Kleines Netzwerk --> Webfilter einbauen - wie?

[KnolleJupp]

Die einfachste Möglichkeit wäre - wie ich schon genannt hatte - ein kleiner Rechner mit z.B. Pi-Hole oder AdGuard Home oder eBlocker drauf,
der dann als lokaler DHCP-Server betrieben wird und in dem du Internetseiten deiner Wahl sperren kannst.

Klar kann man das auch super aufwändig und super kompliziert lösen.
Wenn es aber nur darum geht das Webseiten nicht einfach aufgerufen werden können, dann so oder so ähnlich.

Klar kann man viele Sperren umgehen, mit der nötigen Motivation und dem nötigen Wissen.
Aber das ist fast immer so, egal was und wie du es machst.

 

[Twostone]

[...]der dann als lokaler DHCP-Server betrieben wird[...]

Was hat denn DHCP jetzt damit zu tun?

 

[Raijin]

Im übrigen lassen sich vermeintlich gesperrte Webseiten beispielsweise auch über den google cache trotzdem aufrufen. Das ist dann womöglich eine Version von vor ein paar Tagen, aber es sind dennoch "unerwünschte" Inhalte.

Deswegen würde ich im privaten Netzwerk und ohne nennenswerte Fähigkeiten wirklich maximal zu pihole raten. Es gibt keine 100%ige Sicherheit und man käme auch nur dann einigermaßen dicht dran, wenn man sein KnowHow nicht über öffentliche Foren einholen muss. Die Lösung über eine Firewall wie nun von @Thunderstruck25 angestrebt halte ich daher für über das Ziel hinaus geschossen - zumindest ohne Kontext, aber die Auswahl an gesperrten Seiten impliziert eine Kindersicherung im weitesten Sinne.

Also quasi die gleiche Funktion wie in der Fritzbox das Webfilter.

Wenn dir diese Funktion tatsächlich genau so ausreicht, besorg dir eine gebrauchte Fritzbox von ebay, schließe sie via LAN1 an das bestehende Netzwerk an und wähle "Internet über LAN1" in der Konfiguration aus. Dadurch wird LAN1 zum WAN-Port und LAN2-4 zum neuen, separaten Netzwerk für die gefilterten PCs. Nun kannst du die Kindersicherung in der Fritzbox nach Belieben nutzen.
Natürlich könnte man dir jetzt auch eine pfSense, o.ä. empfehlen, aber ich schätze mal vorsichtig, dass dich die Konfiguration einer semiprofessionellen Firewall schnell überfordern könnte.

Aber: Durch das separate Netzwerk können Einschränkungen bei der Nutzung des Hauptnetzwerks entstehen. Die automatische Druckersuche würde beispielsweise nur Drucker an dieser Fritzbox finden und Drucker im Hauptnetzwerk müsste man manuell hinzufügen.

 

[KnolleJupp]

Verzeigung, meinste natürlich DNS.

 

[Thunderstruck25]

Danke Raijin, das ist eine sehr gute Idee mit der Fritzbox. Danke dafür!
Allerdings ist meine Skizze nur schematisch und es hängen genau genommen 4 PCs dran, sodass die 3 Ports der Fritzbox nicht ausreichen. Soweit ich weiß gibt es aber keine Fritzbox mit mehr als 4 LAN Ports. Deshalb müsste die Fritzbox wieder vor den Switch, was wieder einen POE Injektor erfordern würde. Ich will auch den Repeater über POE mit Strom versorgen, da die beiden Netzteile genau genommen an einem Hauptschalter hängen, der die komplette Netzwerk-Anlage ein und aus schalten soll. Da ich aber von der Verteilung zum Repeater ein Dual-Kabel gezogen habe, habe ich mir folgende Lösung überlegt:

Das würde mir ein Netzteil (und einen Inejektor) sparen. Splitter und eine alte Fritz 7530 habe ich sowieso herumliegen.
Das müsste doch funktionieren, oder?
Und damit wäre auch das Problem des separaten Netzwerks nicht mehr vorhanden, oder?
Beste Grüße

 

[Raijin]

Soweit ich weiß gibt es aber keine Fritzbox mit mehr als 4 LAN Ports.

Ich bin nicht so bewandert bei den Modellen von AVM, aber ggfs haben die Modelle ohne Modem auch einen dedizierten WAN-Port und LAN1-4 stehen komplett zur Verfügung. Muss man mal etwas recherchieren. Ansonsten erweitert man die Fritzbox eben durch einen kleinen 5er oder 8er Switch. Trenne dich von dem Gedanken, dass es Baukasten--Router (*) gibt, die exakt deinem Anforderungsprofil entsprechen. 08/15 HomeRouter haben nun mal interne 4er Switches und es gibt nur sehr sehr wenige Ausnahmen. "Richtige" Router haben in der Regel sogar überhaupt keinen Switch, weil sie autarke Ethernetschnittstellen haben, jede davon mit eigenem Netzwerkchip, eigener IP, eigenem Netzwerk..

(*) Jaja, es gibt sowas wie den Turris Mox, aber das sind Nischenprodukte, die ihren Preis haben...

 

[SaxnPaule]

AC88U und AX88U haben mehr als 4 LAN Ports. Sind allerdings auch teurer als die Raspi Variante.

 

[neticator]

Spätestens bei Tor und VPN wird es schwierig. Letzteres ließe sich noch Blocken, Tor durch die Brücken speziell Snowflake aber nicht. Das schafft ja nicht mal die chinesische Regierung. Die Variante die einfachsten und „sichersten” ist, wird wohl ein Router mit Kindersicherung nach dem Repeater sein.

 

[Thunderstruck25]

Vielen Dank,
ich mache das dann so wie in meinem Verdrahtungspan gezeichnet.
Was mir noch nicht klar ist: Kann ich dann vom PC aus noch den Router per Webinterface aufrufen, wenn da die Fritzbox dazwischen hängt?
Beste Grüße
Thunder

 

[Raijin]

Was mir noch nicht klar ist: Kann ich dann vom PC aus noch den Router per Webinterface aufrufen, wenn da die Fritzbox dazwischen hängt?

Prinzipiell ja. Für die Fritzbox ist alles jenseits ihres WAN-Ports "das Internet" und somit zugreifbar, sofern nicht durch Kindersicherung, o.ä. explizit blockiert.

Durch eine sogenannte Routerkaskade entstehen effektiv mehrere Netzwerkebenen, die durch die Firewall der Router einseitig durchlässig sind:

Geht:
PC ---FritzNetz--> Fritzbox >FW> ---HauptNetz--> InternetRouter >FW> ---> www

Geht nicht:
PC <--FritzNetz--- Fritzbox ||FW|| <--HauptNetz--- InternetRouter ||FW|| <--- www


Der PC im FritzNetz kann also problemlos auf den InternetRouter und alle Geräte im Hauptnetzwerk sowie im Internet zugreifen, aber andersherum funktioniert das nicht.

 

[Thunderstruck25]

Vielen Dank, Raijin!
OK, das habe ich kapiert. Ich werde das mal alles verdrahten und testen und hier (für alle Interessierten) das Ergebnis mitteilen.
Beste Grüße
Thunder

 

[oicfar]

Ich möchte z.B. folgende URL sperren:

youtube.com
pornoseiten
usw.

Pi-hole aufsetzen. Diese nur bei den Geräten nutze, die die Sperre brauchen und bei dem Geräte was alles darf, kein Pi-Hole notzen.

Leider kann man in Pi-Hole die Einstellungen nicht pro Gerät vornehmen.

 

[F31v3l]

Pi-hole aufsetzen. Diese nur bei den Geräten nutze, die die Sperre brauchen und bei dem Geräte was alles darf, kein Pi-Hole notzen.

Dann hast du die Situation, wenn der DNS des Providers bestimmte Adressen sperrt. Man trägt einen alternativen DNS ein und schon geht es.
Um das zu verhindern, musst du den ganzen DNS-Traffic zum PiHole umleiten.

Leider kann man in Pi-Hole die Einstellungen nicht pro Gerät vornehmen.

Natürlich geht das. Unter Clients kannste du einzelne Hosts (z.B. 192.168.10.20/24) oder ganze Netze (192.168.0.0/16) bestimmten Gruppen zuweisen. Eine Gruppe kann ein oder mehrere Blocklisten enthalten.

 

[oicfar]

Natürlich geht das. Unter Clients kannste du einzelne Hosts (z.B. 192.168.10.20/24) oder ganze Netze (192.168.0.0/16) bestimmten Gruppen zuweisen. Eine Gruppe kann ein oder mehrere Blocklisten enthalten.

Danke, dann schaue ich mir das an.

 

[Raijin]

Um das zu verhindern, musst du den ganzen DNS-Traffic zum PiHole umleiten.

Selbst das führt in 2023 nicht zwingend zum Erfolg. VPN, Tor, DoH und dergleichen können genutzt werden, um jede DNS-Umleitung auszuhebeln, die du dir ausdenken kannst. Perfekte Sicherheit gibt es nicht. Selbst China mit seiner Staatsfirewall guckt angesichts gekapselter/verschlüsselter Technologien in die Röhre - und da steckt richtig Geld dahinter....

DNS-Filter im speziellen sind daher nur eine kleine Hürde und eignen sich nicht als Sicherheitsfeature. Es geht dabei eher um das Blocken von Werbung und Trackern auf einfachster Ebene. Umgeht ein Gerät den DNS auf welche Weise auch immer, bringen pihole und Co genau gar nichts - zum Beispiel bei Geräten, die ihre Werbebanner, o.ä. direkt via IP beziehen oder einen intern konfigurierten DNS dafür nutzen, der im einfachsten Fall zwar via TCP/UDP 53 umgeleitet werden könnte, aber im worst case eben mittels DoH wie stink normaler https-Traffic aussieht..