[gelöst]Kinder: Internetzeit begrenzen, bestimmte Seiten & Dienste unbegrenzt

[debianoli]

Edit:

Ich habe den Titel und Inhalt angepasst, da ich es undeutlich formuliert habe.

Hi,
für meine Kinder nutze ich zZ eine Fritzbox, die nur eine bestimmte Zeit den Intenet-Zugang ermöglicht.
Leider löst die Fritzbox das so, dass nach Ablauf der Zeit überhaupt kein Netzwerkzugriff mehr möglich ist, also auch nicht auf das lokale Netz 192.168.1.0-255

Kennt ihr ein Programm, mit dem man das anders Lösen kann? Also den Internet Zugriff zeitlich beschränken, aber das lokale Netz immer erreichbar lassen?

Noch besser wäre eine Lösung, bei der das komplette Internet nur für eine bestimmte Zeit erreichbar ist, aber manche Adressen auch außerhalb dieser Zeit (zB die Debian-Repositorys oder wikipedia, Email-Abruf etc.)

Grüße
Oli

[uname]

Wenn nur PCs (z. B. Linux-Desktop) verwendet werden, könntest du einen Zwangs-Proxy wie Squid oder Dansguardian verwenden. Auch könntest du vielleicht irgendwelche Filterregeln auf dem Debian-Client per CRON aktivieren und deaktivieren. Bei Smartphones und Tablets sieht das jedoch schlecht aus. Alternativ kannst du vielleicht einen zweiten WLAN-Router vorschalten.

[MSfree]

Wenn nur PCs (z. B. Linux-Desktop) verwendet werden, könntest du einen Zwangs-Proxy wie Squid oder Dansguardian verwenden. ...Bei Smartphones und Tablets sieht das jedoch schlecht aus. Alternativ kannst du vielleicht einen zweiten WLAN-Router vorschalten.

Man kann Smartphones und Tabletts auch durch einen Proxy zwingen. Allerdings geht das nicht mit einer Fritzbox. Ich habe bei mir z.B. einen Debian-PC als DSL-Router, auf dem Squid läuft. Ins Internet kommt man dabei ausschließlich durch den Squid, "normaler" Port 80/443 Verkehr wird nicht geforwarded. Mein Tablett und mein Smartphone gehen darüber ebenso ins WWW wie meine diversen PCs.

Das ganze läßt sich weitgehend automatisieren, indem man den Clients den Proxy per WPAD mitteilt. Wer wann und wie lange ins Internet darf, kann man mittels Authentisierung im Squid realisieren, wo man für jeden Benutzer Nutzungszeiten vorgeben kann. Theoretisch ginge auch eine Filterung mittels IP-Adresse oder Hostname, aber das sind Sperren, die jede(r) 8-jährige schon zu umgehen weiß, also weitgehend sinnlos sind. Abhängig von der Authentisierung kann man auch die Seiten limitieren, auf die der Nachwuchs Zugriff bekommt.

[debianoli]

Man kann Smartphones und Tabletts auch durch einen Proxy zwingen. Allerdings geht das nicht mit einer Fritzbox. Ich habe bei mir z.B. einen Debian-PC als DSL-Router, auf dem Squid läuft. Ins Internet kommt man dabei ausschließlich durch den Squid, "normaler" Port 80/443 Verkehr wird nicht geforwarded. Mein Tablett und mein Smartphone gehen darüber ebenso ins WWW wie meine diversen PCs.

Das heißt, dass ich das eigentlich ohne andere Hardware nicht realisieren kann. Ich muss also entweder einen eigenen Accesspoint für das Kindernetz hinter die Fritzbox schalten oder die Fritzbox durch einen Rechner ersetzen, der als Router fungiert.

Wobei der Internet-Zugang der Kinder zZ nur durch alte Laptops mit Debian ermöglicht wird. Das soll auch noch länger so bleiben.

[MSfree]

Das heißt, dass ich das eigentlich ohne andere Hardware nicht realisieren kann.

Das wäre zumindest mein Ansatz.

Ich muss also entweder einen eigenen Accesspoint für das Kindernetz hinter die Fritzbox schalten

APs kann man genauso gut/schlecht einschränken wie Fritzboxen.

oder die Fritzbox durch einen Rechner ersetzen, der als Router fungiert.

Die Fritzbox wirst du vermutlich zusätzlich zum Telefonieren brauchen, ersetzen wird also ggfls. nicht möglich sein. Du könntest aber einen PC zwischen LAN und Fritzbox setzen, der als Vorfilter vor der FB fungiert (sozusagen als kaskadierter Router). Das WLAN der FB muß dann aber abgeschaltet werden, sonst geht der Nachwuchs über das FB-WLAN ungefiltert ins WWW. Wenn dann noch WLAN gewünscht ist, braucht man tatsächlich noch einen weiteren AP. Mit einem Raspberry-PI könnte man einen (kaskadierten) Internetrouter aufbauen. Der bringt auch gleich WLAN mit, so daß der gleichzeitig als AP fungieren könnte. Kosten würde das ab 60 Euro. (Raspi 3+, Gehäuse. Netzteil, als 2. NIC USB-Netzwerkkarte).

Wobei der Internet-Zugang der Kinder zZ nur durch alte Laptops mit Debian ermöglicht wird. Das soll auch noch länger so bleiben.

Als suboptimale Lösung könntest du natürlich squid auf jedem Rechner installieren und mit ein paar iptables-Regeln die Nutzung des Proxies erzwingen. Wartung und Admnisration wird dann aber aufwändig, weil man das nicht mehr zentral an einem Rechner machen kann sondern auf jedem Client separat. Und wenn die Kids mal entdeckt haben, daß man mit einem Linux-Rettungssystem auf einem USB-Stick den eigenen Laptop booten kann und darüber root-Rechte bekommt, mittels denen man die iptables-Regeln und den squid abschalten kann, ist es aus mit dem lokalen squid.

[debianoli]

oder die Fritzbox durch einen Rechner ersetzen, der als Router fungiert.

Das WLAN der FB muß dann aber abgeschaltet werden, sonst geht der Nachwuchs über das FB-WLAN ungefiltert ins WWW. Wenn dann noch WLAN gewünscht ist, braucht man tatsächlich noch einen weiteren AP. Mit einem Raspberry-PI könnte man einen (kaskadierten) Internetrouter aufbauen. Der bringt auch gleich WLAN mit, so daß der gleichzeitig als AP fungieren könnte. Kosten würde das ab 60 Euro. (Raspi 3+, Gehäuse. Netzteil, als 2. NIC USB-Netzwerkkarte).

An diese Lösung hatte ich gedacht, denn einen PI hätte ich noch übrig. Aber wozu die 2. Netzwerkkarte? Ich kann den PI doch an der Fritzbox ins LAN hängen und nur als WLAN-Accesspoint betreiben. Die Rechner gehen sowieso nur per Wlan ins Netz. Da die Kinder das Wlan-PAsswort nicht kennen, gibt es bei der Lösung keine Probleme.

Und wenn die Kids mal entdeckt haben, daß man mit einem Linux-Rettungssystem auf einem USB-Stick den eigenen Laptop booten kann und darüber root-Rechte bekommt, mittels denen man die iptables-Regeln und den squid abschalten kann, ist es aus mit dem lokalen squid.

Wenn die das können, schalte ich ihnen das Internet ohne Zeitbeschränkungen frei und stelle ihnen einen neuen Rechner hin.

[MSfree]

Aber wozu die 2. Netzwerkkarte? Ich kann den PI doch an der Fritzbox ins LAN hängen und nur als WLAN-Accesspoint betreiben.

In dem Fall brauchst du natürlich keine 2. Netzwerkkarte. Die wäre dafür gedacht gewesen, im verkabelten LAN genauso zu verfahren wie im (Kinder-)WLAN.

Wenn die das können, schalte ich ihnen das Internet ohne Zeitbeschränkungen frei und stelle ihnen einen neuen Rechner hin.

[WinLin]

Hallo debianoli,

für meine Kinder nutze ich zZ eine Fritzbox, die nur eine bestimmte Zeit den Intenet-Zugang ermöglicht.

Kann es sein, dass die Fritz!Box (für deine Kinder) nur indirekt mit dem I-Net verbunden ist (z.B. I-Net-Zugang über einen vorgeschalteten Router)?

Falls ja, ist das Verhalten der Fritz!Box absolut korrekt, da sie die Gateway- und Routing Funktion unterbindetet, sobald der von Dir konfigurierte zeitliche Trigger aktiviert wird.

[debianoli]

Kann es sein, dass die Fritz!Box (für deine Kinder) nur indirekt mit dem I-Net verbunden ist (z.B. I-Net-Zugang über einen vorgeschalteten Router)?

Nein, da ist nix vorgeschaltet.

[WinLin]

Dann bitte mehr Info's..

Fritz!Box:

• Modell und Firmware
  DHCP aktiv oder nicht aktiv.
  usw.

[debianoli]

Dann bitte mehr Info's..

Fritz!Box:

• Modell und Firmware
  DHCP aktiv oder nicht aktiv.
  usw.

Sorry, aber wozu soll ich diese Infos hier posten? Die Frizbox, die ich im Einsatz habe, kann nicht, was ich brauche. Wenn du einen konkreten Ansatz für eine Lösung hast, wie zB per squid, dann bin ich für Vorschläge offen.

[WinLin]

Ok, viel Spaß noch!

[mat6937]

, aber wozu soll ich diese Infos hier posten?

Na weil Du Hilfe hier suchst.

[MSfree]

, aber wozu soll ich diese Infos hier posten?

Na weil Du Hilfe hier suchst.

Informationen, die mit dem Problem rein gar nichts zu tun haben?

Am besten, du postest hier auch gleich mal, wie groß dein Briefkastenschlitz ist, damit man helfen kann.

[mat6937]

Informationen, die mit dem Problem rein gar nichts zu tun haben?

Das wissen bzw. sehen wir erst wenn der TE dem Fragenden die Informationen zur Verfügung gestellt hat.

Btw: Man kann die Firmware einer FritzBox evtl. auch ergänzen oder modifizieren.

[debianoli]

Das wissen bzw. sehen wir erst wenn der TE dem Fragenden die Informationen zur Verfügung gestellt hat.

Nö, ganz echt, darauf habe ich keine Lust.

Ich habe hier nach einem PROGRAMM gefragt, mit dem ich den zeitlichen Zugang zum Internet für bestimmte Clients einschränken kann und nach Ablauf dieser Zeit trotzdem Zugang zu bestimmten Diensten und Domains im Internet habe. Ein Programm, das das kann, ist zB das erwähnte squid. Mit diesen Infos kann ich was anfangen und mich weiter informieren. Und dann eine Lösung suchen, die mit relativ wenig Arbeitseinsatz umsetzbar ist.

Warum ich dazu alle möglichen Infos zu der Fritzbox posten soll, weiß ich nicht. Denn wenn ihr das Flashen einer Fritzbox als mögliche Lösung für mein Problem seht, dann genügt mir ein Hinweis auf die entsprechenden Projekte bzw Foren rund um die Fritzbox. Wenn ich damit nicht weiterkomme, frag ich hier nach.

[uname]

Ich habe noch mal nachgedacht. Du könntest dir für kleines Geld (20 Euro) einen TP-Link TL-WR802N kaufen. Den kannst du dann im WISP-Client-Modus betreiben, so dass er selbst ein WLAN-Netz aufspannt und das WLAN von der Fritzbox nutzt (LAN geht auch). Eine Zeitbeschränkung ist sehr einfach möglich. Einfach das Gerät vom Strom trennen (manuell oder Zeitschaltuhr) Es bietet aber auch ein "Parental Control".

https://www.tp-link.com/de/home-network ... tl-wr802n/

Simulator: https://emulator.tp-link.com/EMULATOR_w ... ginRpm.htm (Benutzer: admin, Passwort: admin)

[TomL]

Ich habe auch schon über eine Lösung gegrübelt, mich aber wegen der nicht völlig klaren Fragestellung zurückgehalten. Die Frage lässt ja 2 Möglichkeiten zu:
1. Tägliches Zeit-Kontingent (Min. o. Std.), egal wann, auch gestückelt .... was einigermaßen kompliziert zu lösen wäre.
2. Täglich fixe Uhrzeiten, egal ob das gerade genutzt wird oder nicht, außerhalb geht nix .... das wäre relativ einfach zu lösen.

[uname]

Ich kenne die Möglichkeiten der Fritzbox nicht. Aber der Simulator des TP-Link zeigt schon viele Möglichkeiten.
Ich weiß aber nicht ob das Intranet-Problem damit gelöst werden kann. Evtl. dann, wenn der Intranet-Server am WLAN des TP-Link und nicht am WLAN der Fritzbox hängt. Ich bin mir aktuell nicht sicher, ob dann umgekehrt vom WLAN der Fritzbox korrekt zum WLAN des TP-Link geroutet wird oder ob es nur ein NAT ist, welches rückwärts nicht überwunden werden kann.

[TomL]

Ich kenne die Möglichkeiten der Fritzbox nicht.

Ich habe eine 7490 und die kennt beide Möglichkeiten: einerseits definierbare fixe von-bis-Zeiten/Zeiträume für die einzelnen Wochentage, als auch Zeitbudgets an den Wochentagen. Aber wenn debianoli sagt, seine Fritte kann das nicht, muss man das ja nicht weiter betrachten.... wenn sie's nicht kann, dann isses halt so.

[uname]

Ok. Ich habe es gerade ausprobiert. Ein Routing vom Fritzbox zurück ins Netz des TP-Link ist nicht möglich. Vielleicht insgesamt dann doch keine so gute Idee es sei denn man möchte ein Gerät, dass man einfach aus der Steckdose ziehen kann wenn es mal wieder genug Internet war

[TomL]

So richtig konnte ich mir das auch nicht vorstellen. Aber wie gesagt, Zeit-Budgets sind schwierg, feste Uhrzeiten hingegen einigermaßen easy.

[unitra]

Ich glaube eher dass der Fehler bei der Konfiguration lag, anstatt bei dem "Routing" zwischen beiden Geräten.

Ok. Ich habe es gerade ausprobiert. Ein Routing vom Fritzbox zurück ins Netz des TP-Link ist nicht möglich...

[debianoli]

Ich habe auch schon über eine Lösung gegrübelt, mich aber wegen der nicht völlig klaren Fragestellung zurückgehalten. Die Frage lässt ja 2 Möglichkeiten zu:
1. Tägliches Zeit-Kontingent (Min. o. Std.), egal wann, auch gestückelt .... was einigermaßen kompliziert zu lösen wäre.
2. Täglich fixe Uhrzeiten, egal ob das gerade genutzt wird oder nicht, außerhalb geht nix .... das wäre relativ einfach zu lösen.

Sorry, das hätte ich genauer schreiben sollen. Ich passe auch den Titel des Threads noch etwas an.

Also, zur Zeit wird die Beschränkung durch ein tägliches Zeitkontingent gelöst. Meine Fritzbox kann das und das funktioniert auch ganz gut. Aber außerhalb der Zeit sollen trotzdem zB das Debian-Repository und Email erreichbar bleiben (sonst muss ich immer ein Ticket einlösen,um an dem Rechner updates etc. zu machen).

Ich denke mal, dass squid für meine Anforderungen das passendste sein dürfte. Entweder richte ich das lokal auf dem Kinder-Laptop ein oder auf einem openwrt-Router bzw einem PI.

Wobei der TP-Link auch interessant aussieht. Den seh ich mir ebenfalls an.

[uname]

Da die Rechner ja über LAN oder wahrscheinlicher über WLAN mit der Fritzbox verbunden sind befürchte ich, dass du dein Intranet-Problem ohne zusätzlichen Router nicht lösen kannst.

Das mit den Updates würde ich einfach ignorieren. Die sind doch vollkommen unkritisch. Vielleicht kannst du sie automatisch per unattended-upgrades anstoßen, wenn Internet da ist. Und bzgl. E-Mail. Liegen die wirklich lokal rum? Wahrscheinlich doch irgendwo im Internet, so dass du von der Zeitsteuerung grundsätzlich auf eine Domain-Steuerung oder beides wechseln müsstest. Ob das eine gute Idee ist?