Internet Zugangskontrolle für Heimnetz

Mitglied: Henning2006

Henning2006 (Level 1) - Jetzt verbinden

31.01.2016 um 21:05 Uhr, 2687 Aufrufe, 18 Kommentare

Hallo,
ich suche eine Zugangskontrolle/Beschränkung für unser Heimnetz.
Mit dem Ziel unserem Sohn die Internetnutzung (Handy, Tablet, PC) einzuschränken:
- einstellbares Tageslimit (Stundenanzahl)
- manuelle Zugangssperre (bei Bedarf)
Kann man dies über einen personifizierten login an einem Proxy/Router oder ähnlichem steuern, der vor/hinter der FritzBox steht?
Die Lösung sollte einfach zu konfigurieren sein und das WLAN, wie auch das LAN kontrollieren.
Ich möchte mir keinen Proxy (ipcop oder ähnliches) selber aufsetzen.
Was für Lösungen kommen dafür in Frage?

In einem älteren Thread wird auf "Mikropik Cloud Router Switch" verwiesen.
Wäre das eine Option?

Infrastruktur: Eine Fritzbox (6360) stellt den Internetzugang (noch Kabeldeutschland) her. Eine weitere FritzBox ist für das WLAN zuständig.
Die Geräte werden entweder über das WLAN oder über ein Gigabit Lan vernetzt (Internetzugang). Die Fritzbox (6360) ist auch per VPN mit meinem Büro vernetzt.

Hinweis: Die Zugangskontrolle über die FritzBox ist nicht sicher genug. IP und MAC Adressenkontrolle, werden von meinem Sohn locker überbrückt.
Zu dem Schritt, eine Zugangskontrolle einzurichten, habe ich mich erst nach vielen erfolglosen Gesprächen mit meine Sohn entschlossen.

Danke.
Mitglied: Kalle2013
01.02.2016 um 00:24 Uhr
Bei der bintec be.IP plus kannst du jedes LAN- Interface einzeln über den Scheduler an oder ab-schalten, und das gleiche auch für jede beliebige SSID des WLAN. Wenn der Sohn eine eigene SSID bekommt, und ihm die Keys der anderen nicht verraten werden, ist die Abschaltung sicher.
Bitte warten ..
Mitglied: Joe2011
01.02.2016 um 07:48 Uhr
Guten Morgen,

ich würde bei der FritzBox bleiben und neue bisher unbekannte Rechner einfach sperren lassen (Als Standardprofil). Dann kann auch dein Sohn nix umgehen. So kostet die Lösung nichts.

Gruß

Joe
Bitte warten ..
Mitglied: killtec
01.02.2016 um 07:50 Uhr
Hi,
wie @Henning2006 schon geschrieben hat, kann sein Sohn schnell eine MAC Sperre umgehen (ist auch nicht schwer).

Ich würde hier eine pfsense empfehlen, die zwischen Fritzbox und normalem LAN. Dort kannst du Limits eingeben. Das ganze kannst du auch als fertiges System kaufen oder auf kleiner Hardware laufen lassen.

Gruß
Bitte warten ..
Mitglied: Tjelvar
01.02.2016 um 07:57 Uhr
Nunja, wenn der MACFilter standardmäßig so eingestellt ist, dass das Profil vollständig auf Block steht kann der Sohnemann da seine MAC so oft ändern wie er lustig ist.

Dass die FB Lösung nicht die beste und sicherste ist, ist aber mehr als richtig.
Bitte warten ..
Mitglied: killtec
01.02.2016 um 08:02 Uhr
Hi,
nun ja, der Sohn muss nur eine MAC treffen, die frei gegeben ist, welches nicht so schwer sein wird. (Thema MAC Spoofing).

Gruß
Bitte warten ..
Mitglied: kaiand1
01.02.2016 um 08:03 Uhr
Die Frage ist doch eher wiso er Rechte hat zum Ändern der Macadresse ;)
Wenn die Rechte Eingeschränkt sind kann dies nicht Umgangen werden.
Zudem ist das Wlan eh einfach abzusichern indem einfach das PWD geändert wird ;)
Ein Besserer Router währe aber eh Besser der alles nötige Abdeckt aber dies wird ja nicht gewünscht wodurch halt nicht alles möglich ist...
Bitte warten ..
Mitglied: chrisiweber
01.02.2016 um 08:38 Uhr
Hi,

wie wäre es mit dem Gästenetz der FB? Je nach Infrastruktur einfach dem Sohn LAN4 (Gast) zuordnen und im nur die Daten des Gäste-WLANs geben. Dann kann er auch keine MAC mehr treffen die frei ist.

LG
Bitte warten ..
Mitglied: BirdyB
01.02.2016, aktualisiert um 08:50 Uhr
Hallo,

wenn es ganz sicher sein soll, wirst du um 802.1x nicht herumkommen: http://www.heise.de/netze/artikel/WLAN-und-LAN-sichern-mit-IEEE-802-1X- ...
Allerdings bedeutet das auch wieder einen nicht unerheblichen Aufwand. Eine pfSense als Router/Firewall sollte da schon einiges ausrichten können.
Ansonsten haben meine Vorredner ja schon einige Lösungsvorschläge aufgezeigt.

Siehe auch hier: https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-fre ...

Beste Grüße!


Berthold
Bitte warten ..
Mitglied: Henning2006
01.02.2016 um 10:19 Uhr
Hallo,

erst mal danke für die Antworten.
Ich dachte auch, dass die Fritz Box ein gute Lösung wäre.
Ja, vielleicht für 15 min. :-) face-smile
Die MAC und IP hat sich mein Sohn(17J) von meinem Apple geholt. Neu gebootet -> Konsole -> und per Shell Script einen neuen User angelegt. Schon hatte er die Infos. Ähnlich geht das auch mit WIN Rechnern.
Das heißt für mich - alle Geräte die erreichbar sind, sind nicht wirklich sicher. Ich möchte auch nicht anfangen Sicherheitstechnik auf den einzelnen Geräten zu installieren, um dann zu sehen, wie man sie hacken kann.
NAS, FritzBox, Switch haben ich in einem separaten Stromkasten installiert. Hier soll auch die Internet Zugangskontrolle hin. Der Kasten wird dann abgeschlossen.
Da ich im Bereich der Netzwerktechnik/Sicherheit nur rudimentäre Kenntnisse habe, würde ich am liebsten eine fertige Lösung kaufen, die diese Steuerung/Kontrolle sicher übernimmt.

Ich möchte auch meinem Sohn den Zugang nicht ganz wegnehmen, da das Internet für die Schule mittlerweile wichtig ist. Außerdem betreibt er im Team mehrere Minecraft Server, mit Shopsystem, Ticketsystem, Foren und Internetseiten. Das ist sogar super.
Aber es gilt ein ausgewogenes Verhältnis zwischen Schule, Sport, analogen sozialen Kontakten und der Computernutzung zu erreichen.

Viele Grüße
Henning
Bitte warten ..
Mitglied: BirdyB
01.02.2016 um 10:35 Uhr
Hallo Henning,

bei allem Verständnis für dein Anliegen möchte ich nur doch nochmal die Frage aufwerfen, ob du es wirklich für notwendig hältst, einen 17-jährigen hier technisch einzuschränken.
Das Thema habe ich kürzlich schon bei meinen Schwiegereltern in spe mit den 16- und 17-jährigen Brüdern meiner Freundin(25) gehabt...
Auch wenn in meinem Fall die Technikaffinität der Kiddies nicht so ausgeprägt ist, sind wir in diesem Fall zu der Erkenntnis gelangt, dass technische Einschränkung der falsche Weg ist.
Ausserdem sollte man in dem Alter durchaus in der Lage sein, seine Gewichtungen und Bedürfnisse selbst festzulegen...
Nur eine Meinung von mir...

Beste Grüße!


Berthold
Bitte warten ..
Mitglied: Dobby
01.02.2016 um 10:48 Uhr
Hallo zusammen,

NAS, FritzBox, Switch haben ich in einem separaten Stromkasten installiert. Hier soll auch die Internet
Zugangskontrolle hin. Der Kasten wird dann abgeschlossen.
Und da kannst Du nicht einfach den Kasten aufmachen und den WLAN Knopf drücken und dann
wieder abschließen? Dann ist das WLAN auch "tot" und gut ist es.

Da ich im Bereich der Netzwerktechnik/Sicherheit nur rudimentäre Kenntnisse habe, würde ich
am liebsten eine fertige Lösung kaufen, die diese Steuerung/Kontrolle sicher übernimmt.
Ein Radius Server oder ein Captive Portal sollte das regeln können.

Ich möchte auch meinem Sohn den Zugang nicht ganz wegnehmen, da das Internet für die
Schule mittlerweile wichtig ist.
Naja drei Stunden nach der Schule WLAN und/oder Internet an lassen ist doch auch ok, oder?

Außerdem betreibt er im Team mehrere Minecraft Server, mit Shopsystem, Ticketsystem, Foren
und Internetseiten. Das ist sogar super.
Zu Hause oder irgend wo gemietet? Denn dann kann man ihm den Internetzugang nicht voll und ganz
sperren, dann kommt er dort ja auch nicht mehr ran.

Aber es gilt ein ausgewogenes Verhältnis zwischen Schule, Sport, analogen sozialen Kontakten und
der Computernutzung zu erreichen.
Mal im ernst und jetzt auch mal Butter bei die Fische, was Du und Deine Frau nicht an Erziehung rein
gesteckt haben in den Jungen wird keine technische und sei sie noch so raffiniert, Anlage oder Kontrolle
wieder nachholen!!! Das muss einfach erst einmal klar sein, und wenn man etwas sperrt oder reglementiert
dann geht der Junge eben zu seinem Freund und macht dort weiter im Internet.

- MikroTik CRS125
- pfSense mit Captive Portal und/oder OpenLDAP
- An der Fritz!Box das Kabel zeihen und wieder abschließen!

Gruß
Dobby

Bitte warten ..
Mitglied: Kalle2013
01.02.2016 um 10:49 Uhr
"Alter schützt vor Torheit nicht.", und das gilt auch für 17 Jährige. Aber ich gebe dir Recht, das eine solche technische Maßnahme nur der letzte Schritt sein sollte.
Es gibt aber das Problem, beim chatten etc. jegliches Zeitgefühl zu verlieren. Die Internet - Sucht verbreitet sich immer mehr.

Aber zum Thema: Fritzbox gegen die bintec be.IP plus austauschen. Ich helfe meinen Kunden auch bei der Einrichtung.
Bitte warten ..
Mitglied: Henning2006
02.02.2016 um 11:52 Uhr
Hi Berthold,

hast natürlich recht die Notwendigkeit und den Sinn dieses Vorgehens in Frage zu stellen.
Speziell bei einem fast 18 jährigen, der eigentlich in der Lage sein sollte, die entsprechende Verantwortung für sich zu übernehmen.

Aber, als Eltern mit anzusehen, wie die „schieflage“ einfach viel zu groß ist, ist nicht schön.
Wir reden hier nicht über 4 Wochen, sondern über ein Zeitraum von 2-3 Jahren, indem wir (auch meine Frau) versucht haben, über Gespräche usw. eine Verhaltensänderung zu bewirken. Ohne Erfolg.
Zu diesem Thema, könnte ich noch Seitenweise Berichte und Erfahrungen schreiben.

Viel Grüße
Henning
Bitte warten ..
Mitglied: BirdyB
02.02.2016 um 13:59 Uhr
Hallo Henning,

ich kann und will über die beschriebene "Schieflage" nicht urteilen. Meiner Erfahrung nach sehen Eltern das ganze manchmal auch zu eng, aber es steht mir nicht zu, dazu etwas zu sagen. Ich kenne auch eure Situation nicht.

Bedenke nur, dass Verbote gerne Begehrlichkeiten wecken und Einschränkungen nur dafür sorgen, dass der Wunsch es doch zu tun größer wird. Dazu zählen auch oft die Gespräche über Verhaltensänderung, etc.
Lässt man es laufen reguliert sich manches von alleine (eigene Erfahrung)

Abgesehen davon scheint es ja so zu sein, dass dein Sohnemann technisch durchaus versierter ist als du. Ergo wirst du dir schon etwas einfallen lassen müssen, damit er nicht mehr ins Netz kommt. Die einfachste Variante: Router in einen abschließbaren Kasten und zu gegebener Zeit ausschalten.

Alle softwarebasierenden Maßnahmen wirken sonst nur in einem Gesamtkonzept, in den jedes Endgerät auch mit einbezogen wird. Sonst hebelt dein Sohn dich ganz schnell aus.

Überlege dir aber gut, ob du diesen Schritt wirklich für nötig erachtest.

Für einen Erfahrungsaustausch stehe ich auch gerne per PM zur Verfügung.

Beste Grüße!


Berthold
Bitte warten ..
Mitglied: umount
02.02.2016 um 19:31 Uhr
Also ich würde Pfsense definitv empfehlen man kann nämlich auch Pakete Nachinstallieren mein Aufbau. Habe selber im BBW einen eigenen DSL Anschluss mit Fritzbox da ich nicht andauernd irgendwelche Passwörter rausgeben möchte. Habe ich das folgendermaßen:

1 Gebrauchter DELL Poweredge 1950 Server 130€ Ebay
VMware ESXI 6.0 darauf 1. Maschine Windows Server 2003 R2 mit Radiusserver für Privat WLAN Lizenz 35€ Ebay (Unwichtig für dich) an LAN 1.
2. Maschine Pfsense Quelle an LAN 1, LAN 2 Gastnetz

Source IP Bereich: 192.168.4.x
Gastbereich: 4.4.4.x

Auf dem Pfsense läuft ein Captive Portal mit eigens geschriebener HTML5 Loginseite.
Die Anfragen auf dem Gastlogin laufen automatisch durch den Squid Proxy und werden mit Dansguardian auf Illegale bzw. Jugenschutzgefährdente Inhalte gefiltert.

Vorteile mit Pfsense für dich:

Zeiteinschränkung
Begrenzung der Bandbreite
Jugendschutzfilter mit der möglichkeit auch manuel zufiltern.
Und die möglichkeit den Zugang jederzeit zuzumauern oder auch für andere Gäste zu benutzen.

Umgehungchancen = 0!

Meine Idee für dich kaufe dir einen FSC Futro S400 mit 2GB CF installiere Pfsense und ne 2. LAN Karte rein. Und irgendein Billigrouter dahinter mit Offenem AP!
Bitte warten ..
Mitglied: umount
02.02.2016 um 19:52 Uhr
Zum Thema ich bin auch 17 werde am Sonntag 18 auch wenn ich sogar jünger bin wie andere hier finde ich es für manche wirklich vernünftig eine Sperre bzw. Einen Proxy etc. einzurichten, würde ich bei meinen Kindern auch machen, leider muss ich mir (weil ich in der Ausbildung bin als Systemintegrator) immer wieder von anderen Leuten (Irgendwelchen Spielefreunde etc) von Meinem Bruder Kevin der 15 ist anhören das ich besser auf meinen Bruder aufpassen sollte weil er sich Spiele ab 18 Online kauft den ganzen Tag vorm PC hängt etc. Leider sind meine Eltern so Beratungsresistent das sie mir das setzen von Sperren Proxys Jugendschutzfiltern verbieten. Wenn mein Bruder nicht an den PC Darf weil er etwas verbockt hat muss mein Vater mit seinem Kaputten Rücken unterm Schreibtisch rumkriechen und den PC Abbauen. bzw den stecker für alle am Router ziehen dann ist gar nix mehr da auch das Telefon ist dann Tot! Die Arbeit würde ich mir als Vater gar nicht machen! Ich würde ihm keine Adminrechte auf dem PC geben und das so miteinander verbasteln das er nicht anders kann als es hinzunehmen. z.B. habe ich hier Linuxmuster im Einsatz ist ein gutes System hat einen Proxy und repariert den PC beim Hochfahren selbst wenn er manipuliert wurde und man kann alles Nachverfolgen bzw die Bildschirme einsehen!
Bitte warten ..
Mitglied: BirdyB
02.02.2016 um 20:07 Uhr
Zitat von @umount:

Also ich würde Pfsense definitv empfehlen man kann nämlich auch Pakete Nachinstallieren mein Aufbau. Habe selber im BBW einen eigenen DSL Anschluss mit Fritzbox da ich nicht andauernd irgendwelche Passwörter rausgeben möchte. Habe ich das folgendermaßen:

1 Gebrauchter DELL Poweredge 1950 Server 130€ Ebay

Energietechnisch für den Anwendungsfall von Henning völliger Quark. Das Ding ist laut und benötigt viel Strom.

VMware ESXI 6.0 darauf 1. Maschine Windows Server 2003 R2 mit Radiusserver für Privat WLAN Lizenz 35€ Ebay (Unwichtig für dich) an LAN 1.
Juhu, ein OS für das es keine Sicherheitsupdates mehr gibt...
2. Maschine Pfsense Quelle an LAN 1, LAN 2 Gastnetz
pfSense... Kann man machen...

Source IP Bereich: 192.168.4.x
Gastbereich: 4.4.4.x
Wuhu, ein IP-Bereich der nicht der RFC1918 entspricht... Das nenne ich tolle Planung...

Auf dem Pfsense läuft ein Captive Portal mit eigens geschriebener HTML5 Loginseite.
Die Anfragen auf dem Gastlogin laufen automatisch durch den Squid Proxy und werden mit Dansguardian auf Illegale bzw. Jugenschutzgefährdente Inhalte gefiltert.
Der Plan ist nicht schlecht, aber darum ging es vermutlich garnicht.
Vorteile mit Pfsense für dich:

Zeiteinschränkung
Begrenzung der Bandbreite
Jugendschutzfilter mit der möglichkeit auch manuel zufiltern.
Und die möglichkeit den Zugang jederzeit zuzumauern oder auch für andere Gäste zu benutzen.

Umgehungchancen = 0!
Das sehe ich anders...
Meine Idee für dich kaufe dir einen FSC Futro S400 mit 2GB CF installiere Pfsense und ne 2. LAN Karte rein. Und irgendein Billigrouter dahinter mit Offenem AP!
Ich glaube, Henning braucht eher gescheite Lösungen und wenig Bastelei.

Sorry, aber dein Vorschlag geht an den Fähigkeiten und Wünschen des Fragenden meilenweit vorbei...
Bitte warten ..
Mitglied: Kalle2013
03.02.2016 um 22:24 Uhr
Mit einem Router der getrennte Netze auf die LAN-Schnittstellen erlaubt, nutzt es dem Sohn nix wenn er sich eine IP vom Apple holt. Und das gleiche gilt, wenn das WLAN mit getrennten Netzen läuft. Er darf nur keinen physikalischen Zugriff auf den Router und die Switches bekommen.
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic51 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware18 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 18 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless10 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...