• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Internetzugriff für einzelnes Gerät sperren (TP Link AC1200)

Cybergreek

Boardgrieche

Registriert
21 Nov. 2017
Beiträge
365
Hellas zusammen ;)

ich habe hier ein Xiaomi Gateway, das sich per WLAN ins Netzwerk verbindet, aber nicht raus können soll.
Das Endgerät spielt eigentlich keine Rolle, meine Tests habe ich mit meinem Handy gemacht, aber es nicht hinbekommen (deswegen schreibe ich jetzt hier ;) ).

Das Netzwerk sieht so aus:
Ein Speedport W 724V hängt an der Telekom-Buchse. Dieser ist per LAN mit einem TP Link AC1200 verbunden, der für das WLAN und die IP-Adressen zuständig ist. Also:
- Speedport W 724V: WLAN aus; DHCP aus
- TP Link: WLAN an, DHCP an

Das Handy ist im WLAN und kann ins Netz.
Im TP Link gibt es die "Parent Control", mit der man wohl erreichen kann, dass einzelne Geräte nicht bzw. nur eingeschränkt ins Netz dürfen. Ich habe jede Menge Kombinationen durchprobiert, hier mal die Kombination, die ich am korrektesten sehe (die aber auch nicht funktioniert hat):

parental-control1.PNG parental-control2.PNG

AA-BB-CC-DD-EE-FF ist mein Rechner, womit ich die Konfiguration vornehme.
BB-BB-BB-BB-BB-BB ist mein Handy.
(die Mac-Adressen sind natürlich korrekt gewesen)

Auch nach Reboot des Routers und Neuverbindung des Handys mit dem WLAN funktioniert der Internet-Zugriff problemlos.
Hat einer ne Idee, was ich falsch mache?

Vielen Dank schon mal!
 

Cybergreek

Boardgrieche

Registriert
21 Nov. 2017
Beiträge
365
  • Thread Starter Thread Starter
  • #3
@Cybergreek: Schmeiß es mal aus der Liste raus, dann sollte es nicht mehr verbinden können (zumindest steht es so in der Beschreibung).
Hab das gerade mal probiert, ändert aber nichts an der Verbindung.
Ich hoffe, ich habe Dich richtig verstanden. Du meinst: das Handy unten aus der List rausschmeißen, korrekt?
 

Cybergreek

Boardgrieche

Registriert
21 Nov. 2017
Beiträge
365
  • Thread Starter Thread Starter
  • #5
@Cybergreek: Ja, wenn Parental Control eingestellt ist, sollten nur noch die Geräte in der Liste sich verbinden dürfen, zumindest steht es so an der Seite dran.
Ok, dann ist es aber wohl sowieso der falsche Ansatz, weil das "nicht-Ins-Netz-Kommen" die Ausnahme sein wird.

Mit "Access Control" habe ich auch schon rumgespielt, aber das scheint auch nicht zu klappen. Ist das vielleicht der bessere Ansatz?
access-control.PNG
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Cybergreek: Nein, das ist die richtige Art, wie man ne Firewall konfiguriert. Lücken finden und schließen ist schwerer vollständig umzusetzen als alles zumachen und Lücken aktiv zu schlagen. Dass du nur ein Gerät blocken willst, ändert da eigentlich nix dran. Mit Zugriff auf die drunter liegenden iptables könntest du das auch ziemlich einfach so umsetzen, wie du es haben willst, aber nur in der GUI wird das glaub ich schwer. Sorry, dass ich dir da wenig helfen kann - das ist viel rumprobieren, weil jeder Hersteller das anders macht und teilweise zwischen den Modellen sogar Unterschiede sind.

Access Control sieht aber auch gut aus, probiers aus.
 

Cybergreek

Boardgrieche

Registriert
21 Nov. 2017
Beiträge
365
  • Thread Starter Thread Starter
  • #7
@Metal_Warrior: Grundsätzlich stimme ich Dir ja zu. Mich hat ein bisschen abgeschreckt, dass ich oben nur 4 PCs angeben kann, die alles dürfen. Das wird ein Problem, da hier mindestens drei Handys, vier Laptops und ein HTPC kompletten Internet-Zugriff kriegen sollen.
Wenn ich Dich richtig verstehen, dann würde man diese Geräte unten in der Liste hinzufügen, damit sie alles dürften. Aber da kann ich jeweils nur 8 Domains angeben, die erlaubt sind (zweiter Screenshot im ersten Post). Deswegen habe ich die Logik von "Parental Control" im TP-Link-Beispiel wohl noch nicht ganz verstanden.

Du brauchst Dich nicht entschuldigen, dass genau dieses Beispiel nicht kennst. Ich bin Dir ja schon dankbar, dass Du es überhaupt versuchst ;)

Ich gucke mal, ob man an die iptables von TP-Link drankommt (da wären die doch zu suchen, oder?). Ich habe zwar nicht so viel Ahnung von Linux und mit iptables kann ich noch nicht viel anfangen, aber mir ist es grundsätzlich lieber in Text-Dateien etwas zu hinterlegen, wenn ich weiß was ich tue, anstatt in GUIs zu suchen, was schief ist.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
Parental Control willst du wohl nicht nutzen, glaube ich, eher das zweite was du gepostet hast? "Internet Access Control".

Deine Einstellung mit "Deny" (everything listed auf alle Ziele/any target" at "any time" (Schedule) - sollte eigentlich genau der richtige weg sein.

Andererseits könntest du es auch so machen, das du von "deny" everything listed auf "allow anything listed" umstellst, heißt, alles was nicht in der Liste auftaucht, wird automatisch geblockt / vom Internet abgehalten, so die Idee.

Was nun besser ist, wohl dem Konfigurationsaufwand geschuldet und ob du ein neues Gerät explizit hinzufügen willst, so bald es sich mit dem WLAN verbindet. Aber etwas explizit zu erlauben wäre vielleicht tendenziell günstiger, wenn du nicht immer Gäste hast, die sich auf dein WLAN verbinden bzw. eher wenn du weißt, das dein Netzwerk relativ gleich bleibt. Aber letztendlich fast eine Geschmackssache - würde ich meinen.

Sieht zumindest aber richtig aus mit der Internet Zugriffskontrolle.
 

Cybergreek

Boardgrieche

Registriert
21 Nov. 2017
Beiträge
365
  • Thread Starter Thread Starter
  • #9
@theSplit: ich denke auch, dass die Access Control helfen sollte.
Habe auch schon ein Video gefunden, dass genau das zeigt, was ich erreichen will, aber irgendwie klappt das bei mir nicht.

Ich befürchte, dass es an dem Netzwerk an sich liegen könnte.
Wenn ich ein "tracert google.de" ausführe, dann ist der erste Punkt der speedport:
Code:
C:\Users>tracert google.de


Routenverfolgung zu google.de [216.58.214.99]
über maximal 30 Hops:


  1     2 ms     2 ms     1 ms  speedport.ip [192.168.2.1]
  2     8 ms     8 ms     8 ms  62.155.241.186
  3   136 ms    63 ms    42 ms  217.239.45.98
  4    13 ms    11 ms    11 ms  80.156.160.118
...
Kann es sein, dass der direkt an den Speedport rangeht und gar nicht auf diese Regeln im TPLink guckt?
Oder ist das normal, dass der erste Punkt der Speedport ist?

--- [2018-02-18 19:02 CET] Automatisch zusammengeführter Beitrag ---

Tja, daran lag's wohl.
Ich habe gestern nicht direkt gesehen, dass es im Speedport auch einen Bereich gibt, um Sperren zu aktivieren.

So sieht es da aus:
speedport.PNG

Und das scheint direkt zu funktionieren.
Die Sperre hatte ich am WLAN-Router/DHCP-Server erwartet, aber so kann man sich täuschen.

Vielen Dank Euch beiden für die Unterstützung!
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
Kann es sein, dass der direkt an den Speedport rangeht und gar nicht auf diese Regeln im TPLink guckt?
Oder ist das normal, dass der erste Punkt der Speedport ist?

Was bekommst du für eine IP, wenn du "ipconfig" an besagtem Rechner eingibst, ist da die IP des TP Links angegeben als Gateway für den Rechner? (Wenn du die IP eingibst, kommst du auf das entsprechende Interface des Router, logisch ;) )

Wenn du die IP für den WLAN Adapter aufrufst, solltest du eigentlich auf deinem TP Link landen, ansonsten, der Speedport sollte dann theoretisch die erste Stelle sein (da über LAN verbunden), die über das Netzwerk deine Anfrage zu Google leitet, von daher sollte das korrekt sein. Wobei, ich den Fall nicht selbst so noch nicht hatte.

Aber wie gesagt, mach mal "ipconfig /all" und schau dir an, mit welchem Router dein PC verbunden ist.

Und dann versuche mal besagten PC in deinem TP Link zu blocken über Internet Access Control und dann nochmal zu tracen. Wenn alles korrekt ist, sollte deine Anfrage oder ein ping scheitern.

Edit: Zum Video: Hast du "Enable Access Control" aktiviert, deinen Testrechner hinzugefügt und auf "Deny" umgestellt und gespeichert?
 
Zuletzt bearbeitet:

Cybergreek

Boardgrieche

Registriert
21 Nov. 2017
Beiträge
365
  • Thread Starter Thread Starter
  • #11
... ist da die IP des TP Links angegeben als Gateway für den Rechner? (Wenn du die IP eingibst, kommst du auf das entsprechende Interface des Router, logisch ;) )
Genau da liegt das Problem / die Ursache. Als Default-Gateway ist im TP-Link die IP vom Speedport hinterlegt und dementsprechend nimmt mein Rechner (ein Laptop über WLAN) als Gateway den Speedport. Das habe ich ganz am Anfang mal bewusst so hinterlegt, mir fällt aber gerade nicht ein, warum.

Beim Testgerät (Handy) hat das jetzt sehr gut funktioniert mit der Sperre.
Beim Xiaomi muss ich noch ein bisschen forschen. Wenn ich seine IP in die Sperre eintrage, ist es immernoch von außen über die APP steuerbar (also WLAN am Handy aus und über Mobilfunk die App starten). Also kommt der Xiaomi doch irgendwie ins Netz.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
@Cybergreek: Vielleicht hat sich die IP des Xiaomi geändert (andere IP über TP Link DHCP zugewiesen, weil nicht statisch vergeben an den Client/das Gerät?), und daher greift deine Regel nicht, dann solltest du die MAC-Adresse des Gerätes nehmen. Und dann sollte es vermutlich auch funktionieren.

Aber schön wenn es zumindest mit dem Handy schon mal klappt :T
 

Cybergreek

Boardgrieche

Registriert
21 Nov. 2017
Beiträge
365
  • Thread Starter Thread Starter
  • #13
@theSplit: Leider nicht. Die IP ist gleich geblieben und der Speedport führt die Sperren auf "Geräte" aus. Man kann auf einer anderen Übersicht zu jedem erkannten Gerät die MAC-Adresse und die IP sehen und die passen auch beide.
Vielleicht ist es auch ein bestimmter Port, der nicht mitgesperrt wird. Ich habe zwar alle Optionen zum Sperren ausgewählt, aber ich gucke mal ob sich rausfinden lässt, welchen Port das Xiaomi nutzt.

--- [2018-02-18 19:24 CET] Automatisch zusammengeführter Beitrag ---

Kommando zurück, es klappt jetzt auch beim Xiaomi.
Anscheinend braucht der Speedport manchmal länger um die Sperre zu aktivieren.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
@Cybergreek: Ich hoffe du meinst nicht den "Speedport", sondern den "TP Link" der die Sperren ausführt. ;)

Aber an einer Portweiterleitung oder ähnlichem, kann es nicht liegen, oder? Wäre noch eine Idee. Im übrigen, ist das "Xiaomi" ein anderes Handy oder irgend ne Box?

Scheint fertig. :D
 
Zuletzt bearbeitet:

Cybergreek

Boardgrieche

Registriert
21 Nov. 2017
Beiträge
365
  • Thread Starter Thread Starter
  • #15
@Cybergreek: Ich hoffe du meinst nicht den "Speedport", sondern den "TP Link" der die Sperren ausführt. ;)
Ne, eigentlich meinte ich schon den Speedport. Der ist im TP Link als Standardgateway hinterlegt und nur die Speedport-Sperren greifen.

Zum Xiaomi:
Das ist ein Gateway für die die Xiaomi Smarthome-Komponenten. Ich habe jetzt testweise einen Fenstersensor und einen Bewegungsmelder geholt. Sehr klein und günstig.
Jetzt, wo ich den auch nach außen hin sperren konnte, passt er gut zum Rest meiner Smarthome-Komponenten die ohne Cloud laufen, und die restlichen Fenster werden bald vermutlich auch mit Sensoren ausgestattet.
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
Jetzt kann ich dir nicht ganz folgen.... du sagtest doch, du willst Geräte am "TP-Link" sperren, für das Internet, wo sie sich auch verbinden ins WLAN?

Der Speedport ist doch nur über LAN verbunden und leitet das Signal vom TP-Link Clients an das Internet weiter, der Speedport kennt doch auch die TP-Link Clients gar nicht, der sieht nur den TP-Link über LAN. :unknown:
 

Hartman

gesperrt

Registriert
18 Feb. 2018
Beiträge
63
Kann man nicht die ersten 3 Blocks der MAC im dhcp verbieten? Diese geben den Hersteller an.


AA:BB:CC:*:*:*
 

Cybergreek

Boardgrieche

Registriert
21 Nov. 2017
Beiträge
365
  • Thread Starter Thread Starter
  • #18
@theSplit: Sorry für die Verwirrung.

Also:
Der speedport ist das Modem, dass ich von der Telekom bekommen habe. Da der Telekom-Anschluss etwas ungünstig platziert ist, habe ich mir noch den TP-Link geholt. Der speedport steht am Wohnungseingang von wo aus ein LAN-Kabel in ein sehr zentral gelegener Zimmer führt. Dort steht der TP-Link und dient als WLAN Access Point und als DHCP (beides ist beim speedport deaktiviert).
Beim TP-Link ist als Standardgateway der speedport hinterlegt, weswegen alle Clients diesen auch als Gateway mitkriegen. D.h. die WLAN-Clients kriegen die IP vom TP-Link und gehen über das Gateway "speedport" ins Netz. Deswegen hat auch das Setzen der Sperren am TP-Link nichts gebracht, weil die Clients wohl drüber hinweggegangen sind. Wenn ich auf dem speedport die Sperren konfiguriere, dann klappt es auch.
Ich hoffe, das entwirrt ein bisschen.

--- [2018-02-18 21:14 CET] Automatisch zusammengeführter Beitrag ---

Kann man nicht die ersten 3 Blocks der MAC im dhcp verbieten? Diese geben den Hersteller an.


AA:BB:CC:*:*:*
Ne, leider nicht. Beim Speedport werden die konkreten Geräte für die Sperre markiert. Hinter dem Gerät steckt die komplett MAC- und IP-Adresse. Da ich die IP-Adresse fest vergeben, ändert die sich nicht und es sollte so passen.

Wenn ich Deine Frage aber nochmal durchlese, geht meine Antwort aber wahrscheinlich an der Frage vorbei, oder? Der DHCP vergibt doch die internen IP-Adressen. Wenn ich dort die MAC-Adresse vom Xiaomi sperren würde, würde der doch überhaupt keine IP kriegen und im internen Netzwerk garnicht mehr auftauchen, oder?
 

theSplit

1998
Veteran Barkeeper

Registriert
3 Aug. 2014
Beiträge
28.561
@theSplit: Sorry für die Verwirrung.

Also:
Der speedport ist das Modem, dass ich von der Telekom bekommen habe. Da der Telekom-Anschluss etwas ungünstig platziert ist, habe ich mir noch den TP-Link geholt. Der speedport steht am Wohnungseingang von wo aus ein LAN-Kabel in ein sehr zentral gelegener Zimmer führt. Dort steht der TP-Link und dient als WLAN Access Point und als DHCP (beides ist beim speedport deaktiviert).
Beim TP-Link ist als Standardgateway der speedport hinterlegt, weswegen alle Clients diesen auch als Gateway mitkriegen. D.h. die WLAN-Clients kriegen die IP vom TP-Link und gehen über das Gateway "speedport" ins Netz. Deswegen hat auch das Setzen der Sperren am TP-Link nichts gebracht, weil die Clients wohl drüber hinweggegangen sind. Wenn ich auf dem speedport die Sperren konfiguriere, dann klappt es auch.
Ich hoffe, das entwirrt ein bisschen.

Ne, leider nicht, dein TP-Link leitet Anfragen von Clients seines DHCP Netzwerks weiter, alle die Verbunden sind und Erlaubnis haben. Der Speedport sieht ja keine Clients, der sieht nur den TP-Link im LAN.

Egal was du sperrst im Speedport, es betrifft alle, es betrifft eigentlich die Clients nicht direkt also über deren Kennung, nur indirekt, wenn du im Speedport Port 80 blockst, betrifft das den Internetverkehr, aber du blockst damit ja nicht einzelne Clients des Netzwerks im TP-Link, sondern alle die auf Port 80 kommunizieren wollen, dessen Anfragen von dem TP-Link kommen!
 
Oben