angler
Goto Top

Kindersicherung mit VLANs und Fritzbox

Hallo,

plane – notgedrungen – erstmals VLANs aufzusetzen, um zu Hause eine saubere Trennung mit geregelten Zugängen z.B. zwischen einem VLAN 10 (Büro), VLAN 20 (Medien, Webcams, Drucker) und VLAN 30 (Gäste) herzustellen. Im Moment habe ich eine Fritzbox 7490 (ohne WLAN) und einige Netgear Switche (davon einer mit VLAN-support) sowie einen als Access Point konfigurierten WLAN-Router (auch ohne VLAN) im Betrieb. Die Fritzbox soll möglichst bleiben (wegen Telefonie und evtl. auch wegen der „Filterfuktionen“, siehe unten). WLAN wird voraussichtlich dauerhaft nur für die Nutzer im Gäste-Netz benötigt.

Nach der bisherigen Lektüre der hier verlinkten sehr guten Anleitungen, ist mir klar, dass (und ansatzweise auch wie) sich so etwas z.B. mit einem zusätzlichen Mikrotik in einer Routerkaskade realisieren lässt.

Bevor ich mir nun einen Mikrotik kaufe und mich in die Konfiguration begebe, hätte ich allerdings gerne Klarheit darüber, ob und wie ich die (aus Elternsicht) liebgewonnene weil komfortable „Kindersicherung“ (also die Kontrolle bezüglich der online Uhrzeiten und der „tatsächlichen“ Onlinedauer pro Tag) für einzelne clients im neuen Setup fortführen kann. So sieht es im Browser-GUI der FB aus:
avm-kinder

avm-kinder2

Meine Fragen sind nun:
1. Kann das der Mikrotik (oder ein anderes Gerät) stattdessen übernehmen, idealerweise ähnlich komfortabel in der Einrichtung und Überwachung wie die Fritzbox? (Habe bei der installierten Winbox-Demo von Mikrotik auf Anhieb erstmal nichts Vergleichbares entdeckt)
2. Ließe sich alternativ die Fritzbox dazu weiter verwenden, obwohl sie im neuen Setup nicht mehr DHCP-Server ist?
3. Geht es sinnvoll mit der Fritzbox als DHCP-Server rein fürs Gäste-LAN/WLAN, in dem sich dann alle zu kontingentierenden clients befinden - bei erlaubten Zugriffen aus dem Gäste-LAN/WLAN auf einzelne clients im VLAN 20?

Auf Basis des bisher zu VLANs Angelesenem fürchte ich, dass die Antwort auf alle 3 Fragen „Nein“ lautet, wünsche mir aber, dass es doch geht und würde mich daher sehr über eine Einschätzung / Meinung hierzu freuen.

Gruß,
Angler

Content-Key: 355356

Url: https://administrator.de/contentid/355356

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: aqui
aqui 18.11.2017 um 18:25:53 Uhr
Goto Top
plane – notgedrungen – erstmals VLANs aufzusetzen
Dann findest du hier alle Grundlagen dazu:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Mitglied: Angler
Angler 18.11.2017 um 19:17:52 Uhr
Goto Top
Danke, das meinte ich mit "hier verlinkten sehr guten Anleitungen"!

Nur leider ist mir für das mögliche Setup FB -> Mikrotik -> Subnetze nicht klar, ob es weiterhin die Kindersicherung der FB für die Clients aus den Subnetzen erlaubt....

Bin nach weiterem googlen noch auf die Idee gestoßen, als Ersatz für die AVM-Kindersicherung die Access Control über den Tp-Link (Archer C7), der als Acces Point dient, zu konfigurieren. Bin aber gerade noch dabei (und schaffe es heute auch veielleicht nicht mehr ganz). Mal sehen, wie weit ich funktional mit dieser Access Control komme und wie das handling so ist...

Wenn es mit dem TP-Link funktioniert, ist es vielleicht schon die Lösung, weil ich den später komplett ins Gäste-VLAN stellen kann und die Gäste (inkl. der zu kontingentierenden Kinder Devices) auch nur darüber ihren Internet-Zugang erhalten sollen.
Mitglied: aqui
aqui 18.11.2017 um 21:08:36 Uhr
Goto Top
Die Kindersicherung der FB ist so oder so ein ziemlicher Witz. Pffifige Kids haben die in Sekundenschnelle ausgehebelt. Auf Youtube gibts zig Anleitungen dazu. Vergiss also diesen FritzBox Spielkram. Das ist was für DAUs.
Sicher gehts du da mit entsprechenden ACLs auf dem MT. Die sind wenigstens wasserdicht face-wink
Mitglied: ashnod
ashnod 19.11.2017 um 21:39:00 Uhr
Goto Top
Zitat von @aqui:
Auf Youtube gibts zig Anleitungen dazu. Vergiss also diesen FritzBox Spielkram. Das ist was für DAUs.

Moin ...
Darum merke auf der FB youtube sperren face-wink

Sanfte Grüße
Mitglied: Angler
Angler 20.11.2017 aktualisiert um 23:40:19 Uhr
Goto Top
Hallo noch mal,

also TP-Link hat nur Start-Ende-Zeiten und keine Begrenzung der Online-Dauer.

Habe daraufhin noch mal den MT anhand der Winbox und einiger Diskussionen näher angeschaut mit dem bisherigen Schluss, dass es tatsächlich zahlreiche Möglichkeiten dort gibt. Allerdings - wie befürchtet - nur mit erheblicher Einarbeitung / intensivem Studium (inital und vermutlich auch wieder bei späterer Wartung).

Daher noch mal die Frage an diejenigen, die sich schon vor mir damit beschäftigt haben:
Was ist denn nun die sinnvollste FB-Alternative mit Zeitraum und Zeitbudget-Begrenzung?

Mit "sinnvoll" meine ich für mich persönlich einen Kompromiss aus Zeitaufwand und erreichter Aushebel-Sicherheit. Der MT ist mir Stand heute zu zeitaufwändig, die FB tatsächlich zu unischer.

Gibt es denn nichts dazwischen? Also a la MT mit "Assistenten", Consumer-Geräte mit wenigstens etwas höherer Sicherheit, oder andere (fast-)professionelle L3-Router / Firewalls mit übersichtlicherem Handling?

Etwas ernüchtert,
Angler
Mitglied: ashnod
ashnod 21.11.2017 um 08:41:53 Uhr
Goto Top
Moin ...

Zitat von @Angler:
Gibt es denn nichts dazwischen? Also a la MT mit "Assistenten", Consumer-Geräte mit wenigstens etwas höherer Sicherheit, oder andere (fast-)professionelle L3-Router / Firewalls mit übersichtlicherem Handling?

imho - Nein ... entweder landest du mit den Lösungen auf dem Sicherheitsniveau einer FB - oder hast zumindest einen deutlichen höheren Aufwand und Einarbeitungszeit. Btw. den MT würde ich nie empfehlen weil der aus meiner Sicht für Einsteiger gar nicht geeignet ist und zudem wenig intuitiv einstellbar ist.

"Profi"gerätschaften sind per se nicht sicherer als eine FB.
Es besteht immer die Gefahr durch eine Fehlkonfiguration mehr Lücken zu öffnen als die FB je zulassen würde.
Das wäre mein persönliches Fazit face-wink

Sanfte Grüße
Mitglied: Angler
Angler 21.11.2017 um 15:12:44 Uhr
Goto Top
Zitat von @ashnod:

Es besteht immer die Gefahr durch eine Fehlkonfiguration mehr Lücken zu öffnen als die FB je zulassen würde.
Das wäre mein persönliches Fazit face-wink

Danke! Das ist für mich wirklich ein ziemliches Problem: Was nützen mir die Möglichkeiten eines MT, wenn ich mangels Expertise dessen Risiken realistischerweise erst ab Betrieb so nach und nach (wenn überhaupt) in den Griff bekomme?!

Somit bleibt allerdings leider noch die Frage offen, welche Auf-/Umrüstung zur / von der FB sinnvoll ist. Ein zusätzliches Gerät (L3-Switch o.ä.) brauche ich ja ohnehin noch, um die VLANs aufzustellen...

Vielleicht sollte ich mal das Kriterium der Verwaltbarkeit einer "Kindersicherung" (mit Zeitraum und -Budget) für das neue Geräte fallen lassen, weil es ja vielleicht doch geht, diese on Top in der FB aufzusetzen, wenn davor das neue, noch nicht gefundene Gerät mit ACLs schon mal IPs/MACs "festnagelt" (Frage 2 aus dem ersten Post, zu der leider noch keine Einschätzung abgegeben wurde).

Immer noch ziemlich ernüchtert,
Angler
Mitglied: aqui
aqui 21.11.2017 um 15:50:42 Uhr
Goto Top
pfSense Firewall mit einem Squid Proxy. Jedenfalls die zeitgesteuerten Regeln kann man da recht einfach per Klicki Bunti ohne Expertise zusammenklicken.....
Bei URL Filtern oder dynmaischen Filtern mit dem Squid ist man dann schnell wieder bei der Expertise....
Wie immer hilft ein aufklärendes Gespäch MIT den Kindern und Schärfung deren Bewusstseins das eben nicht alles lieb ist im Internet am meisten. Die Zeit sollte man sich nehmen statt alles mit einer Technikschlacht lösen zu wollen. Aber egal...
Mitglied: ashnod
ashnod 22.11.2017 aktualisiert um 12:54:59 Uhr
Goto Top
Ahoi ...

Zitat von @Angler:
Danke! Das ist für mich wirklich ein ziemliches Problem: Was nützen mir die Möglichkeiten eines MT, wenn ich mangels Expertise dessen Risiken realistischerweise erst ab Betrieb so nach und nach (wenn überhaupt) in den Griff bekomme?!

Ein pragmatischer Ansatz für einen einfachen Betrieb - > Hänge dir für dein zusätzliches Netz eine zusätzliche FB ein -
Vorteil: Ist eine defekt ist sofort Ersatz verfügbar.

Dieser Vorschlag ist jetzt nicht der technische Hammer, das ist mir klar, aber die eierlegende Wollmilchsau gibt es nicht ... es ist ein entweder / oder.

Das Problem liegt nicht darin bedingt, das Ganze einmal aufzuziehen.
Problematischer ist das der Wartungsaufwand deutlich steigt ... und wenn eine Weile alles super läuft musst du bei einem Problem immer noch Wissen was du "damals" eigentlich damit bezwecken wolltest.
Wenn du also weder aus reinem Interesse/Hobby noch beruflich deine Erfüllung in dem Thema finden möchtest, dann "Take it easy" Die Welt geht ohne VLAN definitiv nicht unter face-wink

Sanfte Grüße
Mitglied: Angler
Angler 22.11.2017 aktualisiert um 15:37:03 Uhr
Goto Top
Hallo,

die letztgenannten Anstöße von Aqui (pfSense mit squid) und Ashnod (FB-Kaskade), gefallen mir beide.

Zitat von @ashnod:

weder aus reinem Interesse/Hobby noch beruflich deine Erfüllung in dem Thema finden möchtest, dann "Take it easy" Die Welt geht ohne VLAN definitiv nicht unter face-wink


..spricht mal wieder die entscheidungsrelevanten Dinge an. Ein bisschen Hobby ist es schon, beruflich auch nicht ganz irrelevant, weil nicht nur "home", sondern auch der Kleinbetrieb im Familienkreis durchaus auch noch eine Firewall vertragen kann und außer mir niemand in Sicht ist, der es übernimmt.

Kurzum, ich treibe mal eine "PC Engine" auf und versuche es mal mit Pfsense oder IPFire. Da auch Squid sinnvollerweise mit zum Einsatz kommen soll, dazu gleich mal zwei Fragen:
1. Ist die Squid-Funktionalität und -Bedienung "identisch" unter Pfsense / IPFire?
2. Hardware: Lohnt sich der Aufpreis für eine APU2 mit AES-NI Prozessor, wenn die Hardware-Verschlüsselung nur für eine, max. zwei VPN-Verbindungen "mal" zum Einsatz kommt? Oder wird diese Eigenschaft noch für andere Aufgaben genutzt? Ansonsten würde mir der Prozessor aus der APU1 mit "nur" zwei Cores und etwas niedrigerer Taktung vermutlich locker reichen und Gb-Ethernet + bis zu 4 GB RAM hat der ja auch schon..

Angler
Mitglied: ashnod
ashnod 22.11.2017 um 15:47:50 Uhr
Goto Top
Ich finde den preisunterschied nicht so gewaltig und würde eher zur APU2 tendieren.
Die APU1 macht Ihren Job in dem Rahmen aber auch klaglos.

Mit der Firewall wäre ich eher bei der pfSense. Es spricht aber nichts dagegen wenn du dir vor dem Kauf beide System in einer VM anschaust und die funktionalität testest.
Mitglied: Angler
Angler 27.11.2017 aktualisiert um 10:32:27 Uhr
Goto Top
Ok. Habe die APU2 geordert und bin mal gespannt, wie gut - oder auch nicht - dann bald das Konfigurieren der VLANs und der Kindersicherung von der Hand gehen werden und werde bis dahin erst mal den thread ruhen lassen.