Auf der Suche nach einer Fritzbox/Repeater Alternative mit erweiterten Möglichkeiten

[Georg_L]

Hallo Leute,

Ich nutze derzeit eine Fritzbox 5490 und drei Fritzrepeater 1750E im Meshverbund.
Die Fritzbox steht im Keller und hat so gut wie keine WLan Reichweite, daher die drei 1750E.
Jeder der drei 1750E ist per Kabel angeschlossen. Soweit klappt das eigentlich recht gut und das WLan funktioniert so halbwegs zufriedenstellend wo es soll.
Ein 1750E Steckt bei meinen Eltern im Untergeschoss.
Für meine Eltern habe ich auch das Gäste Lan Missbraucht, so haben sie einen eigenen WLan Bereich und der Smart TV hängt per Kabel am Lan4 (also Gästelan) der Fritzbox. Durch die Funktion des Gäste Lan können meine Eltern dann auch komfortabel alle Repeater nutzen und haben auch eine gute Versorgung damit.

Soweit wäre da alles wunderbar und klappt fast wie gewünscht, wären da nicht auf der einen Seite meine zwei Kinder die langsam erwachsen werden auf der anderen Seite meine Eltern die langsam etwas vergesslich werden und jedem Besucher gleich das WLan Passwort in die Hand drücken

Ich hab nun die letzten Tage im Homeoffice mal genutzt und versucht nach einer Alternative zu suchen.
Zumindest nichts, was in einem für den Privatbereich vernünftigem Preissegment liegen würde.

Meine Vorstellung wäre weiterhin mindestens folgendes:

>> 3 Repeater oder AP (entweder Mesh oder halt was anderes was ein einheitliches WLan verbindet)
>> Mehr Kontrolle des ganzen Netzwerks per VLan eventuell durch eine Hardwarefirewall oder so?
>> Es soll ersichtlich sein welcher User gerade wieviel Bandbreite nutzt
>> Es soll die Möglichkeit bestehen jedem User einzeln eine maximale Bandbreite zu vergeben
>> Es soll ein Zeitmanagement (wie in der Fritzbox) möglich sein, wo jedem User eine vorgegebene Zeit in einem vorgegebenem Zeitraum zugewiesen werden kann
>> Idealerweise soll auch eine Filterliste oder Blacklist möglich sein. Ein BPjM Module wäre praktisch (das hat die Fritzbox zwar, aber leider nur in den DE Ausführungen, nicht in der AT Ausführung)
>> Hatte früher mal einen Asus Router, dort konnte man jedem User einzeln einen VPN zuweisen, so das z.B. der User Sohn1 immer über openVPN oder anderem VPN Zugang mit Jugendfilter drüber läuft. Das war ganz komfortabel.

Ja, mir ist bei der Kinderschutz Thema schon klar, das das keine Lösung ist und man mit den Kindern sprechen soll usw... Ja genau das haben wir auch gemacht, aber jeder der Kinder hat, hat sicher festgestellt das das so in der Praxis nicht läuft und so fande ich schonmal vorab einen groben Filter der das ein oder andere abblockt ganz praktisch.

So, das wären soweit meine Wünsche.
Hat dazu vielleicht irgendwer eine erschwingliche Alternativlösung?
Oder soll ich bei der Fritzbox bleiben?
Wäre für jeden Tipp dankbar

 

[Raijin]

Soweit wäre da alles wunderbar und klappt fast wie gewünscht, wären da nicht auf der einen Seite meine zwei Kinder die langsam erwachsen werden auf der anderen Seite meine Eltern die langsam etwas vergesslich werden und jedem Besucher gleich das WLan Passwort in die Hand drücken

Ich habe auch Eltern und sie sind leicht vergesslich, aber sie kennen das Passwort für's WLAN nicht mal und können es so auch keinem Besucher weitergeben. Was jetzt die erwachsen werdenden Kinder mit dem AVM-Setup zu haben, wird auch nicht wirklich deutlich.

Deiner Beschreibung nach sehe ich keinerlei Grund zur Veranlassung, überhaupt etwas am Status Quo zu ändern, weil du selbst schreibst, dass alles recht gut läuft. Auch deine Wunschliste liest sich größtenteils so: "Wie bei der Fritzbox"

Natürlich gibt es Alternativen bzw. bessere Setups. Die sind aber zum einen mit Kosten verbunden und zum anderen setzen sie ein gewisses KnowHow voraus. Eine Hardwarefirewall für "mehr Kontrolle des ganzen Netzwerks" ist nix was out-of-the-box daherkommt.

An deiner Stelle würde ich maximal die 1750E punktuell durch ihre neueren Pendants ersetzen, um mehr Leistung aus dem WLAN rauszukitzeln, wenn das überhaupt notwendig ist. Für einen etwas erweiterten Filter kann man zB einen DNS mit pihole ins Netzwerk einbauen, der dann auf DNS-Basis schon viel blockiert. Das ist zwar kein Schutz gegen Kids, die sowas aktiv umgehen wollen, aber 100% Schutz gibt es nicht. Nicht einmal die Firewall einer Firma ist 100% safe und es gibt immer Mittel und Wege, Restriktionen zu umgehen. Sofern du also selbst nicht das nötige IT-Wissen hast, solltest du gar nicht erst mit dem Wettrüsten Eltern-IT vs Schulhof-IT anfangen. Ich habe zwar selbst keine Kinder, aber meine Schwester mit 3 Kindern wohnt nebenan und ich habe meinem Neffen im Auftrag meiner Schwester klargemacht welche Konsequenzen es hat, wenn er mutwillig Filterlisten, usw. mit Schulhof-Wissen umgeht.




Zum Thema Gast-Netzwerk:

Generell verstehe ich es sowieso nicht warum man als Gastgeber unbedingt Gästen WLAN zur Verfügung stellen sollte bzw. andersherum warum man das als Gast beim Gastgeber einfordert. Wer sich einen Mobiltarif mit zu wenig Datenvolumen holt, hat eben Pech. Ich sehe mich als Gastgeber nicht in der Verantwortung, meine Gäste mit WLAN zu versorgen. Andersherum backe ich mir ein Ei drauf, wenn ich woanders kein WLAN habe. Wenn man sich dennoch veranlasst fühlt, Gästen WLAN zur Verfügung zu stellen, gibt es eben das Gast-WLAN. Das hast du nun wiederum schon für deine Eltern zweckentfremdet. Ich würde dann eher dort ansetzen und deine Eltern zum Beispiel einfach ins Haupt-WLAN holen. Oder man installiert eine Router-Kaskade bzw. DIY DMZ nach dem Schema:

(Internet)
Router1
|
---- Router2 --- Georg's Netzwerk
|
---- Router3 --- ElternNetzwerk

 

[Georg_L]

Hi @Raijin das es zwischendurch mal nötig ist wen ins WLan zu lassen kommt daher, da wir hier am Lande wohnen und der Handyempfang ziemlich mies ist, da aber sowieso heutzutage keiner mehr telefoniert sondern nur mehr per WhatsApp und Co kommuniziert, kann man das mittels WLan Empfang ganz gut überbrücken

Das mit der Router-Kaskade wäre ein Ansatz, glaub aber das dann die Repeaterlösung inkl. Mesh damit nicht mehr klappt. Alternativ müssten dann für jeden Router eigene Repeater genutzt werden. Ich vermute aber, das diese Lösung ziemlich aufwändig ist.

Das Thema Kindersicherung würde ich mal behaupten ist in der Fritzbox entweder nicht ganz durchdacht oder veraltet.
Es gibt ja zwei Ansatzpunkte, das Zeitmanagement, also eine bestimmte Zeit freizugeben, das funktioniert eigentlich ganz gut. Etwas störend ist aber, das wenn die Zeit abgelaufen ist kein Hinweis kommt, am Smartphone wird hier einfach eine Fehlerseite angezeigt. Laut AVM soll es da zwar eine eigene Fritz-Vorschaltseite geben, wo dann auch eine echt klasse Möglichkeit bestünde per Ticket die Zeit für 45 Minuten zu erweitern, ich hab diese Seite aber bis heute noch nie entdecken können

Der zweite Punkt sind die Filter per Blacklist.
Ich weis ja gar nicht wo meine Kinder überall rumsurfen, wie soll ich da irgendwas in die Blacklist eintragen.
Soweit ich gelesen habe, klappt ein Eintrag in der Blacklist auch nur, wenn die entsprechende Webseite nicht per https:// aufgerufen wird, was glaube ich aber heutzutage Standard ist, somit ist die Blacklist funktionslos

Die Aktivierung des BPjM Modules in der Kindersicherung soll laut einigen Forenbeiträgen ganz gut klappen, warum diese Funktion aber bei einer AT-Ausführung der Fritzbox nicht zur Verfügung steht konnte ich bisher nirgendwo in Erfahrung bringen.
AVM schrieb mir dazu nur "...die Einstellung des BPjM Modules steht in der von Ihnen genutzten Fritzbox (AUT-Modell) leider nicht zur Verfügung..." Schade

 

[Meleager]

Die Lösung von Jugendschutz Listen über ein Pihole erscheint mir auch am einfachsten, zumal du due Pi-DNS direkt in der Fritzbox eintragen kannst.

Dazu gibts auch schon haufenweise Listen im netz.
Und man kann über white/blacklists viel anstellen.

Aber ich weiß nicht, ob ich meine Kinder so "kleinfiltern" würde.
Bei Freunden hat man ja auch keine chance das zu überwachen

 

[Raijin]

das es zwischendurch mal nötig ist wen ins WLan zu lassen kommt daher, da wir hier am Lande wohnen und der Handyempfang ziemlich mies ist

Ist für mich dennoch kein Argument. Wie gesagt, ich sehe es in keinster Weise in meiner Verantwortung, für Besucher eine Internetverbindung bereitzustellen. Wie dem auch sei, für sowas ist dann aber wie gesagt das Gast-WLAN gedacht, das du aber offensichtlich als vollwertiges, zweites WLAN nutzt. Dass du da an Grenzen stößt, ist nachvollziehbar, weil 08/15 Router nun mal nur für 08/15 Szenarien gebaut werden und dementsprechend nur Haupt- und Gastnetzwerk bieten.
Fritzbox und Co sind nicht dafür geeignet bzw. von AVM ist es einfach nicht vorgesehen, damit mehrere Haushalte + Gäste zu versorgen.

Das mit der Router-Kaskade wäre ein Ansatz, glaub aber das dann die Repeaterlösung inkl. Mesh damit nicht mehr klappt. Alternativ müssten dann für jeden Router eigene Repeater genutzt werden. Ich vermute aber, das diese Lösung ziemlich aufwändig ist.

FritzMesh ist erst einmal nur eine Art Konfigurations-Addon für ein Standard-AVM-WLAN-Setup. Das ist mitnichten eine eigenständige Funktion oder sowas. Eine "Repeaterlösung" ist es auch nur dann, wenn du die vollkommen bescheuert benannten FritzRepeater auch im Repeater-Modus betreibst. Sind sie hingegen per LAN-Kabel verbunden, sind es Access Points.
Aber ja, bei der Router-Kaskade muss jede Wohnung ihr eigenes Setup mit FritzRepeatern aufbauen - mit oder ohne Mesh. Eine Verwendung überkreuz ist nicht möglich. Das heißt man kann nicht über einem 1750E innerhalb des Eltern-Netzwerks auf das Georg-Netzwerk zugreifen. Auch hier gilt: Das ist bei Consumer-Hardware wie Fritzbox und Co schlicht und ergreifend nicht vorgesehen.
Die Frage ist da aber auch ob das denn so unbedingt notwendig ist. Wenn du bei deinen Eltern in der Wohnung bist oder andersherum, musst du dann uuuuuuuuuuuuuunbedingt in deinem WLAN sein? Oder reicht es dann nicht vielleicht auch, einfach kurz ins Eltern-WLAN einzuloggen - oder ggfs in deren Gast-WLAN?

Ich weis ja gar nicht wo meine Kinder überall rumsurfen, wie soll ich da irgendwas in die Blacklist eintragen.
Soweit ich gelesen habe, klappt ein Eintrag in der Blacklist auch nur, wenn die entsprechende Webseite nicht per https:// aufgerufen wird, was glaube ich aber heutzutage Standard ist, somit ist die Blacklist funktionslos

Ein separater DNS wie pihole wird über externe Filterlisten gepflegt. Das heißt man abonniert zB eine Liste mit Jugendschutz und dann gehen über diesen DNS (fast) keine Porno-Seiten mehr. Man kann auch mehrere Listen abonnieren, die dann zB zusätzlich noch andere Seiten blocken.
Aber: Das ist kein unumgehbarer Schutz. Einen DNS kann man mit dem was ich oben als Schulhof-Wissen bezeichnet habe aushebeln, weil man ganz einfach von Hand einen anderen DNS eintragen kann (zB 8.8.8.8 für google). Es gibt zwar Mittel und Wege, einen DNS-Server zu forcieren bzw. aktiv umzuleiten, aber auf der anderen Seite gibt es dann wiederum andere Möglichkeiten, auch diese Umleitung DNS zu umgehen, teilweise macht ein Browser das sogar aktiv selbst (ich glaube zB Tor macht das). Dann sind wir aber bei dem oben erwähnten Wettrüsten zwischen Eltern und Kindern. 100%ige Sicherheit gibt es nicht, weil man sonst zB auch VPNs aktiv blocken muss - was bei 08/15 Routern auch schwierig bis unmöglich ist, weil die Firewall im Router nicht für sowas ausgelegt ist.

Mit https hat das im übrigen nichts zu tun, ein DNS übersetzt "www.computerbase.de" in die dazugehörige IP-Adresse. Anschließend ruft der Browser dann diese IP-Adresse mit dem Port TCP 443 auf, https. Das ist dann aber schon die eigentliche Verbindung und hat nichts mehr mit dem DNS zu tun.

Zu guter Letzt gibt es dann ja schließlich noch Internet via Smartphone und spätestens da greift eine Lösung im Router dann nicht mehr. Man kann also nur für ein im Rahmen der Möglichkeiten sinnvolles Setup sorgen und muss "den Rest" dann mit verbaler Kommunikation vermitteln



Erweiterte Lösungen:
Natürlich gibt es auch Lösungen mit fortgeschrittenen Routern, Switches und Access Points, die dann mit VLANs das Haus nicht wie die Router-Kaskade physisch in Wohneinheiten aufteilen, sondern virtuell. Das heißt, dass jeder Access Point im Haus dann zB 3 SSIDs bietet, die ins Georg-, Eltern- und ein allgemeines Gast-Netzwerk führen. Das setzt aber wie gesagt den Tausch der kompletten Infrastruktur voraus, weil weder Fritzboxxen, noch die FritzRepeater und höchstwahrscheinlich auch keiner deiner Switches mit VLANs umgehen kann. Wir reden da also über eine Investition, die gefühlt jenseits der 500€ liegt. Dagegen wären zwei gebrauchte Fritzboxxen von ebay und ggfs ein zusätzlicher 1750E (oder evtl. gleich ein Upgrade auf einen der neueren) deutlich günstiger und vor allem einfacher in der Handhabe. Ein komplettes VLAN-Setup setzt nämlich einiges an KnowHow voraus bzw. entsprechenden Willen, sich selbiges anzueignen.
Wenn das für dich dennoch eine Option ist, empfehle ich dir, dich mal nach UniFi von Ubiquiti umzuschauen. Dort kann man Router (USG bzw. UDM), Switches (US) und Access Points (UAP) einsetzen und sie alle über EINE Oberfläche, dem Unifi-Controller, zentral konfigurieren und steuern - inkl. VLANs, mehreren SSIDs, Gast-Zugang (sogar mit Captive Portal wie in Hotels), etc.