7
Internetzugriff per WhiteListing ... MikroTik RB 751U-2HnD
Hallo Leute,
ein tolles Forum habt Ihr hier. Hab schon viel bei Euch gelernt. Trotzdem hab ich noch eine Frage und vielleicht kann ja einer von Euch dem hier Neuen helfen.
Ich arbeite nebenher in einem Jugendclub, in dem ich endlich WLAN installieren will. Bei der Hardware hab ich mich in das MikroTik RB 751U-2HnD verguckt und es auch schon fast fertig konfiguriert. Bis vor kurzem schien es alles zu haben, was ich mir für den Club erträumt hatte.
Nun zum Problem: Da die Kids alle unter 18 sind und ich nicht ständig irgendwelche logs durchschauen und den Kids hinterher auf die Finger klopfen möchte, will ich im offenen WLAN (VLAN) den Internetzugriff einschränken und per WhiteListing nur Zugriff auf einzelne Seiten gestatten. Das scheint aber das 751U nicht zu können (zumindest habe ich weder in der Winbox eine Einstellung gefunden, noch im Internet auch nur irgendeinen Hinweis dazu gesehen) und per Firewalleinstellung ist das doch eher unsinnig zu realisieren, oder?
Hat jemand von Euch eine Idee, wie man hier zu einer günstigen und nicht all zu schwer zu administrierenden Lösung kommen kann? Wenn es sein muss auch mit einem anderen Gerät.
Vielen Dank im Voraus für Eure Hilfe - Karl.
ein tolles Forum habt Ihr hier. Hab schon viel bei Euch gelernt. Trotzdem hab ich noch eine Frage und vielleicht kann ja einer von Euch dem hier Neuen helfen.
Ich arbeite nebenher in einem Jugendclub, in dem ich endlich WLAN installieren will. Bei der Hardware hab ich mich in das MikroTik RB 751U-2HnD verguckt und es auch schon fast fertig konfiguriert. Bis vor kurzem schien es alles zu haben, was ich mir für den Club erträumt hatte.
Nun zum Problem: Da die Kids alle unter 18 sind und ich nicht ständig irgendwelche logs durchschauen und den Kids hinterher auf die Finger klopfen möchte, will ich im offenen WLAN (VLAN) den Internetzugriff einschränken und per WhiteListing nur Zugriff auf einzelne Seiten gestatten. Das scheint aber das 751U nicht zu können (zumindest habe ich weder in der Winbox eine Einstellung gefunden, noch im Internet auch nur irgendeinen Hinweis dazu gesehen) und per Firewalleinstellung ist das doch eher unsinnig zu realisieren, oder?
Hat jemand von Euch eine Idee, wie man hier zu einer günstigen und nicht all zu schwer zu administrierenden Lösung kommen kann? Wenn es sein muss auch mit einem anderen Gerät.
Vielen Dank im Voraus für Eure Hilfe - Karl.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 210711
Url: https://administrator.de/contentid/210711
Printed on: April 23, 2024 at 23:04 o'clock
7 Comments
Latest comment
Das ist richtig, denn der 751 ist ja in erster Linie ein Router mit integriertem AP. Du willst aber einen Filter auf Applikationsebene, was Router in der Regel nicht liefern.
Es ist jetzt nicht klar ob du die Hotspot Funktion des Mikrotik nutzt, denn was genau mit "offenem" WLAN gemeint ist bleibt leider unklar.
Wegen der Thematik "Störerhaftung" wirst du ja wohl kaum ein vollkommen offenes WLAN betreiben...hoffentlich.
Der 751 hat eine eigene Hotspot Funktion bzw. das Tutorial hier beschreibt wie man sowas realisiert mit einer Ticketverwaltung und einem rechtssicheren Usertracking.
Letztlich ist das aber off Topic, denn es betrifft nicht deine Frage...klar.
Ums kurz zu machen: Für ein sicheres URL Filtering benötigst du einen Proxy. Klar kann man auch mit einer Filterliste arbeiten die greift aber nur auf Layer 3 sprich also den nackten IP Adressen.
Da viele Webserver DNS Loadbalancing machen wechseln diese aber so das dieser Ansatz schlicht nicht managebar ist oder dein Internet WLAN wird dadurch so uninteressant für die Kids das die dann doch lieber draußen spielen gehen statt einzig nur auf www.blinde-kuh.de zu surfen....
Ein HTTP Proxy wie der allseits bekannte Squid:
http://www.squid-handbuch.de/hb/
http://blog.proesdorf.de/2010/06/29/squid-proxy-konfigurieren.html
usw.
Löst dein Problem im Handumdrehen und das kostenfrei wenn du damit z.B. einen alten PC recycelst.
Es gibt auch die Lösung einen Squid per Plugin Modul in die pfSense_Firewall zu integrieren. So hast du Firewallrouter und Proxy in einem. Lösungen gibt es viele...
<edit> siehe unten Antwort von dog </edit>
Es ist jetzt nicht klar ob du die Hotspot Funktion des Mikrotik nutzt, denn was genau mit "offenem" WLAN gemeint ist bleibt leider unklar.
Wegen der Thematik "Störerhaftung" wirst du ja wohl kaum ein vollkommen offenes WLAN betreiben...hoffentlich.
Der 751 hat eine eigene Hotspot Funktion bzw. das Tutorial hier beschreibt wie man sowas realisiert mit einer Ticketverwaltung und einem rechtssicheren Usertracking.
Letztlich ist das aber off Topic, denn es betrifft nicht deine Frage...klar.
Da viele Webserver DNS Loadbalancing machen wechseln diese aber so das dieser Ansatz schlicht nicht managebar ist oder dein Internet WLAN wird dadurch so uninteressant für die Kids das die dann doch lieber draußen spielen gehen statt einzig nur auf www.blinde-kuh.de zu surfen....
Ein HTTP Proxy wie der allseits bekannte Squid:
http://www.squid-handbuch.de/hb/
http://blog.proesdorf.de/2010/06/29/squid-proxy-konfigurieren.html
usw.
Löst dein Problem im Handumdrehen und das kostenfrei wenn du damit z.B. einen alten PC recycelst.
Es gibt auch die Lösung einen Squid per Plugin Modul in die pfSense_Firewall zu integrieren. So hast du Firewallrouter und Proxy in einem. Lösungen gibt es viele...
<edit> siehe unten Antwort von dog </edit>
Sers,
wenn du dein Problem direkt auf dem RB lösen willst hast du 2 Optionen: Den Web Proxy (USB Festplatte lässt sich als Proxyspeicher verwenden ;) ), oder, noch besser, du lässt deine Kids via Hotspotfunktion ins WLAN connecten. Im Kids-Hotspot richtest du so ein dass es nur Zugriff auf den Walled Garden gibt. Dort musst du dann natürlich noch die legalen Webserver eintragen. Allerdings hast du auch an diesem Punkt das von @aqui erwähnte Problem mit DNS Loadbalancing.
Grüße,
Philip
wenn du dein Problem direkt auf dem RB lösen willst hast du 2 Optionen: Den Web Proxy (USB Festplatte lässt sich als Proxyspeicher verwenden ;) ), oder, noch besser, du lässt deine Kids via Hotspotfunktion ins WLAN connecten. Im Kids-Hotspot richtest du so ein dass es nur Zugriff auf den Walled Garden gibt. Dort musst du dann natürlich noch die legalen Webserver eintragen. Allerdings hast du auch an diesem Punkt das von @aqui erwähnte Problem mit DNS Loadbalancing.
Grüße,
Philip
Uuups, das ist mir als Mikrotik User glatt durchgegangen das Feature.
Ist ja schon ein Tausendsassa das 750/751er Teil der sogar ne Proxy Based Firewall hat
Vermutlich gilt das allgemein da ein festes Feature von Router OS.
Da muss ich ja den obigen Post mal schnell editieren.
Wieder was gelernt...
Ist ja schon ein Tausendsassa das 750/751er Teil der sogar ne Proxy Based Firewall hat
Vermutlich gilt das allgemein da ein festes Feature von Router OS.
Da muss ich ja den obigen Post mal schnell editieren.
Wieder was gelernt...
Danke für Eure vielfältigen Tipps. War ich mit meiner ursprünglichen Idee gar nicht so weit weg, wie ich nach der ersten Antwort von aqui befürchtet hatte. Seit heute Morgen war ich am überlegen, ob und wie ich mit einem Raspberry Pi einen Squid Proxy dazwischenbasteln könnte.
Die Idee, den Walled Garden zu erweitern, finde ich sehr interessant. Ich habe aber immer noch die Hoffnung, dass ich keinen Hotspot einrichten muss. Meine Idee war, dass ich ein normales, passwortgesicheres WLAN einrichte und alle 2 Wochen ein neues Passwort rausgebe, das alle Besucher des Clubs benutzen (und natürlich sofort auch ihren Geschwistern und Freunden weiter geben). Wegen der Haftung wollte ich zum Einen nur die Ports für das Webbrowsig und eMailing offen halten und alle anderen per Firewall blocken. Und zum Anderen wollte ich eben nur bestimmte Seiten freigeben (Whitelisting). Bei der Erstellung der Whitelist sollen die Kids natürlich mitreden. Die hätten wir gemeinsam erstellt und immer wieder erweitert, um ihre wichtigsten nicht-torrent-Seiten drin zu haben. Dadurch dachte ich, wäre der Sicherheitsaspekt (Störerhaftung) weit genug berücksichtigt und ich komme um die Einrichtung und Betreuung der Ticketverwaltung herum. Mit der Pflege der Whitelist habe ich immer noch genug zu tun. Falls es unbedingt sein muss, kann ich später immer noch einen Radius Server einrichten.
Aber zurück zum Aufbau: Das WLAN soll drei VLANs mit unterschiedlichen IP-Bereichen umfassen. Das Kids-VLAN will ich vom Office-VLAN und einem Gast-VLAN trennen. Das gibt mir die Chance das Kids-VLAN zu beschränken, Gästen/Referenten/Kooperationspartnern freies surfen im Netz zu ermöglichen und meine Daten vor aller Augen zu schützen. (Problem dabei ist nur, dass ich so mit meinem Laptop nicht einfach zwischen den VLANs hin und her wechseln und die Einstellungen testen kann, da meiner MAC-Adresse EINE IP zugeordnet ist und ich dann mit der falschen IP im VLAN unterwegs bin. Aber das an einem anderen Ort.)
Mit der Proxy-Based-Firewall habe ich letztens rumgespielt. Hat bei mir aber nur kurz und dann überhaupt nicht mehr funktioniert. Das kann aber natürlich auch immer an meiner Unerfahrenheit und einer falschen Konfiguration liegen.
Der Web Proxy klingt auch gut. Aber was mache ich mit SSL-Verbindungen. Port 443 zu blocken ist im Zeitalter von https-everywhere nicht mehr ganz zeitgemäß, oder? Und da einige torrent-Seiten auch per SSL erreichbar sind, muss ich ja trotzdem irgendwie anders filtern. Bleibt noch einen man-in-the-middle dazwischen zu schalten ... aber neeeee, nicht mein Stil. Ich möchte den Kids ja auch was über Internetsicherheit beibringen. Da kann ich ihnen schlecht sagen: "Wie, dein Browser sagt, das sei kein echtes Zertifikate. Macht nichts, einfach weiter klicken. Wird schon nichts passieren."
Ich denke, ich werde es in den nächsten Wochen noch mal mit der Proxy-Based-Firewall probieren. Das scheint mit vorerst der erfolgversprechendste Ansatz zu sein. Aber noch eine Frage dazu. Sollen die Firewallregeln nicht möglichst kurz gehalten werden? Macht es da nichts aus, wenn ich auf 200 Zeilen Internetseiten erlaube?
Danke Euch Allen für Eure Hilfe, gute Nacht - Karl.
Die Idee, den Walled Garden zu erweitern, finde ich sehr interessant. Ich habe aber immer noch die Hoffnung, dass ich keinen Hotspot einrichten muss. Meine Idee war, dass ich ein normales, passwortgesicheres WLAN einrichte und alle 2 Wochen ein neues Passwort rausgebe, das alle Besucher des Clubs benutzen (und natürlich sofort auch ihren Geschwistern und Freunden weiter geben). Wegen der Haftung wollte ich zum Einen nur die Ports für das Webbrowsig und eMailing offen halten und alle anderen per Firewall blocken. Und zum Anderen wollte ich eben nur bestimmte Seiten freigeben (Whitelisting). Bei der Erstellung der Whitelist sollen die Kids natürlich mitreden. Die hätten wir gemeinsam erstellt und immer wieder erweitert, um ihre wichtigsten nicht-torrent-Seiten drin zu haben. Dadurch dachte ich, wäre der Sicherheitsaspekt (Störerhaftung) weit genug berücksichtigt und ich komme um die Einrichtung und Betreuung der Ticketverwaltung herum. Mit der Pflege der Whitelist habe ich immer noch genug zu tun. Falls es unbedingt sein muss, kann ich später immer noch einen Radius Server einrichten.
Aber zurück zum Aufbau: Das WLAN soll drei VLANs mit unterschiedlichen IP-Bereichen umfassen. Das Kids-VLAN will ich vom Office-VLAN und einem Gast-VLAN trennen. Das gibt mir die Chance das Kids-VLAN zu beschränken, Gästen/Referenten/Kooperationspartnern freies surfen im Netz zu ermöglichen und meine Daten vor aller Augen zu schützen. (Problem dabei ist nur, dass ich so mit meinem Laptop nicht einfach zwischen den VLANs hin und her wechseln und die Einstellungen testen kann, da meiner MAC-Adresse EINE IP zugeordnet ist und ich dann mit der falschen IP im VLAN unterwegs bin. Aber das an einem anderen Ort.)
Mit der Proxy-Based-Firewall habe ich letztens rumgespielt. Hat bei mir aber nur kurz und dann überhaupt nicht mehr funktioniert. Das kann aber natürlich auch immer an meiner Unerfahrenheit und einer falschen Konfiguration liegen.
Der Web Proxy klingt auch gut. Aber was mache ich mit SSL-Verbindungen. Port 443 zu blocken ist im Zeitalter von https-everywhere nicht mehr ganz zeitgemäß, oder? Und da einige torrent-Seiten auch per SSL erreichbar sind, muss ich ja trotzdem irgendwie anders filtern. Bleibt noch einen man-in-the-middle dazwischen zu schalten ... aber neeeee, nicht mein Stil. Ich möchte den Kids ja auch was über Internetsicherheit beibringen. Da kann ich ihnen schlecht sagen: "Wie, dein Browser sagt, das sei kein echtes Zertifikate. Macht nichts, einfach weiter klicken. Wird schon nichts passieren."
Ich denke, ich werde es in den nächsten Wochen noch mal mit der Proxy-Based-Firewall probieren. Das scheint mit vorerst der erfolgversprechendste Ansatz zu sein. Aber noch eine Frage dazu. Sollen die Firewallregeln nicht möglichst kurz gehalten werden? Macht es da nichts aus, wenn ich auf 200 Zeilen Internetseiten erlaube?
Danke Euch Allen für Eure Hilfe, gute Nacht - Karl.
Das mit dem wechselnden Passwort kannst du gleich vergessen....wirklich, lass dir das gesagt sein ! Spätestens nach 3 Wochen hast du keine Lust mehr das Passwort zu ändern oder vergisst es einfach.
Mal abgesehen das du jedem User der nicht richtig schreiben kann dann mühsam immer wieder auf Nachfrage erklären musst wie man es schreibt..irgendwann gibst du dann auf. Der übliche Weg.
Durch "Mundpropaganda" breiten sich die Passwörter dann aus und dann kommst du rechtlich gesehen in Probleme. Solange nix passiert kein Thema.
Wer aber ein WLAN öffentlich zugänglich macht für andere ist als Anschlussinhaber für alle Taten voll verantwortlich in D. Das ist die sog. "Störerhaftung"
Läd also nur eins deiner Kiddies illegal Musik, macht Mobbing usw. usw. stehst DU dafür grade.
Deshalb ist ein Nachweis erheblich sicherer.
Mit all diesen riesigen Nachteilen ist sowas wie shared Passwörter usw. alles halbgarer Mist. Besser ist wirklich der Hotspot am besten mit zeitlich limitierten Einmalpasswörtern, allein schon wegen der zentralen Administrierbarkeit und Managebarkeit ! Von der Rechtssicherheit mal ganz abgesehen.
Der Mikrotik hat ja auch eine eingebaute Hotspot Lösung, also ist das eigentlich alles kinderleicht das damit aufzusetzen.
Ein schönes Vouchersystem aufzusetzen ggf. mit automatischer SMS Zusendung wie HIER ist beim Mikrotik nicht ohne weiteres möglich da die Userverwaltung intern ist (es sei denn Kollege dog hat wieder einen heissen Tip...??). Aber das ist ja eher kosmetisch.
Über den Hostspot solltest du allein schon wegen der verstärkten Rechtssicherheit die das für dich schafft mal verschärft nachdenken bevor es dich kalt erwischt ! Gerade bei Kids im Umfeld....
Mit deiner halbgaren Whitelist ist das Thema natürlich nicht erledigt....wie auch , denn du hast ja keinen Nachweis so WER in deinem WLAN WANN agiert. Das sagt dir nur der Hotspot. Genau das ist aber erforderlich...auch wenns nur die Mac Adresse des Users ist die für dessen Identifizierung reicht.
Zu deinem Setup:
Wie man die VLANs mit den 3 SSIDs trennt sagt dir im Detail dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
im Bereich "Praxisbeispiel". Das ist gängiger Standard und muss man nicht mehr viel zu sagen...
Das was du da sagst mit deiner Mac zu IP Zuordnung ist natürlich Unsinn, denn jedes VLAN und das dazu korrespondierende WLAN ist ja ein eigenständiges IP Netz indem du mit einer Neuanmeldung auch immer eine neue IP bekommst. Ob die frei ist oder via Mac Adresse fest zugeordnet wird spielt dabei keinerlei Rolle.
Ausserdem müsstest du gar nicht das WLAN wechseln, denn wenn du im "Mitarbeiter" WLAN bzw. dem zugehörigen VLAN immer eine feste IP auf Mac Basis bekommst könntest du über die Firewall Kopplung der VLANs dir eine entsprechende Accessliste zuweisen, das du Zugang zu allen anderen VLANs bekommst mit nur deiner IP.
So ist gewährleistet das du in allen IP Netzen sprich VLANs auch alles administrieren und machen kannst was andere nicht können weil durch die Firewall verhindert !
Das ist also technischer Unsinn was du da schreibst. Wird dir auch klar wenn du das Tutorial liest...
Was den Rest anbetrifft hast du mit dem Raspberry Pi ja das richtige Tool ander Hand. Darauf kannst du schnell mal einen Squid Proxy installieren und etwas damit rumspielen.
Sinnvoll ist es dann für den Squid Cache Speicher besser dann noch einen zusätzlichen USB Memory Stick auf den Raspi aufzustecken oder eine kleine USB Festplatte.
Ggf. hilft dazu noch dieses Tutorial:
Netzwerk Management Server mit Raspberry Pi
Mal abgesehen das du jedem User der nicht richtig schreiben kann dann mühsam immer wieder auf Nachfrage erklären musst wie man es schreibt..irgendwann gibst du dann auf. Der übliche Weg.
Durch "Mundpropaganda" breiten sich die Passwörter dann aus und dann kommst du rechtlich gesehen in Probleme. Solange nix passiert kein Thema.
Wer aber ein WLAN öffentlich zugänglich macht für andere ist als Anschlussinhaber für alle Taten voll verantwortlich in D. Das ist die sog. "Störerhaftung"
Läd also nur eins deiner Kiddies illegal Musik, macht Mobbing usw. usw. stehst DU dafür grade.
Deshalb ist ein Nachweis erheblich sicherer.
Mit all diesen riesigen Nachteilen ist sowas wie shared Passwörter usw. alles halbgarer Mist. Besser ist wirklich der Hotspot am besten mit zeitlich limitierten Einmalpasswörtern, allein schon wegen der zentralen Administrierbarkeit und Managebarkeit ! Von der Rechtssicherheit mal ganz abgesehen.
Der Mikrotik hat ja auch eine eingebaute Hotspot Lösung, also ist das eigentlich alles kinderleicht das damit aufzusetzen.
Ein schönes Vouchersystem aufzusetzen ggf. mit automatischer SMS Zusendung wie HIER ist beim Mikrotik nicht ohne weiteres möglich da die Userverwaltung intern ist (es sei denn Kollege dog hat wieder einen heissen Tip...??). Aber das ist ja eher kosmetisch.
Über den Hostspot solltest du allein schon wegen der verstärkten Rechtssicherheit die das für dich schafft mal verschärft nachdenken bevor es dich kalt erwischt ! Gerade bei Kids im Umfeld....
Mit deiner halbgaren Whitelist ist das Thema natürlich nicht erledigt....wie auch , denn du hast ja keinen Nachweis so WER in deinem WLAN WANN agiert. Das sagt dir nur der Hotspot. Genau das ist aber erforderlich...auch wenns nur die Mac Adresse des Users ist die für dessen Identifizierung reicht.
Zu deinem Setup:
Wie man die VLANs mit den 3 SSIDs trennt sagt dir im Detail dieses Forumstutorial:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
im Bereich "Praxisbeispiel". Das ist gängiger Standard und muss man nicht mehr viel zu sagen...
Das was du da sagst mit deiner Mac zu IP Zuordnung ist natürlich Unsinn, denn jedes VLAN und das dazu korrespondierende WLAN ist ja ein eigenständiges IP Netz indem du mit einer Neuanmeldung auch immer eine neue IP bekommst. Ob die frei ist oder via Mac Adresse fest zugeordnet wird spielt dabei keinerlei Rolle.
Ausserdem müsstest du gar nicht das WLAN wechseln, denn wenn du im "Mitarbeiter" WLAN bzw. dem zugehörigen VLAN immer eine feste IP auf Mac Basis bekommst könntest du über die Firewall Kopplung der VLANs dir eine entsprechende Accessliste zuweisen, das du Zugang zu allen anderen VLANs bekommst mit nur deiner IP.
So ist gewährleistet das du in allen IP Netzen sprich VLANs auch alles administrieren und machen kannst was andere nicht können weil durch die Firewall verhindert !
Das ist also technischer Unsinn was du da schreibst. Wird dir auch klar wenn du das Tutorial liest...
Was den Rest anbetrifft hast du mit dem Raspberry Pi ja das richtige Tool ander Hand. Darauf kannst du schnell mal einen Squid Proxy installieren und etwas damit rumspielen.
Sinnvoll ist es dann für den Squid Cache Speicher besser dann noch einen zusätzlichen USB Memory Stick auf den Raspi aufzustecken oder eine kleine USB Festplatte.
Ggf. hilft dazu noch dieses Tutorial:
Netzwerk Management Server mit Raspberry Pi
Sers,
Wegen der Sorge um BitTorrent und andere p2p Geschichten kannst du auf der Mikrotik Firewall auch einfach die Pakete blocken lassen.
BitTorrent, emule und noch ein paar andere sind in der p2p Gruppe schon integriert, brauchst also nur noch ein und ausgehenden Traffic damit droppen und gut is.
Grüße
Philip
Wegen der Sorge um BitTorrent und andere p2p Geschichten kannst du auf der Mikrotik Firewall auch einfach die Pakete blocken lassen.
BitTorrent, emule und noch ein paar andere sind in der p2p Gruppe schon integriert, brauchst also nur noch ein und ausgehenden Traffic damit droppen und gut is.
Grüße
Philip
1
