage besteht eher darin, mehrere DSL-Leitungen für ein Netz zur Geschwindigkeitssteigerung zu nutzen. Aber wenn der Anschluss bei z.B. der Telekom ist, sind alle ankommenden zu Telekom-DSL-Verträgen gehörenden Authentifizierungen auch dort bekannt, wo "das andere Ende der Leitung" ist.
Die Geschwindigkeit der Leitung teilen sich dann alle, aber jeder hat seine eigene Einwahl. Einziges Manko: Alle müssen ihre Verträge beim gleichen ISP abschließen.
Rein technisch ist das Protokoll vor dem DSL-Modem Ethernet (mit verkapsteltem PPP), von daher können unzählige IP´s da rüber gehen. Die Frage ist nur, ob Dein ISP nicht jeder MAC-Adresse auf der anderen Seite des DSLAM nur eine IP zuordnet.
Ich werde es die nächsten Tage mal ausprobieren, erstmal rumtelefonieren, wer noch beim gleichen ISP wie ich seinen Vertrag hat und mal gucken, wer mir so sehr vertraut, dass er mir seine Daten rübergibt.
Zwei DSL-Modems gleichzeitig kann ich dann immerhin testen, nur ein separaten Switch muß ich dafür ordern. Alternativ mehrere Rechner, die sich direkt, ohne DSL Router einwählen. Dann stehen diese allerdings ungeschützt im Internet und wenigstens NAT/Firewall des DSL-Routers braucht man schon.
Ich werde Dir berichten.
Gruß - Björn
Update: Die Verbindung vom DSL-Modem per Patchkabel in den Switch des DSL-Routers und dann die WAN-Seite des Routers per Cross-Over-Kabel in den selben Switch des selben Routers hat schonmal funktioniert, schreibe grade dieses Update in dieser Konfiguration. Also nur noch Die Anmeldedaten bekommen und den zweiten DSL-Router in den Switch des ersten DSL-Routers.
Mein Gott, was für eine verwurschtelte Konfiguration... *lach*
Vielleicht eine etwas einfachere Lösung:
Schnödes DSL-Modem hinter dem Splitter, dann ein Switch und für jeden ein DSL-Router, jeweils mit eigenen Verträgen, jeweils mit eigener IP.
Ich habe das noch nicht ausprobiert, die Nachfrage besteht eher darin, mehrere DSL-Leitungen für ein Netz zur Geschwindigkeitssteigerung zu nutzen. Aber wenn der Anschluss bei z.B. der Telekom ist, sind alle ankommenden zu Telekom-DSL-Verträgen gehörenden Authentifizierungen auch dort bekannt, wo "das andere Ende der Leitung" ist.
Die Geschwindigkeit der Leitung teilen sich dann alle, aber jeder hat seine eigene Einwahl. Einziges Manko: Alle müssen ihre Verträge beim gleichen ISP abschließen.
Rein technisch ist das Protokoll vor dem DSL-Modem Ethernet (mit verkapsteltem PPP), von daher können unzählige IP´s da rüber gehen. Die Frage ist nur, ob Dein ISP nicht jeder MAC-Adresse auf der anderen Seite des DSLAM nur eine IP zuordnet.
Ich werde es die nächsten Tage mal ausprobieren, erstmal rumtelefonieren, wer noch beim gleichen ISP wie ich seinen Vertrag hat und mal gucken, wer mir so sehr vertraut, dass er mir seine Daten rübergibt.
Zwei DSL-Modems gleichzeitig kann ich dann immerhin testen, nur ein separaten Switch muß ich dafür ordern. Alternativ mehrere Rechner, die sich direkt, ohne DSL Router einwählen. Dann stehen diese allerdings ungeschützt im Internet und wenigstens NAT/Firewall des DSL-Routers braucht man schon.
Ich werde Dir berichten.
Gruß - Björn
Update: Die Verbindung vom DSL-Modem per Patchkabel in den Switch des DSL-Routers und dann die WAN-Seite des Routers per Cross-Over-Kabel in den selben Switch des selben Routers hat schonmal funktioniert, schreibe grade dieses Update in dieser Konfiguration. Also nur noch Die Anmeldedaten bekommen und den zweiten DSL-Router in den Switch des ersten DSL-Routers.
Mein Gott, was für eine verwurschtelte Konfiguration... *lach*
Bin jetzt noch auf was anderes gestoßen, und zwar die watchguard firebox. Damit könnte man doch auch einfach die Sharing Programme rausfiltern. Hat jemand Erfahrung damit? Vllt auch eine Freeware alternative?
Interessante Idee, aber 9 mal für ein und die selbe Leitung zahlen hört sich nicht so toll an. Aber wäre trotzdem interessant ob's funktioniert (kannst aber zb bei der Telekom kein dsl buchen an einer Adresse wo schon ein Vertrag läuft)
(kannst aber zb bei der Telekom kein dsl buchen an einer Adresse wo schon ein Vertrag läuft)
Die Leitung zahlst Du nur ein Mal. Aber der Vertrag, an den auch die Zugangsdaten geknüpft sind, zahlt jeder einzeln, z.B. 4*Flatrate, 5*Volumentarif. Das mit dem Buchen muss man dann halt mal sehen. Softwarelösungen sind dazu da, ausgehebelt zu werden.
Am besten fährst du mit einer Kombination aus mehreren Dingen.
Z.B. Squid Proxy und einer Firewall mit einem Captive Portal für Gäste:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auf dem Gästenetz setzt du ganz strikte Firewall Regeln so das z.B. nur Surfen und Email erlaubt ist (oder weniger) und hier von vorn herein schon ein Riegel vorgeschoben ist. Über die Einmalpasswörter kannst du auch jeden wieder identifizieren der sich angemeldet hat. Oder du gibst jedem WG Bewohner ein CP Passwort was er dann wenn er will und das Risiko trägt auch seinen individuellen Gästen mitteilen kann. Wenn die Mist machen nimmst du den Bewohner in die Pflicht...ganz einfach.
Du kannst das auch mit FreeRadius in einer VM machen wie dieses Tutorial beschreibt:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Allerdings ist der Aufwand recht hoch und bei 9 Bewohneren kannst du auch mit statischen Benutzereinträgen auf der FW bzw. Proxy problemlos leben.
Vor die Firewall plazierst du dann z.B. einen Squid_Proxy für die Bewohner
http://www.proesdorf.de/linux/squid_conf.php
mit Authentisierung oder eben transparent. Bei letzterem Modus musst du aber anhand der Mac Adressen der Bewohner feste IPs im DHCP vergeben um die Benutzer wieder authentifizieren zu können.
Hier kannst du dann ganz genau sehen welcher Benutzer wann, mit welchem Volumen, was gemacht hat. Damit ist eigentlich ein (fast) lückenloser Nachweis für dich möglich im Falle das.... Mit weiteren Squid Tools kannst du detailiertere Auswertungen fahren.
Was du letztlich mit den Benutzer bzw. Bewohnerdaten machst sei dir anheim gestellt.....besser dazu keine Diskussion entfachen hier !!
Alle Traffic Daten mitzuschneiden ist Blödsinn und scheitert allein schon an den Voluminas des Traffics, abgesehen davon ist es ja gar nicht nötig wenn du die obigen Massnahmen ergreifst. Du kannst ja dann zeitlich und aus den Authentisierungsdaten jeden Zugriff zuordnen und belegen.
Such dir das schönste aus....
Z.B. Squid Proxy und einer Firewall mit einem Captive Portal für Gäste:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
bzw.
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Auf dem Gästenetz setzt du ganz strikte Firewall Regeln so das z.B. nur Surfen und Email erlaubt ist (oder weniger) und hier von vorn herein schon ein Riegel vorgeschoben ist. Über die Einmalpasswörter kannst du auch jeden wieder identifizieren der sich angemeldet hat. Oder du gibst jedem WG Bewohner ein CP Passwort was er dann wenn er will und das Risiko trägt auch seinen individuellen Gästen mitteilen kann. Wenn die Mist machen nimmst du den Bewohner in die Pflicht...ganz einfach.
Du kannst das auch mit FreeRadius in einer VM machen wie dieses Tutorial beschreibt:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Allerdings ist der Aufwand recht hoch und bei 9 Bewohneren kannst du auch mit statischen Benutzereinträgen auf der FW bzw. Proxy problemlos leben.
Vor die Firewall plazierst du dann z.B. einen Squid_Proxy für die Bewohner
http://www.proesdorf.de/linux/squid_conf.php
mit Authentisierung oder eben transparent. Bei letzterem Modus musst du aber anhand der Mac Adressen der Bewohner feste IPs im DHCP vergeben um die Benutzer wieder authentifizieren zu können.
Hier kannst du dann ganz genau sehen welcher Benutzer wann, mit welchem Volumen, was gemacht hat. Damit ist eigentlich ein (fast) lückenloser Nachweis für dich möglich im Falle das.... Mit weiteren Squid Tools kannst du detailiertere Auswertungen fahren.
Was du letztlich mit den Benutzer bzw. Bewohnerdaten machst sei dir anheim gestellt.....besser dazu keine Diskussion entfachen hier !!
Alle Traffic Daten mitzuschneiden ist Blödsinn und scheitert allein schon an den Voluminas des Traffics, abgesehen davon ist es ja gar nicht nötig wenn du die obigen Massnahmen ergreifst. Du kannst ja dann zeitlich und aus den Authentisierungsdaten jeden Zugriff zuordnen und belegen.
Such dir das schönste aus....
Ob man "raus" ist entscheidet immer ein Richter, ein Abmahnanwalt wird sich mit dem Hinweis, man habe Urheberrechtverletzungen untersagt, nicht begnügen.
Moin,
so muss jetzt auch noch meinen Senf dazu geben, da ich etwas ähnliches allerdings im größeren Rahmen umsetzen muss!
So wie das sich im Moment darstellt, trittst Du als Provider auf. Derzeit ist noch keine Vorrat-Datenspeicherung beschlossen. Als Provider brauchst Du nur die Abrechnungsrelevanten Daten vorhalten bis, zur Abrechnung! Ob das bei Dir auch greift bin ich mir unsicher ... Mitstörer wärst Du aber trotzdem. Mir ist aber bspw. nicht bekannt, dass eine Telekom oder eine 1&1 etc. für illegale Downloads in die Haftung genommen wurden. Meine Annahme wäre in diesem Fall, dass Du eine Unterlassungserklärung abgeben müsstest und in dem Fall das der eigentlich Täter nicht ermittelbar ist, Du in die Haftung genommen wirst.
Vorsichtig würde ich auch in Bezug auf das "heimliche" Mitschneiden sein! Da kannst Du rechtlich Probleme bekommen (sog. Hacker Paragraph, Telefongeheimnis, Briefgeheimnis, etc. ...). Ich würde Dir empfehlen, das Deine Mitbewohner mindestens eine Erklärung unterschreiben, in der Du darauf hinweist und die Regeln der Nutzung erläuterst ....
Ich würde Dir auf jeden Fall empfehlen, noch einmal einen Rechtsanwalt zu konsultieren!
Interessant ist, das ja auch die großen Provider die Speicherung er IP Adressen ganz unterschiedlich halten. Soweit ich weiß, löscht 1&1 direkt, Telekom speichert länger - immer mit der Begründung Sie brauchen die IP Adressen für die Abrechnung oder eben nicht!
Mein Plan sieht bspw. derzeit so aus, dass ich jeden Nutzer eine entsprechende Erklärung unterschreiben lasse. Unklar bin ich mir noch darüber, ob es genügt, das ich die Loginzeiten mit der internen IP speichere, oder ob ich tatsächlich auch Verbindungsdaten speichern muss. Letzteres möchte ich aus Datenschutzgründen nur ungern tun, falls doch, müssen diese aber nach vier Wochen automatisch gelöscht/überschrieben werden. Das werde ich in diesem Fall aber noch mit unseren Datenschutzbeauftragten klären.
Deswegen nochmal der Hinweis: ohne Beratung gehst du im Zweifelsfall unter! Aber Du könntest ja auch mal beim Datenschutzbeauftragten Deines Bundeslandes anfragen, auch der sollte Dir helfen ..
Gruß
Nagus
so muss jetzt auch noch meinen Senf dazu geben, da ich etwas ähnliches allerdings im größeren Rahmen umsetzen muss!
So wie das sich im Moment darstellt, trittst Du als Provider auf. Derzeit ist noch keine Vorrat-Datenspeicherung beschlossen. Als Provider brauchst Du nur die Abrechnungsrelevanten Daten vorhalten bis, zur Abrechnung! Ob das bei Dir auch greift bin ich mir unsicher ... Mitstörer wärst Du aber trotzdem. Mir ist aber bspw. nicht bekannt, dass eine Telekom oder eine 1&1 etc. für illegale Downloads in die Haftung genommen wurden. Meine Annahme wäre in diesem Fall, dass Du eine Unterlassungserklärung abgeben müsstest und in dem Fall das der eigentlich Täter nicht ermittelbar ist, Du in die Haftung genommen wirst.
Vorsichtig würde ich auch in Bezug auf das "heimliche" Mitschneiden sein! Da kannst Du rechtlich Probleme bekommen (sog. Hacker Paragraph, Telefongeheimnis, Briefgeheimnis, etc. ...). Ich würde Dir empfehlen, das Deine Mitbewohner mindestens eine Erklärung unterschreiben, in der Du darauf hinweist und die Regeln der Nutzung erläuterst ....
Ich würde Dir auf jeden Fall empfehlen, noch einmal einen Rechtsanwalt zu konsultieren!
Interessant ist, das ja auch die großen Provider die Speicherung er IP Adressen ganz unterschiedlich halten. Soweit ich weiß, löscht 1&1 direkt, Telekom speichert länger - immer mit der Begründung Sie brauchen die IP Adressen für die Abrechnung oder eben nicht!
Mein Plan sieht bspw. derzeit so aus, dass ich jeden Nutzer eine entsprechende Erklärung unterschreiben lasse. Unklar bin ich mir noch darüber, ob es genügt, das ich die Loginzeiten mit der internen IP speichere, oder ob ich tatsächlich auch Verbindungsdaten speichern muss. Letzteres möchte ich aus Datenschutzgründen nur ungern tun, falls doch, müssen diese aber nach vier Wochen automatisch gelöscht/überschrieben werden. Das werde ich in diesem Fall aber noch mit unseren Datenschutzbeauftragten klären.
Deswegen nochmal der Hinweis: ohne Beratung gehst du im Zweifelsfall unter! Aber Du könntest ja auch mal beim Datenschutzbeauftragten Deines Bundeslandes anfragen, auch der sollte Dir helfen ..
Gruß
Nagus
Vermutlich hat SteVOOO das Interesse an einer sinnvollen Lösung verloren wie man am mangelnden Feedback ja sehen kann hier 
Hoffentlich reichts dann noch für
Wie kann ich einen Beitrag als gelöst markieren?
Hoffentlich reichts dann noch für
Wie kann ich einen Beitrag als gelöst markieren?
Nö - dass wird nix mehr .... iss einfach ne unsitte ...
Nagus
Nagus
Ich danke euch allen für die Ideen. Werde wahrscheinlich einen mix daraus realisieren.
Um auch den Deckel auf meinem Senf hier zu schließen noch folgendes abschließend:
Ich habe keinen zweiten Satz Zugangsdaten erhalten, alle sind bei anderen Providern.
Obwohl ich jetzt gern auch ausprobieren würde, ob Verträge zweier unterschiedlicher Provider auch gehen würden, kann ich bis jetzt mal sagen, dass mehrere Einwahlen über die selbe DSL-Leitung funktionieren.
Ich habe das probehalber ein zweites Mal mit meinen eigenen Zugangsdaten gemacht!
Konfiguration war folgende: Hinter dem DSL-Modem auf einen Splitter, dann einmal nen Router dran und parallel ein PC direkt über den Wan-Miniport von Windows (auch PPPoE) eingewählt.
Ergebnis: Zwei unterschiedliche Internetadressen (78.52.xxx.xxx) gleichzeitig.
Es geht also, über eine DSL-Leitung mittels einem DSL-Modem über Splitter mehrere Teilnehmer mit eigenen Verträgen sich einwählen zu lassen!
Eigener Vertrag, eigene Verantwortung, was jeder macht.
Allerdings sollte vielleicht noch ein Load-Balancing stattfinden, damit nicht einer 90% der Bandbreite belegt und die Restlichen sich die verbleibenden 10% teilen.
Wie das allerdings bei PPPoE geht bin ich überfragt. Vielleicht kann jemand anders da ein passendes Stichwort geben.
Gruß - Björn
Ich habe keinen zweiten Satz Zugangsdaten erhalten, alle sind bei anderen Providern.
Obwohl ich jetzt gern auch ausprobieren würde, ob Verträge zweier unterschiedlicher Provider auch gehen würden, kann ich bis jetzt mal sagen, dass mehrere Einwahlen über die selbe DSL-Leitung funktionieren.
Ich habe das probehalber ein zweites Mal mit meinen eigenen Zugangsdaten gemacht!
Konfiguration war folgende: Hinter dem DSL-Modem auf einen Splitter, dann einmal nen Router dran und parallel ein PC direkt über den Wan-Miniport von Windows (auch PPPoE) eingewählt.
Ergebnis: Zwei unterschiedliche Internetadressen (78.52.xxx.xxx) gleichzeitig.
Es geht also, über eine DSL-Leitung mittels einem DSL-Modem über Splitter mehrere Teilnehmer mit eigenen Verträgen sich einwählen zu lassen!
Eigener Vertrag, eigene Verantwortung, was jeder macht.
Allerdings sollte vielleicht noch ein Load-Balancing stattfinden, damit nicht einer 90% der Bandbreite belegt und die Restlichen sich die verbleibenden 10% teilen.
Wie das allerdings bei PPPoE geht bin ich überfragt. Vielleicht kann jemand anders da ein passendes Stichwort geben.
Gruß - Björn
Versuchs mal mit ner zusätzlichen Hardware. Du könntest zum Bspl. eine Netbarry Box dazwischenhängen, die blockt den ganzen Kram.
www.netbarry.org Hab ich nach einigen Abmahnunge auch im Einsatz. Echt super!
www.netbarry.org Hab ich nach einigen Abmahnunge auch im Einsatz. Echt super!
Wie das allerdings bei PPPoE geht bin ich überfragt. Vielleicht kann jemand anders da ein passendes Stichwort geben.
Mit einem Dual WAN Port Load Balancing Router ala Draytek 29xx oder Linksys LRT 244 oder eine Dual Port Firewall:https://doc.pfsense.org/index.php/Multi-WAN
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
