Gastnetwerk met beperkingen voor hotel Duitsland

Een Access Point is een simpel doorgeefluik, welke niet aan filtering oid doet.

Heb je met Google al gezocht naar 'routers download blokkeren' ?

Zie ook Hoe stop ik mijn huurders met downloaden van illegale conten

[ Voor 24% gewijzigd door Verwijderd op 27-07-2016 22:28 ]

Je kan veel wel blokkeren, maar er zijn altijd omwegen.
Is het gewoon niet beter om een agreement standaard te tonen met aparte inlog, waarbij ze akkoord gaan dat downloads en andere illegale dingen op risico van de gebruiker zijn, en dat boetes aan hen worden doorberekent.

Regel een router met ingebouwde hotspot functionaliteit: DD-WRT of Mikrotik RouterOS
http://www.hotspotsystem.com/supported-devices

http://www.hotspotsystem.com/free-hotspot-basic kun je 500 logins/maand mee doen.
Klein hotel zou dat moeten trekken. Maar Basic Plus is misschien slimmer: 4.90 US$/maand
http://www.hotspotsystem....-basic-service-comparison

Om in Duitsland boetevrij te blijven in geval van illegale uploads en downloads zou je iedere gebruiker moeten kunnen herleiden. Dat betekent dat je moeder iedere gast een eigen login en wachtwoord zou moeten geven met een vast IP-adres.

Je loopt dan tegelijk tegen strenge privacywetgeving in Duitsland aan, want automatisch digitaal vastleggen van naar een persoon herleidbare gegevens is daar ook verboden. De wetgeving in Duitsland is wat dat betreft zo krom als een hoepel.

Nou zou het kunnen zijn dat de herleidbaarheid van een IP-adres naar een kamer(nummer) wel toegestaan is. Op papier (dus niet met gekoppelde digitale gegevens) zou het zo wel mogelijk (en toegestaan) zijn om een link te leggen naar een specifieke gast die iets strafbaars heeft gedaan op het netwerk van je moeders hotel. Je moeder zou zich zo mogelijk kunnen vrijwaren van elke beschuldiging of boete.

Zoek dus naar een oplossing waarmee zoiets technisch mogelijk is. Dat je moeder de gasten de voorwaarden laat tekenen vind ik heel goed en niet meer dan logisch in een land met strenge privacy-wetgeving.

[ Voor 5% gewijzigd door FreshM op 27-07-2016 23:36 ]

Mooie blogpost hierover: Title TK: DIY Firewall: Sophos UTM: The Basics

ThinkPadd schreef op woensdag 27 juli 2016 @ 23:12:
Mooie blogpost hierover: Title TK: DIY Firewall: Sophos UTM: The Basics

Ik weet niet of het blokkeren van diensten nou de goede oplossing is, gezien de Duitse privacywetgeving. Natuurlijk helpt het, maar het is altijd achter de feiten aanlopen. Vroeger of later gebeurt er toch iets strafbaars dat je niet had geblokkeerd.

Jezelf vrijwaren van boetes en beschuldigingen lijkt me de betere optie in de Duitse horeca (zonder de privacywetgeving te schenden). Zie mijn vorige post.

Als het om 'flinke boetes' gaat is het wellicht slim om een managed service af te nemen van een lokale IT-dienstverlener. Het hangt af van hoe technisch je zelf bent, maar met een kleine firewall zoals een Juniper SRX100 kan je al een hoop afvangen. Als je een captive portal wilt hebben met een klein budget moet je naar oplossingen kijken zoals MIkrotik of wederom pfsense.

FreshM schreef op woensdag 27 juli 2016 @ 23:02:
Om in Duitsland boetevrij te blijven in geval van illegale uploads en downloads zou je iedere gebruiker moeten kunnen herleiden....

Volgens mij is dat niet noodzakelijk zo, maar ik kan de boel verkeerd interpreteren natuurlijk. Daarnaast staan veranderingen op stapel.

Iedere gebruiker van het netwerk moet inderdaad de gebruiksvoorwaarden kennen/accepteren, er is natuurlijk vanalles mogelijk, maar het is ook de vraag hoeveel eigen (onderhouds)werk je erin wil/kan steken.

ZIn er geen aanbieders in D die producten gericht op dergelijke services aanbieden? Wellicht is het kopen van een kant-en-klaar product uiteindelijk best een goede optie.

Verwijderd schreef op donderdag 28 juli 2016 @ 09:32:
[...]


Dat is niet wat ik vraag

Goed:

Nu is de vraag wat er nodig is om dit hele verhaal mogelijk te maken.

Hardware en software

Kan er een access point op de huidige router?

De vraag is wat onbegrijpelijk, de huidige router is tegelijk ook een access point

Of is het handiger om een nieuwe router én access point aan te schaffen?

Ook niet helemaal duidelijk, maar vermoedelijk kan je beter wat anders aanschaffen waarmee je meer controle kan uitoefenen op het netwerk.

En uiteraard: wat zijn access points die dit ondersteunen?

In principe zou je zoiets met elk access point kunnen doen, zolang de overgang naar het WAN/Internet gecontroleerd wordt (met een goed te configureren router bijvoorbeeld)

Wat concreter zoals Clavis hieronder ook aangeeft kan ubiquity-apparatuur best een interessante optie zijn in dit geval.

[ Voor 7% gewijzigd door begintmeta op 28-07-2016 09:47 ]

Met een Ubiquiti kun je ook een hotspot portal maken.
https://help.ubnt.com/hc/...spot-portal-customization

Qua bereik, stabiliteit is dit echt een excellent AP. Gebruik ze zelf ook, en alles werkt super.
MKB gear voor een consumenten prijs.
Er zit ook een PoE adapter bij, dus je kunt de kabels netjes wegwerken.

[ Voor 11% gewijzigd door Clavis op 28-07-2016 11:50 ]

Kijk eens naar de Cisco Meraki reeks, deze "access points" zijn er in verschillende soorten en maten. Je kunt hierop meerdere SSID's configureren, waarbij je op verschillende netwerk lagen de firewall per SSID kunt instellen.

Beheer gaat wel via de meraki Cisco cloud. Vervolgens kun je 1 of meerdere AP's registreren binnen je account. Vervolgens zou je een Gast SSID aan kunnen maken, dit kan met bijv. tokens / Click Through page, SMS etc. Je kunt dus ook verschillende manieren mensen toegang geven.

Daarnaast kun je per SSID firewall regels opstellen, bandbreedte beperkingen opleggen per SSID of per ingelogde user.

Voor hotels heb je misschien meerdere AP's nodig, je kunt dan meerdere AP's koppelen, een Floorplan uploaden en zo kun je aangeven waar de AP hangt. Via de interface kun je ook een AP laten knipperen als je zeker wilt zijn welke AP je moet hebben.

Edit nav latere post:

Beheer gaat via de Cisco Meraki Cloud, dit is een webinterface welke door iemand met basis kennis van netwerken al goed te beheren is.

[ Voor 16% gewijzigd door BramuS op 28-07-2016 12:05 ]

Als je een redelijk makkelijk beheerbaar product wilt dan zou ik kijken naar een Fortigate icm FortiAP's.
ja het is prijzig maar als je een beetje verstand hebt van netwerken kan je het zo inrichten....


mocht je zelf de expertise niet hebben zou ik een IT partij zoeken die het voor je kan doen.

Verwijderd schreef op donderdag 28 juli 2016 @ 09:26:.
Een kennis heeft ons de Ubiquiti UniFi AC LR aangeraden. ..
Dus zoiets zoeken we, maar misschien goedkoper of met meer mogelijkheden.

Ik denk dat dit een belangrijk punt is de meesten hier over het hoofd zien.
Een AC-LR kost je iets rond de 110-120 Euro.

Wat is het budget je beschikbaar hebt?

Zou bijvoorbeeld een goedkope ap-router met OpenWRT ook een oplossing kunnen zijn?

Misschien kun je downloaden ook ontmoedigen door de bandbreedte zodanig af te knijpen dat browsen nog net werkbaar blijft, maar het downloaden van een film van een paar honderd MB te lang duurt.
Je zorgt daarmee ook dat meerdere gasten genoeg bandbreedte hebben, i.p.v. dat twee gasten die naar YouTube kijken het de andere gasten onmogelijk maken om normaal te internetten.

CivLord schreef op donderdag 28 juli 2016 @ 13:18:
Misschien kun je downloaden ook ontmoedigen door de bandbreedte zodanig af te knijpen dat browsen nog net werkbaar blijft, maar het downloaden van een film van een paar honderd MB te lang duurt.
Je zorgt daarmee ook dat meerdere gasten genoeg bandbreedte hebben, i.p.v. dat twee gasten die naar YouTube kijken het de andere gasten onmogelijk maken om normaal te internetten.

Leuk ja. Zit ik daar op mijn hotelkamer en wil ik netflix zien. gewoon legaal. Daar wordt je als hotel echt op afgerekend tegenwoordig.

Ik weet dat je in UniFi ook met tickets kan werken van een bepaald aantal dagen. Zit je niet vast aan pakketten of wat dan ook, je kan al het verkeer bijhouden op die tickets. Laat die tickets gewoon 24 uur geldig zijn, en vraag of de mensen als ze wifi willen gebruiken een ticket op komen halen bij de receptie.

Je zult naar mijn mening in ieder geval met een dergelijk systeem gaan werken. In mijn hotel in Frankrijk was ook alles geblokkeerd, zelfs de standaard VPN-poorten. Vervolgens VPN over poort 443 ingesteld, en je kunt alles doen wat je wilt, wat er dan ook geblokkeerd zou zijn.

maartend schreef op donderdag 28 juli 2016 @ 13:21:
[...]

Leuk ja. Zit ik daar op mijn hotelkamer en wil ik netflix zien. gewoon legaal. Daar wordt je als hotel echt op afgerekend tegenwoordig.

Dat is dus ook internetgebruik dat een onevenredig groot beslag op de bandbreedte van het hotel legt. Met een standaard internet verbinding maakt een klein aantal Netflix/ YouTube kijkers het de andere gasten al snel onmogelijk om normaal te internetten.
In een groot hotel zou je een goede internetverbinding mogen verwachten waarbij een paar videostreams geen probleem mogen vormen, maar bij de kleinere familiehotels kun je dat meestal niet verwachten.

Op vakantie in Duitsland hadden we in een van de appartementen internet via SocialWave. Als je kijkt op hun pagina, dan ziet het er veilig en makkelijk uit.
Als klant een beetje gedoe (eigenlijk is alleen http en https mogelijk), maar lijkt mij een goede balans tussen gemak en veiligheid.

CivLord schreef op donderdag 28 juli 2016 @ 13:35:
[...]
In een groot hotel zou je een goede internetverbinding mogen verwachten waarbij een paar videostreams geen probleem mogen vormen, maar bij de kleinere familiehotels kun je dat meestal niet verwachten.

Ook weer waar.

ThinkPadd schreef op woensdag 27 juli 2016 @ 23:12:
Mooie blogpost hierover: Title TK: DIY Firewall: Sophos UTM: The Basics

Wil je echt controle hebben, dan zou ik een aantal ICT bedrijven / specialisten vragen om een dergelijke oplossing te offreren. Een goede firewall biedt de mogelijkheid om internetverkeer op applicatieniveau te blokkeren. Sophos lijkt wat dat betreft goed aan te sluiten op de situatie van je moeder en is betaalbaar (gratis tot 50 IP-adressen). Uit de gelinkte blogpost:

Another cool feature is Web Protection -> Application Control. This was actually the reason I started with this whole project. Application Control and Web Filtering come on top of a firewall, ie. if the traffic is allowed through the firewall, it is analyzed by Web Filtering for simple web-content. Application Control takes care of application content. Torrents are the best example: there's no firewall rule that can stop it, because it can use SSL to hide itself. Blocking the SSL port (443) would do more harm than good (note that you can do a man in the middle attack from your UTM too as a very dirty solution) and then the torrent client would just use another port anyway. Web filtering won't stop it either, because it's P2P traffic and cannot be categorized according to websites rules. Applications all have a digital fingerprint in their traffic though, and because of that Application Control will intercept it. The software just needs to know the digital fingerprint, which it updates a few times per day from Sophos. That's not a 100% foolproof system, because a 0-day torrent client would still pass, but that's as good as it can realistically get in web-technology.

Waarschijnlijk heb je wel advies nodig bij de keuze van geschikte en betaalbare hardware om Sophos op te installeren (vandaar het idee om wat offertes op te vragen), maar in dit topic zou je al een eind op weg geholpen kunnen worden.

Hiermee heb je nog geen gastnetwerk, maar dit is de manier om het daadwerkelijke downloadprobleem aan te pakken en boetes te voorkomen.

Overigens sluit ik me aan bij de opmerkingen over het laten accepteren van gebruiksvoorwaarden door gasten.

Wellicht dat OpenDNS een optie is?

Ik krijg het gevoel dat topicstarter een beetje overrompeld wordt met allerlei technische oplossingen en door de bomen het bos niet meer kan zien. Een technische oplossing is er sowieso. Ik denk dat je beter even een naar een juridische oplossing moet gaan zoeken, want in de huidige situatie kan op elk moment een hotelgast torrents gaan downloaden terwijl je juridisch niets afgedekt hebt. Nogmaals: een technische oplossing is heel makkelijk te vinden. Daarbij geldt: niet te gierig zijn, want goedkoop is duurkoop! Dus huur een juridisch expert in en een technisch expert die de boel kan optuigen....

Ik zou simpelweg alles behalve poort 80 en poort 443 blokkeren.

De tip van openDNS is ook erg goed. Hierin kun je ook een hoop blokkeren middels een eenvoudige website.

Eventueel poort 1723 en poort 1701 openzetten voor VPN.
Indien er gebruik wordt gemaakt van een VPN dan verloopt het downloaden technisch gezien niet meer vanuit het Jullie Duitse IP adres. Dus dat is dan ook geen probleem meer qua aanspraakelijkheid.
VPN verbindingen zou je dus gewoon kunnen toestaan.

Sterker nog, kun je niet gewoon al het verkeer standaard via een VPN dienst laten lopen?
Nadeel is wel dat bepaalde diensten zoals netflix dan weer geblokkeerd worden(vanuit netflix zelf)
Weinig elegante maar wel simpele oplossing.

Een limiet betekent dan ook geen Netflix of Youtube, daar zullen de gasten misschien niet zo blij van worden.

Verwijderd schreef op donderdag 28 juli 2016 @ 18:34:
[...]


En met de Lite kan ik ook alles wat ik wil? Ik word niet echt wijzer van de specificaties op de productpagina van Ubiquiti.

https://blog.gruby.com/20...-ap-ac-lite-and-ap-ac-lr/

Socialwave.nl ben je met 20 euro per maand klaar.

Verwijderd schreef op zaterdag 29 oktober 2016 @ 01:03:
Socialwave.nl ben je met 20 euro per maand klaar.

Tja en wat als je geen FB hebt? Dan kun je niet online?? Nee dat is het niet.

Verwijderd schreef op donderdag 28 juli 2016 @ 18:23:
[...]Aangezien ik dit voor mijn moeder vraag weet ik niet wat het budget is, wel weet ik dat ze bovengenoemd AP prijzig vond...

Ze kan het wel prijzig vinden, maar het biedt je bescherming tegen boetes van minimaal 500 €uro.

Kijk, stel dat je bijvoorbeeld het hotel wilt beschermen tegen de tanks van de Wehrmacht, dan begrijp je meteen dat je er met een investering van 10 €uro niet gaat komen. Je zult een investering moeten doen die een relatie heeft met de bedreiging. Tank kost 10 M€, dus een investering van 1 miljoen is redelijk, gesteld dat de tanks van de Wehrmacht een bedreiging zijn.

Terug naar de boetes, dan is drie of 4 per jaar niet zo'n onwaarschijnlijk aantal. De genoemde unify kost iets van 120 €uro en 't ding zal zo 3 jaar meegaan. Dus je kosten zijn 40 €uro per jaar. Het alternatief, niks doen, kost 1500 €uro per jaar

Was benieuwd wat het nu was geworden? Ik denk zelf nog steeds dat http://socialwave.nl o.i.d. de beste oplossing is maar sta open voor alternativen. Dacht aan dat omdat ze volgens hun site ook de juridische bescherming garanderen (ook als iemand geen Facebook heeft en inlogt per e-mail).

pfSense heeft (mits juist geconfigureerd) ook een optie om torrent verkeer te filteren, vereist natuurlijk wel enige kennis. Wat ik zelf heb gedaan voor mijn gastnetwerk is gewoon een firewall-rule gemaakt die alles blokkeert, en daarboven een rule die alleen een bepaalde poorten doorlaat, denk dan aan 80 (HTTP), 443 (HTTPS), 587 (SMTP) 110 (POP3), 53 (DNS) en nog wat andere veelgebruikte poorten. Werkt tot nu toe allemaal prima. Torrents komen er niet doorheen.

[ Voor 3% gewijzigd door MaxTheKing op 29-03-2017 01:25 ]

Met een gast netwerk los je maar een gedeelte van je eisen op.
Waar kan je naar kijken:
Een of meerdere AP's welke de dekking gaan verzorgen. Het hangt voor het grootste gedeelte dan af welke oppervlakte er is welke draadloze dekking moet hebben. Daarnaast natuurlijk hoeveel cliënten zijn er tegelijkertijd actief of hoeveel verbindingen wil je aan kunnen.
Daarbij wil je meerdere draadloze netwerken hebben dus een AP welke hiervoor ondersteuning heeft.
Je wilt een guest netwerk (met portal) hebben, hiervoor moet je continue een controler/landingspagina hebben draaien.
Cloudkey van Ubiquiti is hiervoor bijvoorbeeld een mogelijkheid.
Uit m'n hoofd kan je in het guest gedeelte ook aangeven welke maximale snelheid beschikbaar is.

Nu het stuk toegang beperken of bepaalde diensten weigeren. Hiervoor zal je een router nodig hebben welke uitgebreidere opties heeft. Om bij Ubiquiti te blijven (zijn natuurlijk meerdere opties) zou je kunnen kijken naar de Edgerouter lite of POE. De laatste heeft poorten welke power over ethernet ondersteund en kan de AP'S zonder extra adapter van spanning voorzien. Wel opletten dat je de juiste spanning aanbied anders gaan ze kapot bij een te hoge spanning. Beide routering hebben VLAN ondersteuning en kunnen hierdoor netwerken van elkaar scheiden. Met de firewall kan je striktere regels opstellen voor je guest gedeelte. Tevens kan je DPI gebruiken om bepaalde diensten te blokkeren.