fohnbit
Goto Top

Adult Filter WLAN - iPads

Hallo,

ich betreue 2 kleinen Schulen die nun Ihre iPads für die Kids absichern müssen. Nun suche ich nach Möglichkeiten.
Von Apple bekommen wir keine, das ist schon besprochen.
Jamf School bietet nicht wirklich viel an.

Meine Idee:
Ein eigene SSID für die Kids iPads und daran fürs erste openDNS. Aber filtert openDNS URLs zuverlässig und hat selbst zahlreiche Urls gespeichert, die unangemessen sind? Weiters sollen alle Social Webseiten gesperrt sein.

Oder hat jemand eine Idee wie man so ein Netzwerk mit einigen iPads Kindertauglich macht?

Danke!

Content-ID: 671995

Url: https://administrator.de/forum/adult-filter-wlan-ipads-671995.html

Ausgedruckt am: 17.03.2025 um 20:03 Uhr

Freak-On-Silicon
Freak-On-Silicon 17.03.2025 aktualisiert um 15:22:37 Uhr
Goto Top
Ich würd https://one.one.one.one/family/ 1.1.1.3 nehmen.

Hab ich so in einer Volksschule laufen, und die Samsung Tablets können auf keinen Adult Content zugreifen.

Ob das auch bei iPads funktioniert, keine Ahnung, musst du probieren.
Wie perfekt das wirklich funktioniert kann ich dir nicht sagen, es gab bisher keine beschwerden.
Und einige Eltern haben das ganz genau probiert....

Punkto Social Websites sperren, fällt mir jetzt nur ein, das Ganze gleich mit einem PiHole bzw Adguard zu machen.
Fohnbit
Fohnbit 17.03.2025 um 15:24:46 Uhr
Goto Top
Zitat von @Freak-On-Silicon:

Ich würd https://one.one.one.one/family/ 1.1.1.3 nehmen.

Hab ich so in einer Volksschule laufen, und die Samsung Tablets können auf keinen Adult Content zugreifen.

Ob das auch bei iPads funktioniert, keine Ahnung, musst du probieren.
Wie perfekt das wirklich funktioniert kann ich dir nicht sagen, es gab bisher keine beschwerden.
Und einige Eltern haben das ganz genau probiert....

Punkto Social Websites sperren, fällt mir jetzt nur ein, das Ganze gleich mit einem PiHole bzw Adguard zu machen.


Danke, das scheint dem selben Prinzip wie openDNS zu funktionieren(?)
Freak-On-Silicon
Freak-On-Silicon 17.03.2025 um 15:25:42 Uhr
Goto Top
Wennst das 1.1.1.3 meinst, dann ja, ist von cloudflare.
Visucius
Visucius 17.03.2025 um 15:35:29 Uhr
Goto Top
adguard home für das schulnetz als dns hinterlegen?


Aber wie Du es auch immer machst, am Ende kann doch jeder Client auch einen manuellen DNS einsetzen?
Fohnbit
Fohnbit 17.03.2025 um 15:43:05 Uhr
Goto Top
Zitat von @Visucius:

adguard home für das schulnetz als dns hinterlegen?


Aber wie Du es auch immer machst, am Ende kann doch jeder Client auch einen manuellen DNS einsetzen?

Die iPads habe ich im MDM und dann würde ich das WLAN fixieren und sperren. Ich meine dann kann es keiner mehr ändern. Das muss ich aber erst noch genauer prüfen.

Adguard Home ist wohl auch auf DNS Filterung ausgerichtet, oder?

Bei openDNS bin ich der Meinung ich kann eigene hinzufügen. Also Facebook, Instagram, usw.
Visucius
Visucius 17.03.2025 aktualisiert um 15:46:37 Uhr
Goto Top
Das manuelle hinzufügen geht bei adguard home auch. Vor allem könntest Du es auch staffeln. Lokal adguard home und der greift dann auf cloudflare zurück.

Mit MDM habe ich keine Erfahrung. Aber das kann man ja prüfen ob Du dann noch am iPad am DNS rumspielen kannst face-wink
aqui
aqui 17.03.2025 aktualisiert um 15:54:10 Uhr
Goto Top
Adguard Home ist wohl auch auf DNS Filterung ausgerichtet, oder?
Ja, filtert aber mit aktiviertem Safe Browsing, Browsing Security und Parential Control Service sehr sicher so gut wie alles mit Gewalt und unter der Gürtellinie raus, inkl. der ganzen ungewünschten Schnüffelapps ala Facebook & Co.
Positiv auch das gleich integrierte DoH und DoT.
https://www.heise.de/ratgeber/Adblocker-fuers-Netz-Starthilfe-und-Tipps- ...
https://www.heise.de/ratgeber/Effizient-Werbung-blockieren-Anleitung-fue ...
Fohnbit
Fohnbit 17.03.2025 um 16:00:33 Uhr
Goto Top
Zitat von @aqui:

Adguard Home ist wohl auch auf DNS Filterung ausgerichtet, oder?
Ja, filtert aber mit aktiviertem Safe Browsing, Browsing Security und Parential Control Service sehr sicher so gut wie alles mit Gewalt und unter der Gürtellinie raus, inkl. der ganzen ungewünschten Schnüffelapps ala Facebook & Co.
Positiv auch das gleich integrierte DoH und DoT.
https://www.heise.de/ratgeber/Adblocker-fuers-Netz-Starthilfe-und-Tipps- ...
https://www.heise.de/ratgeber/Effizient-Werbung-blockieren-Anleitung-fue ...

Danke, erst jetzt gesehen das man Adguard selber hosten muss.

Das ist nun leider eine Querfrage, aber kann eigentlich der Windows Server 2022 DHCP Dienst, je nach MAC Adresse unterschiedliche Konfigurationen zuteilen? Dann müsste ich das Netzwerk nicht mit VLAN splitten.

Verbaut sind Omada TP Link Access Points. Da würde ich sonst ein eigenes WLAN erstellen. Aber dieses bräuchte dann die passenden DNS Einträge.

Die ganze restliche Schule soll so bleiben wie bisher
CamelCase
CamelCase 17.03.2025 aktualisiert um 16:05:53 Uhr
Goto Top
Schau dir mal JusProgDNS an, nutzen wir auch, in der DNS-Variante
Visucius
Visucius 17.03.2025 um 16:18:56 Uhr
Goto Top
Du wirst wenig Unterstützung für ein Schulnetz ohne vLANs finden. Das ist ja sozusagen die Basis von allem.
aqui
aqui 17.03.2025 um 16:36:38 Uhr
Goto Top
Das ist ja sozusagen die Basis von allem.
Richtig! Kenne keine Schule die heutzutage ohne eine zentrale Userverwaltung mit dynamischen VLANs unter Radius arbeitet. Alles andere wäre in dem Umfeld grob fahrlässig!
DerMaddin
DerMaddin 17.03.2025 um 16:41:43 Uhr
Goto Top
Moin,

wie ist das mit der Sicherheit des iOS auf den Geräten? Durch MDM oder andere Maßnahmen sichergestellt, dass die Anwender die Einstellungen nicht anpassen können? Wenn nicht, dann kann jeder etwas technische begabte User die DNS-Einstellungen ändern.

DNS ist eine schnelle und einfache Methode, kann aber auch einfach umgangen werden.

Ich würde auf Content/Application-Filter setzen. Bei TP-Link/Omada ist es, soweit mir bekannt, auch enthalten in den ER... Routern.
Fohnbit
Fohnbit 17.03.2025 um 17:07:54 Uhr
Goto Top
Zitat von @DerMaddin:

Moin,

wie ist das mit der Sicherheit des iOS auf den Geräten? Durch MDM oder andere Maßnahmen sichergestellt, dass die Anwender die Einstellungen nicht anpassen können? Wenn nicht, dann kann jeder etwas technische begabte User die DNS-Einstellungen ändern.

DNS ist eine schnelle und einfache Methode, kann aber auch einfach umgangen werden.

Ich würde auf Content/Application-Filter setzen. Bei TP-Link/Omada ist es, soweit mir bekannt, auch enthalten in den ER... Routern.

Ja, der Weg über DNS ist simple und nicht so sicher. Auch die Eingabe der IP direkt würde es umgehen.

Es sind nur die Accesspoints verbaut. Also keine Zentrale wie der OC200 oder andere Hardware von TP Link.

Es wird wohl im ersten Step auf die DNS Filterung hinauslaufen. Mal sehen was die Schule rückmeldet
kaiand1
kaiand1 17.03.2025 um 17:47:16 Uhr
Goto Top
Für die DNS Server Änderung ist ja eine gute Firewall/Router da die diese Anfrage einfach Umleitet auf des Lokale System und lässt nicht die Anfrage raus...
Geht auch mit einen Mikrotik.
Dann kann der User die DNS Server ändern wie er möchte und landet dennoch nur beim Lokalen mit den Einschränkungen.
Auch eine Umleitung der Zeitserver wäre Sinnvoll da die Hersteller ja gerne ihre eigenen Verwenden (Updates gerne Überschrieben werden) und so schon bei den Endgeräten wegen der Laufzeit ins Ausland die Zeiten nicht überall gleich waren was bei Zeitlimits dann Probleme macht....