10
Geräte vom Internet aussperren
Guten Tag,
ich benutze bei mir zu Hause ein ziemliches Sammelsurium von netzwerkfähigen Geräten:
3 Windoof PC's/Laptop, 2 Linux PC's, Synology NAS, Tablet PC, Smartphone. Zusätzlich sind noch in der Unterhaltungsabteilung ein Samsung SmartTv, 3 Sat Receiver auf Linux Basis und ein AV Receiver (Onkyo).
Jetzt ist mir aufgefallen, dass z.B. der Samsung SmartTv heimlich mit zu Hause telefoniert und ungefragt irgendwelche APP's installiert (Ich benutze die SmartTV Funktionen garnicht).
Ich möchte jetzt die Unterhaltungsabteilung (bis auf einen der Sat Receiver) vom Internetzugang ausschliessen. Die Geräte sollen aber im Intranet zu erreichen sein bzw. sich Mediendateien vom NAS holen dürfen. Ich benutze einen Router von TP-Link (WR1043ND) und auch eine Devolo Powerline Verbindung nebst 2 Etagenswitche (TP-Link) sind in Betrieb.
Der TP-Link Router kann die Kandidaten nicht davon abhalten ins Internet zu gehen (lt. TP-Link Support)
Was kann ich da machen? Anderen Router einsetzen? Welchen? Oder vielleicht eine Lösung auf Basis IPfire oder PFsense o.ä.?
Das ganze sollte dann noch entsprechen performant sein. Ich habe einen 120Mbit Anschluss von Unitymedia und meine Rechner und auch das NAS haben alle Gigabit Anschlüsse.
Vielen Dank für eure Hilfe
ich benutze bei mir zu Hause ein ziemliches Sammelsurium von netzwerkfähigen Geräten:
3 Windoof PC's/Laptop, 2 Linux PC's, Synology NAS, Tablet PC, Smartphone. Zusätzlich sind noch in der Unterhaltungsabteilung ein Samsung SmartTv, 3 Sat Receiver auf Linux Basis und ein AV Receiver (Onkyo).
Jetzt ist mir aufgefallen, dass z.B. der Samsung SmartTv heimlich mit zu Hause telefoniert und ungefragt irgendwelche APP's installiert (Ich benutze die SmartTV Funktionen garnicht).
Ich möchte jetzt die Unterhaltungsabteilung (bis auf einen der Sat Receiver) vom Internetzugang ausschliessen. Die Geräte sollen aber im Intranet zu erreichen sein bzw. sich Mediendateien vom NAS holen dürfen. Ich benutze einen Router von TP-Link (WR1043ND) und auch eine Devolo Powerline Verbindung nebst 2 Etagenswitche (TP-Link) sind in Betrieb.
Der TP-Link Router kann die Kandidaten nicht davon abhalten ins Internet zu gehen (lt. TP-Link Support)
Was kann ich da machen? Anderen Router einsetzen? Welchen? Oder vielleicht eine Lösung auf Basis IPfire oder PFsense o.ä.?
Das ganze sollte dann noch entsprechen performant sein. Ich habe einen 120Mbit Anschluss von Unitymedia und meine Rechner und auch das NAS haben alle Gigabit Anschlüsse.
Vielen Dank für eure Hilfe
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 264637
Url: https://administrator.de/forum/geraete-vom-internet-aussperren-264637.html
Ausgedruckt am: 22.12.2024 um 17:12 Uhr
10 Kommentare
Neuester Kommentar
Moin,
da hat dich der TP Link Support aber nicht gut informiert.
Schau dir mal das Handbuch an, Seite 68
http://www.tp-link.com.de/resources/software/de/de_2010717333514.pdf
VG
da hat dich der TP Link Support aber nicht gut informiert.
Schau dir mal das Handbuch an, Seite 68
http://www.tp-link.com.de/resources/software/de/de_2010717333514.pdf
VG
Hallo,
Neue Hardware muss nicht sein. Für deinen WR1043ND gibts DD-WRT als alternative Firmware. Die kann deutlich mehr als die original Firmware. Unter anderem auch Zugriffsbeschränkungen. Die Webgui für die Zugriffsrechte ist etwas umständlich für meinen Geschmack, aber man kann auch direkt iptable-rules setzen.
Infos zu DD-WRT:
Die aktuelle Version gibts hier ftp://ftp.dd-wrt.com/betas/
Nicht von der Bezeichnung "beta" abschrecken lassen. Die letzte nicht-beta von DD-WRT ist Jahre alt. DD-WRT betas laufen in der regel stabiler als die originalen TP-Link Firmwares.
Unbedingt vorher lesen: Installationsanleitungen für DD-WRT aus dem wiki oder forum. Beim flashen von Routern kann man durchaus was kaputt machen, wenn man sich nicht an die Anleitung hält!
Achtung: Die Routerdatenbank von DD-WRT ist ziemlich veraltet.
Mit freundlichen Grüßen
Cthluhu
Neue Hardware muss nicht sein. Für deinen WR1043ND gibts DD-WRT als alternative Firmware. Die kann deutlich mehr als die original Firmware. Unter anderem auch Zugriffsbeschränkungen. Die Webgui für die Zugriffsrechte ist etwas umständlich für meinen Geschmack, aber man kann auch direkt iptable-rules setzen.
Infos zu DD-WRT:
Die aktuelle Version gibts hier ftp://ftp.dd-wrt.com/betas/
Nicht von der Bezeichnung "beta" abschrecken lassen. Die letzte nicht-beta von DD-WRT ist Jahre alt. DD-WRT betas laufen in der regel stabiler als die originalen TP-Link Firmwares.
Unbedingt vorher lesen: Installationsanleitungen für DD-WRT aus dem wiki oder forum. Beim flashen von Routern kann man durchaus was kaputt machen, wenn man sich nicht an die Anleitung hält!
Achtung: Die Routerdatenbank von DD-WRT ist ziemlich veraltet.
Mit freundlichen Grüßen
Cthluhu
Moin,
entweder zwei IP-Ranges oder VLAN aufmachen, wenn der Spielzeugrouter das unterstützt ... oder die ganz doofe Variante: DHCP für die bösen Teile sein lassen und fake-gateway in die TCP/IP-Einstellungen reinklöppeln. Färdsch. Freuen.
LG, Thomas
entweder zwei IP-Ranges oder VLAN aufmachen, wenn der Spielzeugrouter das unterstützt ... oder die ganz doofe Variante: DHCP für die bösen Teile sein lassen und fake-gateway in die TCP/IP-Einstellungen reinklöppeln. Färdsch. Freuen.
LG, Thomas
Mahlzeit!
Im günstigsten Fall haben alle Geräte eine fixe IP. Glücklicherweise kann man dann feststellen, über welchen Port die Updates gemacht werden und diesen für das betreffende Gerät sperren.
Router mit Firewall sind dafür gut geeignet, aber auch die bereits genannten Verdächtigen wie PFsense & Co. Bei der Hardware muss eben auch die Gigabit-Unterstützung beachtet werden.
Gruß
Eisbein
Im günstigsten Fall haben alle Geräte eine fixe IP. Glücklicherweise kann man dann feststellen, über welchen Port die Updates gemacht werden und diesen für das betreffende Gerät sperren.
Router mit Firewall sind dafür gut geeignet, aber auch die bereits genannten Verdächtigen wie PFsense & Co. Bei der Hardware muss eben auch die Gigabit-Unterstützung beachtet werden.
Gruß
Eisbein
Hi,
die einfachste Lösung wäre wohl, wenn der Router DHCP macht, vom Router für die betreffenden Geräte eine IP-Reservierung zu machen.
Dann bei den betreffenden Geräten das Netzwerk statisch konfigurieren und Gateway/DNS-Eintrag einfach weglassen.
bzw. Zitat @keine-ahnung ....fake-gateway eintragen.
Sollte mal doch ein Update für Samsung notwendig werden, was nicht all zu oft passieren sollte, kannst Du ja mit der Fernbedienung mal kurz auf DHCP umschalten und das anschliessend wieder ändern.
Sicher einfacher wie eine pfSense zu konfigurieren.
Gruß orcape
die einfachste Lösung wäre wohl, wenn der Router DHCP macht, vom Router für die betreffenden Geräte eine IP-Reservierung zu machen.
Dann bei den betreffenden Geräten das Netzwerk statisch konfigurieren und Gateway/DNS-Eintrag einfach weglassen.
bzw. Zitat @keine-ahnung ....fake-gateway eintragen.
Sollte mal doch ein Update für Samsung notwendig werden, was nicht all zu oft passieren sollte, kannst Du ja mit der Fernbedienung mal kurz auf DHCP umschalten und das anschliessend wieder ändern.
Sicher einfacher wie eine pfSense zu konfigurieren.
Gruß orcape
Hallo,
nur mal so eine kleine Frage nebenbei zum Thema SmartTV.
Hat der Samsung TV bei dir auch Angry Birds und diverse russische Apps & Co. auch installiert ?
Gruß
nur mal so eine kleine Frage nebenbei zum Thema SmartTV.
Hat der Samsung TV bei dir auch Angry Birds und diverse russische Apps & Co. auch installiert ?
Gruß
der Samsung SmartTv heimlich mit zu Hause telefoniert und ungefragt irgendwelche APP's installiert (Ich benutze die SmartTV Funktionen garnicht).
Jeder Netzwerker und auch viele Laien wissen das, denn das ist ein alter Hut. Siehe hier:Netzwerk Management Server mit Raspberry Pi
Der TP-Link Router kann die Kandidaten nicht davon abhalten ins Internet zu gehen (lt. TP-Link Support)
Klar, billigster China SchrottLösung kann z.B. so aussehen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Am einfachsten konfigurierst du dem Ferneseher schlicht und einfach keine Gateway Adresse. Dann kann er nicht mehr ins Internet, arbeitet nur noch lokal und telefoniert auch nicht "nach Hause" !!
http://www.heise.de/security/meldung/Spion-im-Wohnzimmer-c-t-ertappt-sc ...
Danke für die Ratschläge.
Bei mir haben ALLE Geräte eine statische IP. Ein verbiegen der Gateway/DNS IP auf z.B. 127.0.0.1 funktioniert, aber dann ist auch der Zugriff auf das NAS weg. Und da liegen alle meine CD's und DVD's.
Ich tendiere momentan zu einer Ablösung des TP-Link Routers durch entweder IPfire, PFsense oder auch Sophos UTM Home. Mir ist schon klar dass ich für die Freiheitsgrade die ich da habe, einen wesentlich grösseren Konfigurationsaufwand habe.
Wäre das für mich eine performante Lösung:
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
Danke für eure Hilfe
Bei mir haben ALLE Geräte eine statische IP. Ein verbiegen der Gateway/DNS IP auf z.B. 127.0.0.1 funktioniert, aber dann ist auch der Zugriff auf das NAS weg. Und da liegen alle meine CD's und DVD's.
Ich tendiere momentan zu einer Ablösung des TP-Link Routers durch entweder IPfire, PFsense oder auch Sophos UTM Home. Mir ist schon klar dass ich für die Freiheitsgrade die ich da habe, einen wesentlich grösseren Konfigurationsaufwand habe.
Wäre das für mich eine performante Lösung:
http://varia-store.com/Systeme-mit-Software/pfSense/pfSense-Komplettsys ...
Danke für eure Hilfe
Hi,
Sind die Koschten eben 30 € mehr, was soll´s.
Sonst eine gute Wahl....
Gruß orcape
Wäre das für mich eine performante Lösung:
..warum nicht, wenn Du Dir die Arbeit mit dem pfSense installieren ersparen willst.Sind die Koschten eben 30 € mehr, was soll´s.
Sonst eine gute Wahl....
Gruß orcape
Wäre das für mich eine performante Lösung:
Wenn du mit einem Schraubendreher umgehen kannst kannst du noch etwas Geld sparen:http://varia-store.com/Hardware/PC-Engines-Bundles:::637_659.html
bzw.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Es ist aber die performante und sicherste Lösung
Alternativ einen Mikrotik 750GL mit IP Accesslisten. Klappt auch und ist etwas preiswerter.
