Stundenkontingent Internetzugang für Kinder?



  • Servus,
    neulich ne FritzBox in der Hand gehabt, die Kontingente für Internetzugang einrichten kann: http://www.avm.de/de/News/artikel/portal-artikel/72_kindersicherung.html

    Zeitfenster lassen sich mit pfS ja realisieren, aber wie sieht es mit Kontingenten aus? 3 Stunden pro Tag z.B.

    Jemand ne Idee?

    Grüße



  • Es gibt schon eine Möglichkeit: Du kannst ein Captive Portal einrichten und den Zugang über Vouchers regeln. Ein Voucher gestattet einmalig eine bestimmte Online-Zeit, z.B. eine Stunde. Das bedeutet aber, daß die eingeschränkten Benutzer regelmäßig mit Vouchers versorgt werden müssen und daß sie diese vor dem Zugriff auf das Internet auch jedes Mal eingeben müssen. Das dürfte recht schnell sehr lästig werden. Ein Limit pro Tag ist damit auch nur möglich, wenn man jeden Morgen jeweils einen Voucher ausgibt, der nur an diesem Tag gültig ist. ::)

    Einen generellen Nachteil hat die Regelung auf einer Firewall / Router übrigens egal ob Fritzbox oder pfSense: Die Beschränkungen hängen am Gerät, nicht am Benutzer. Wenn mehrere Kinder einen gemeinsamen Computer benutzen, dann klappt das schon nicht mehr zuverlässig.

    Wesentlich einfacher ist es diese Beschränkungen über die Client-PCs zu regeln. Der Mac kann das prima von Haus aus. Bei Windows weiß ich es nicht, aber erfahrungsgemäß sind Windows-Onboard-Mittel sofern überhaupt vorhanden oft eher unbrauchbar, umgekehrt gibt es dafür aber sicher prima Zusatzlösungen.

    Welche Onboard-Möglichkeiten es für Smartphones und Tablets (iOS / Android) gibt, weiß ich nicht, aber Geräte mit Mobilfunk sind ohnehin nicht durch das lokale Netz einzufangen …

    -flo-



  • Wenn mehrere Kinder einen PC nutzen, könnte man dies mit Benutzerkonten und verschiedenen IP's regeln. Dann ginge es nach Benutzer und nicht nach Gerät. Mit pfsense jedoch nicht so möglich eie bei AVM.



  • Servus,
    ja, an CP mit Voucher dachte ich auch schon, fand das aber auch sehr umständlich. Es sind einige Geräte, die das betrifft, u.a. ein iPod und ein Windows-PC.

    Mir kommt da gerade eine andere Idee. Anschluss ist 1&1 inkl. Telefon. D.h., ich brauch die FritzBox so oder so, die pfS hängt dahinter und verwaltet VLANs bzw. spielt Inhaltsfilter. Ich müsste also versuchen, die Geräte über eine eigene IP Richtung FB gehen zu lassen.

    Etwa so:




  • Wenn das funktioniert, dann nur so, daß alle Geräte in einem VLAN gemeinsam ein Drei-Stunden-Limit haben. Das geht nicht einmal pro Endgerät, geschweige denn pro Person. (Ok, ich gehe immer von mehreren Kindern aus, evtl. möchtest Du nur für eine Person Beschränkungen einrichten …)

    -flo-



  • Kann ich mir denn nicht ne zweite WAN-IP geben und NAT-Regeln anlegen? Mit mehreren WAN-IPs hab ich allerdings keine Erfahrung…



  • Jau schon, aber in der FB gibt es dann Einschränkungen nur bezogen auf diese WAN-IP, entsprechend Deinem Bild 192.168.178.2. Für alles dahinter gelten dann die Beschränkungen, oder nicht?



  • Ich würde alle Geräte eines Kindes in einem Alias zusammenfassen und dann eben auf die reglementierte WAN-IP leiten. Das Kontingent gilt dann für alle Geräte insgesamt.


  • LAYER 8 Moderator

    Wenn du das so bündelst klappt das. So wie du es oben beschrieben hast, geht das recht einfach:

    Unter Firewall/Virtual IP legst du dir erstmal noch ein paar IPs aus dem Transfernetz mit deiner Fritzbox an. Also gesagt 192.168.178.3, .4, .5.  Diese als Virtual Alias aufs WAN knoten
    Dann gehe ins NAT Menü, Outbound NAT und schalte - wenn nicht schon passiert - auf Advanced um, speichere und du solltest die bisherige NAT Regel ausgehend sehen. Sollte sowas sein wie:

    WAN | Source: 192.168.1.0/24 | * | * | * | WAN address | * | NO/YES | default LAN to any

    genau so eine legst du nochmal an, allerdings nicht mit Source 192.168.1.0/24, sondern mit 192.168.1.101 (102, 103)/32 (/32er Maske, also nur diese IP) und statt "Interface address" bei der Translation wählst du eine der Virtual Aliase aus. Somit NATtest du dann intern die .101,.102,.103… auf ausgehend den gleichen Alias (bspw. .3) für die Geräte von Kind 1, gleiches Spiel nochmal mit internen IPs .104,.105,.106 auf Alias .4 etc.

    Aufpassen, dass die neuen NAT Regeln über der /24er LAN Regel stehen, damit die zuerst matchen.

    WAN | Source: 192.168.1.101/32 | * | * | * | 192.168.178.3 (alias) | * | NO | child 1 to any
    WAN | Source: 192.168.1.0/24 | * | * | * | WAN address | * | NO | default LAN to any

    Damit kommen dann alle Zugriffe von den Devices bei der FB genattet mit der gewünschten IP an. Ist aber schon ein ziemlich krudes Verfahren ;)

    Grüße



  • Die AVM Lösung hebeln pfiffige Kinder im Handumdrehen aus:
    http://www.youtube.com/watch?v=GBwqtmIucic
    und diverse andere auf YouTube.
    Oder booten ein Live Linux da brechen dann eh alle Dämme. Ein CP ist da sicherer….



  • Um die IP zu ändern brauchen die Kinder zunächst mal Admin-Rechte und die haben sie nicht  ;D



    1. Kontent- und Zeitregeln kanst mit squid+squidguard
    2. Gegen ip change benutze ma ipguard (2.1)
    3. in Firefox gibt es Script gegen Socks-aenderung


  • @N3w4dm1n:

    1. Kontent- und Zeitregeln kanst mit squid+squidguard

    Servus,
    hat ne Weile gedauert, bis ich wieder Zeit dafür gefunden habe. Zeitregeln mit SG? Doch nur wenn es darum geht, zu bestimmten Zeiten zu surfen und nicht mit einem Kontingent von 3 STunden innerhalb von 24, oder? Ich finde zumindest nichts anderes…


Log in to reply