Fritzbox Gastzugang und Gaming (BPjM)

DonSerious

Captain
Registriert
Aug. 2010
Beiträge
3.692
Moin,
gibt es bezüglich dieses Jugendfilters der Fritzbox Einschränkungen hinsichtlich Gaming? Oder bezieht sich das nur auf namentlich eingetragene Webseiten? Nicht dass man nicht mehr auf bspw. Battlefield Server kommt weil die Seite evtl. geflagged sein könnte als nicht jugendfrei.
Geht darum dass ich meinem Besuch einen Lanport bieten will der aber von der Box selbst getrennt ist. Da kommt eben diese Liste ins Spiel welche per default automatisch aktiv ist.

Gruss
 
Nein Gaming ist nicht betroffen, die Liste ist aber sowieso ein Witz, weiß man weil die mal irgendwo geleakt ist, sind nur paar bekannte Portale die nicht jugendfrei sind drauf. 🤷🏻‍♂️
Aber der gastzugang selber könnte schon eher Probleme machen, wenn der zu restriktiv eingestellt ist kommt man z.b. nicht mal mehr in handyspiele rein, musst mindestens HTTP Verbindungen freigeben.
 
DonSerious schrieb:
Da kommt eben diese Liste ins Spiel welche per default automatisch aktiv ist.
Oder du nimmst BPjM temporär raus oder legst analog zum vorhandenen Gastprofil nen weiteres an ohne BPjM und weist es dem Gerät dann unter Heimnetz->Netzwerk->bearbeiten beim betreffendem Gerät dann zu.
Zugangsprofile.jpg
Zugangsprofile2.jpg
Heimnetzwerk-Profilzuweisung.jpg
 
@Engaged stimmt, das habe ich mal bemerkt als ich Hearthstone über das iPhone bei meinem Vater im Gast Wlan spielen wollte. Hab das irgendwie deaktiviert bekommen. Weiss nur nicht mehr durch was.

@IchbinbeiCB
Danke für die Tipps. Wodurch wird der Zugang zum LAN und Router definiert? "Alles ausser surfen und Mail"? Es geht ja darum das Gerät vom internen Netz abzugrenzen aber das internet vollständig nutzen zu können. Sieht wieder nach einer Fritzbox only Geschichte aus. Warum sollte ein Gast automatisch den Jugendschutz im Weg haben?

Dann müsste ich Profil Gast nur soweit editieren dass das BPjM Modul deaktiviert ist. Dieses "surfen und Mail" muss vermutlich an bleiben um die Kommunikation des Gerätes zu Router und Co. zu unterbinden?

Danke
Gruss
 
DonSerious schrieb:
Es geht ja darum das Gerät vom internen Netz abzugrenzen aber das internet vollständig nutzen zu können.
Wenn es nur drum geht den client da vom internen Netz zu trennen (fern zu halten), dann ist das schon damit gegeben das er im Gastnetz ist:

Gastzugang​

Hier ermöglichen Sie Ihren Gästen schnell und sicher einen Zugang zum Internet. Aktivieren Sie die Option "Gastzugang für LAN 4 aktiv" und schließen Sie das Gastgerät an die Buchse "LAN 4" an Ihrer FRITZ!Box an. Die mit dem "LAN 4"-Anschluss verbundenen Geräte nutzen lediglich den Internetzugang, haben aber keinen Zugriff auf Ihr Heimnetz.
DonSerious schrieb:
Dann müsste ich Profil Gast nur soweit editieren dass das BPjM Modul deaktiviert ist. Dieses "surfen und Mail" muss vermutlich an bleiben um die Kommunikation des Gerätes zu Router und Co. zu unterbinden?
Und dieser ganze andere Kram wird dann im Bereich Listen definiert wenn da noch nix weiter gemacht hast steht da eh nur bei Surfen Mailen folgendes drin:
Filterliste_Surfen_Mailen.jpg

Du könntest jetzt daher gehen und nen neues Zugangsprofil meinetwegen Gast2 erstellen und diesem Gerät das neu erstellte Zugangsprofil zuweisen dann kann der alles wie die Geräte im internen Netz quasi, ist aber durch das Gastnetz 192.168.179.x vom internen Netz getrennt:
Zugangsprofile3.jpg
 
  • Gefällt mir
Reaktionen: Engaged
DonSerious schrieb:
@Engaged stimmt, das habe ich mal bemerkt als ich Hearthstone über das iPhone bei meinem Vater im Gast Wlan spielen wollte. Hab das irgendwie deaktiviert bekommen. Weiss nur nicht mehr durch was.
Ich musste hier nur http freigeben damit zb Clash of Clans bei einem Kumpel von dem großen hier funktioniert, alles andere ist für Gäste gesperrt.
 
Hab das eben mal bei mir durchexerziert, benötige sonst des Gastnetz nicht weiter bei mir. also Neues Gast2 Zugangsprofil erstellt mit keinen besonderen Filterlisten etc. also quasi unbeschränkt vom Zugriff her außer die Abtrennung vom internen Netz halt, dank Teamviewer auf der Kiste komme ich dennoch drauf ohne hin und her zu rennen :D

Die Zuweisung erfolgt dann aber direkt mit in der Bearbeitung/Erstellung des neuen Profils.
Denn anders als bei den internen Netzgeräten wo man unter Heimnetz beim Gerät unter bearbeiten ein Zugangsprofil hinterlegen kann, gibt es das nicht wenn der Client im Gastnetz sich befindet.

Dazu noch paar Screenshots:
PC_Test_Übersicht_Heimnetz.jpg
PC-Test.jpg
PC-Test_Zuweisung_Gast2.jpg
PC-Test2.jpg

fertig.
Ergänzung ()

Hmm mit dem Zusatzprofil ist es für die Katz, hat mir ein übersehender Abschnitt mitgeteilt. Es bekommen tatsächlich alle Geräte im Gastnetz einzig und alleine Automatisch das Gast Zugangsprofil welches schon vorhanden ist.

Das finde ich persönlich äußerst bescheiden und werde das mal an AVM als Verbesserungsvorschlag übermitteln, hier nicht auch wie fürs interne Netz möglich, mehrere Zugangsprofile auch fürs Gastnetz definieren zu können weil so werden Erwachsene und eben Kinder unter dem Begriff Besuch/Gast in einen Topf geworfen.

Man kann zwar das Zugangsprofil dahingehend auch anpassen das man die Filterlisten raus nimmt und selbst das Surfen und Mailen, ließe sich ja mittels X unter dem Abschnitt Netzwerkanwendungen entfernen.

Unterm Strich aber unbefriedigend das ganze.

Zugangsprofile4.jpg

Mal schauen was AVM dazu sagt außer dem klassischen, wir nehmen das gerne in unsere Liste als Verbesserungsvorschlag auf und dahingehend mal ne Anpassung im FritzOS dann mal kommt.
 
Zuletzt bearbeitet:
@Engaged
Ja das war es. Port 80 ist gesperrt. Gast heisst für mich eher dass dieser mein Internet nutzt und nicht dass viele Dienste unterbunden werden.

@IchbinbeiCB
Ja das dachte ich schon. Die Filterlisten sind für Geräte im Heimnetz. Also editiere ich das normale Gast-Profil und nehme diese BPjM inkl. alles ausser Mail und surfen Sperre raus. Im Gastnetzwerk ist sonst eh keiner. Aber das mit der Gast IP-Range wusste ich noch gar nicht. So erkennt man also dass man nicht im Heimnetz ist. Dachte immer das wäre nur eine Regelung im Router. Dass das ein eigener Adressbereich ist wusste ich tatsächlich noch nicht.

Danke
Gruss
 
  • Gefällt mir
Reaktionen: Engaged
DonSerious schrieb:
Die Filterlisten sind für Geräte im Heimnetz.
Naja die Filterlisten sind nicht nur für Geräte im Heimnetz, weil dieses alles außer Surfen und Mailen bei Listen -> Netzwerkanwendungen, ist ja das was unter dem Gast-Zugangsprofil mit bei Gesperrte Anwendungen hinterlegt ist. Im Beitrag 5 von wo ich das Bild gepostet habe mit den ganzen Ports gibt Aufschluss darüber was alles gesperrt ist. Nur die Ports wo man darin nicht vorfindet werden in diesem Fall erlaubt/zugelassen.
DonSerious schrieb:
Also editiere ich das normale Gast-Profil und nehme diese BPjM inkl. alles ausser Mail und surfen Sperre raus
Deshalb entweder das dort prüfen ob die wenigen Ports wo es nicht betrifft ausreichen für den Besucher oder halt auch das "alles Außer Surfen und Mailen" mit entfernen.

DonSerious schrieb:
Im Gastnetzwerk ist sonst eh keiner.
Das mag bei dir so sein undist ja bei mir nicht anders, hab das bisher nie aktiviert gehabt weiter aber prinzipiell ne schöne Sache eigentlich wenn man das ganze ähnlich wie fürs interne Netz feiner Differenzieren könnte und nicht alle über einen Kam geschoben werden dabei. So wie es jetzt ist, ist das tatsächlich mehr als Sinnfrei weil für ne feinere Differenzierung von Besuchern, müsste ich entweder sagen, die kommen mit ins interne Netz und müsste halt zusehen das ich hier denn alles wo ich meine geht die nix an weiter dicht machen zum Beispiel Mediaserverfreigaben etc..

Oder AVM kommt da auf die Nutzer der Gastnetzfunktion nen Schritt mehr zu und bietet Ihnen da mehr Differenzierungsmöglichkeit an.
Ergänzung ()

Frei wären die Ports wenn die Liste alles außer Surfen und Mailen drin bleibt folgende:
25, 80, 110, 143, 443, 465, 587, 993, 995, 8080

alles andere ist gesperrt.
Ergänzung ()

Das ist tatsächlich nur Surfen und Mailen wenn nen Spiel ne Verbindung zu nem Server wo anders hin braucht als unter 80, 443 oder eventuell 8080 ist das ohne Anpassung nicht drin weil die anderen Ports beziehen sich ja nur aufs Mailen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DonSerious
DonSerious schrieb:
@Engaged
Ja das war es. Port 80 ist gesperrt. Gast heisst für mich eher dass dieser mein Internet nutzt und nicht dass viele Dienste unterbunden werden.
Ja so sehe ich das auch, soll nur vom Heimnetz getrennt sein, alles normale sollte natürlich funktionieren.
Ich dachte dass der Gast Zugang auch so funktioniert, die Kinder haben mich aufmerksam gemacht dass die im Handy Spiel nicht aus den Server kommen, hab das dann auch sofort frei geschaltet.
 
  • Gefällt mir
Reaktionen: DonSerious
@IchbinbeiCB
Nene ich werde diesen Filter einfach löschen. Sind ja im Endeffekt fast alle Ports gesperrt. Ohne diesen Filter unterwegs zu sein ist aber nicht gleichzusetzen mit exposed Host Status oder? Also das ist nichts was die Firewall reguliert?

Gast ohne die Beschränkung "alles ausser surfen und Mail" ist nicht automatisch vulnerable sondern einfach nur das gleiche wie normaler User im Heimnetz in eigenem Netz? Hoffe du verstehst was ich meine. Will weder upnp noch exposed Host zulassen.

Gruss
 
Für alles normale reicht eigentlich HTTP freigeben, und Sachen wo du denkst dass sie benötigt werden FTP oder so, torrent eMule und so können doch geblockt bleiben, würde ich zumindest nicht alles freigeben, so ist zumindest der gute Wille seinen Pflichten als Admin nachzukommen da. 😅
 
  • Gefällt mir
Reaktionen: IchbinbeiCB
@DonSerious hab die Kiste nochmal ins aktivierte Gastnetz geschoben also wenn nen Client da drin steckt, kann man UPnP in den Einstellungen dazu nicht setzen/aktivieren.

Im_Gastnetz_kein_upnp.jpg

Desweiteren lasse Ich gerade mal nen Scan auf offene Ports parallel jeweils gegen das Gateway der FB im internen und Gastnetz laufen, da hat mich die Neugierde gepackt. Laufen beide aber noch und schieb die Infos wo bei rum kommen, dann nach. Gegenwärtig sind alle Listen im Gastnetz noch aktiv im Zugangsprofil hinterlegt.

Zum Vergleich würde ich danach noch nen Durchlauf machen ohne diese ganzen Filter im Gastnetz. Ich bin gespannt. :D
 
  • Gefällt mir
Reaktionen: Engaged
@Engaged
Ich weiss nicht ob TCP 80 da reicht. Bei der Xbox bspw. werden doch Minimum 9 Ports genutzt die bei dieser Sperre blockiert sind. Das wäre mehr Aufwand als den Filter zu löschen. Klar ist es gut wenn gewisse Dinge von Haus aus nicht gingen. Aber das macht derjenige eh nicht. Diese Person kann nicht beurteilen ob der eigene PC sauber ist oder nicht. Ihr kennt das doch sicher. Viele DAUs haben ganz andere Prioritäten als ihre Cybersicherheit. Mehr will ich nicht. Nur vom Router ausschliessen wie ein Gast aber den Nutzen gewähren wie ein nicht Gast. So wie es bei all den anderen Routern ist.

@IchbinbeiCB
Sieht bei mir nicht ganz so aus. Hab aber auch keine 7590. Ich will nur wissen: Kann man den Filter "alles ausser surfen und Mail" rausnehmen ohne dass es die Firewall beeinträchtigt wie bspw. bei Exposed Host? Also dass dadurch das Gerät nicht sozusagen offen im Internet ist?

Danke euch
Gruss
 
DonSerious schrieb:
wie bspw. bei Exposed Host?
Also Exposed Host kann man auf nen Gerät was sich im Gastnetz befindet nicht unter Internet -> Freigaben dafür auswählen, das geht nur auf Geräte im internen Netz der FB und auch nur einmal für ein Client halt.

Unterm Strich würde ich ohne genaue Gewissheit vermuten, dass das löschen der Anwendungsliste "außer Surfen und Mailen" und das deaktivieren der Filterliste im Zugangsprofil Gast, nicht mit dem Prozess unter Exposed Host gleich zu setzen ist. Nehme mal an, das verhält sich dann eben analog dabei wie beim internen Zugangsprofil Standard. Arbeitet also nicht an der FritzBox simplen Firewall vorbei. Hab da auch nix zu gefunden, das es so wäre.
 
So hab ne Reaktion von AVM zu meinen Vorschlägen bzgl. mehrerer Zugangsprofile auch im Gastnetz und dem Wegfall der WoL-Funktion im IP-Clientmodus bei FritzBoxen, kam zwar nur die allgemein bekannte Standardantwort, das Sie sich gerne meine beiden Vorschläge notieren aber immerhin, mal schauen was daraus wird. :D
 
  • Gefällt mir
Reaktionen: Engaged
DonSerious schrieb:
@Engaged
Ich weiss nicht ob TCP 80 da reicht. Bei der Xbox bspw. werden doch Minimum 9 Ports genutzt die bei dieser Sperre blockiert sind.
Deaktivierten teredo-filter und automatische portfreigabe damit der interne Internet Test oder Spiele auch nicht heulen ja, die Xbox ist da ziemlich eigen, und nur deswegen musste AVM auch eine Firmware rausbringen in der man den teredo Filter überhaupt deaktivieren kann. 🤷🏻‍♂️😅
Aber warum packt man eine Xbox ins Gast WLAN?
Kann man bei Gast WLAN Geräten automatische portfreigabe für das Gerät überhaupt aktivieren?
Kann nämlich sein dass die Standard Port für Microsoft Dienste nicht reichen weil spiele vielleicht noch eigene Ports brauchen.
 
Engaged schrieb:
Kann man bei Gast WLAN Geräten automatische portfreigabe für das Gerät überhaupt aktivieren?
Nope, verhält sich dann ja ähnlich wie mit dem Lan-Verbundenen Client im Gastnetz, automatische Portfreigabe etc. sind im Gastnetz Fehlanzeige. Gäste-W-Lan läuft ja übers selbe Gastnetz 192.168.179.0
 
  • Gefällt mir
Reaktionen: Engaged
Also der interne Durchlauf gegen das Gateway der FritzBox ist durch Und das Ergebnis ist nicht wirklich so lang:
Port 21 IP 192.168.178.1 Port offenFTP;transfer

Port 53 IP 192.168.178.1 Port offenDNS

Port 80 IP 192.168.178.1 Port offenHTTP;Webserver

Port 139 IP 192.168.178.1 Port offenNetbios Session Service

Port 443 IP 192.168.178.1 Port offenHTTPS;Webserver with SSL

Port 445 IP 192.168.178.1 Port offenCIFS;SMB/CIFS over TCP

Port 5031 IP 192.168.178.1 Port offen

Port 5060 IP 192.168.178.1 Port offenSIP;SIP VoIP

Port 5357 IP 192.168.178.1 Port offenWeb Services for Devices (WSDAPI)

Port 8181 IP 192.168.178.1 Port offenHTTP

Port 8182 IP 192.168.178.1 Port offen

Port 8183 IP 192.168.178.1 Port offen

Port 8184 IP 192.168.178.1 Port offen

Port 8185 IP 192.168.178.1 Port offen

Port 8186 IP 192.168.178.1 Port offen

Port 34437 IP 192.168.178.1 Port offen

Port 47867 IP 192.168.178.1 Port offen

Port 49000 IP 192.168.178.1 Port offen

Port 49200 IP 192.168.178.1 Port offen

Port 49443 IP 192.168.178.1 Port offen

Port 51111 IP 192.168.178.1 Port offen

Port 58457 IP 192.168.178.1 Port offen

Aber ist halt nur die interne Seite, überlege gerade wie ich die Seite von draußen mal Prüfen könnte. Und was noch auffällt das nen paar gesetzte Freigaben von mir hier nicht mit drin sind, wie Plex Media Server um ihn von der Internetseite her zu erreichen etc.
Hier könnt es aber auch sein das einfach keine Antwort dabei gibt, was wahrscheinlicher ist nehme ich mal an.

Das wäre jetzt noch Spannend.
Ergänzung ()

Diese sind bisher gegen das Gateway im Gastnetz als offen gelistet:
Port 53 IP 192.168.179.1 Port offenDNS

Port 8181 IP 192.168.179.1 Port offenHTTP

Port 8182 IP 192.168.179.1 Port offen

Port 8185 IP 192.168.179.1 Port offen

Port 8186 IP 192.168.179.1 Port offen

Bei dem Prozess merke ich die alte CPU in der Kiste, hat gerade mal 19000 ports durch. :freaky:
 
Zuletzt bearbeitet:
Zurück
Oben