Router of switch met toegangsrestricties - Netwerken

woensdag 11 juli 2018 10:51

Acties:

Topicstarter

Om niet als een politieagent continue achter mijn puberende kinderen aan te moeten zitten, zoek ik een manier om het internet in de nachtelijke uren deels te blokkeren.

De huidige situatie is als volgt:

- internet komt binnen via kabelmodem van Zeelandnet. Vanuit het modem gaan een paar aansluitingen naar o.a een TV, een Fritzbox 7170 welke als switch fungeert en een Fritzbox 7360 welke als switch en dect-centrale fungeert. Daarnaast biedt het Zeelandnetmodem wifi op 2,4 en 5 ghz. Wifi van de fritzboxen staat uit.

Vanuit de Frtizbox 7360 gaan aansluitingen naar een powerline-adapter met daarachter weer een switch en wifi (2e verdieping) en naar Playstation (1e verdieping). Op termijn komt er voor de playstation nog een switch/wifi.

Wat ik wil is (idealiter), alle netwerkapparatuur op de 1e en 2e verdieping disfunctioneel maken, door LAN-poorten beneden uit te schakelen. Daar heb ik dus een ander apparaat voor nodig.

Daarbij wil ik mogelijk het Zeelandnetmodem in bridgemodus zetten. Het aan te schaffen apparaat beschikt dus ook mogelijk over wifi. Dit is echter niet noodzakelijk, daar deze functie overgenomen kan worden door de fritzbox 7360. Het nieuwe apparaat vervangt de switchfunctie van de 7360. De 7360 vervangt op zijn beurt de fritzbox 7170.

Het nieuwe apparaat heeft tenminste 6 LAN-poorten nodig, in geval ik het Zeelandmodem in bridgemodus zet. Anders is 4 LAN-poorten voldoende.

Scenario 1: een router met wifi en 6 LAN-poorten. Weinig aanbod, maar het kan wel. Nadelen zijn groot en duur. Goedkoopste optie is zo ongeveer Linksys EA 9500 Max-STREAM En dan is het me nog niet duidelijk hoe het met de gewenste toegangsrestricties zit.

Scenario 2: een router met wifi en 4 LAN-poorten. Nadeel is dat het Zeelandnet modem niet in bridgemodus kan. Voordelen zijn een kleiner apparaat en veel meer aanbod. Maar welke? Nog steeds liefst eentje waarbij de LAN-poorten kunnen worden disabled.

Scenario 3: een router/switch zonder wifi. Zeelandnet modem kan in bridgemodus. Apparaat is compact en kan aan de muur worden gehangen. Voldoende LAN-poorten. Nadeel is dat WIFI van de fritzbox 7360 moet komen (wat verouderd).

Behalve compact en liever goedkoop dan duur, heb ik ook wel behoefte aan een niet te steile leercurve. Ofwel, een eenvoudige interface is wel wenselijk. Ik neig zelf naar scenario 3, waarbij ik de 5 ghz van Zeelandnet kan blijven gebruiken en de 2.4 ghz van de Fritzbox 7360 voor de kinderen (die kan ik 's nacht uitschakelen).

Maar welk apparaat moet ik dan kiezen?

woensdag 11 juli 2018 10:59

Acties:

jimmohhh

Je zou om het simpel te kunnen houden een eenvoudige router kunnen kopen + een switch + een access point.

De access point sluit je aan op de switch, en de switch sluit je aan op de router. Op de router stel je wifi in voor je eigen apparaten en op de access point die voor de kids.

De switch sluit je alle kabels aan van de 1e en 2e verdiepingen en op de router sluit je de rest aan. Je kan dan met een tijdschakelaar de switch + access point uit laten zetten op vaste tijden

Scheelt een hoop geld

woensdag 11 juli 2018 11:22

Acties:

Verwijderd

Allereerst, mijn ouders hebben ooit geprobeerd me van m'n computer weg te houden door het toetsenbord te jatten. Dat, eh, leverde niet het gewenste effect op. Je zal allereerst dit als een mensenprobleem moeten benaderen en zorgen dat de kinderen weten wat ze wel en niet mogen. Je wil een situatie waar de techniek eigenlijk niet nodig zou moeten zijn. Anders werkt de techniek op zichzelf niet. Dat gezegd hebbende:

Er zijn verschillende manieren om dit te doen. Je kan beginnen om te kijken of je bestaande hardware niet een "parental controls" optie biedt die goed genoeg is wat je wil. Een htk-routertje primair als switch inzetten is niet heel flexibel. Je wil vrij snel meer dan het ding kan en erop staan dat er genoeg ethernetpoorten in zitten drijft vooral de prijs op.

De conceptueel simpelste manier daar is om een kleine switch toe te voegen achter die ene poort voor verdiepingen 1 en 2 en dan die ene poort aan- en uit te zetten. (Vergelijk: VLANs zijn uitgevonden om niet in alle kabelhokken op elke verdieping van je mooie grote bedrijf net zo veel switches te moeten neerzetten als je gescheiden LANs in gebruik hebt; in dit geval is een enkele unmanaged vijfpoorts switch van een tientje extra geen groot probleem.)

Je kan wel, bijvoorbeeld, een controller aan je netwerk toevoegen (zoals een raspberry pi met wat bestaande software en/of wat custom scripting) die dan beslissingen neemt over welk verkeer wel en niet mag en dat aan de managed apparaten doorgeeft. Bijvoorbeeld door via SNMP de poorten van een managed* switch aan- en uit te zetten. En/of iets met radius, 802.1x op wired en wireless, eigen vlan, en eigen filter-regels voor dat vlan. Je kan ook een "security appliance" danwel "network firewall"-machientje van dit of dat merk pakken en kijken of je daarmee regeltjes kan bouwen die uitdrukken wat je wil. Mogelijkheden te over.

Dus welk apparaat je precies nodig hebt ligt er aan wat je precies wil bereiken en hoe ingewikkeld je het maken wil. Ik zou zeggen, kijk eerst eens naar of je zeelandnet router/modem/... parental controls heeft, danwel of je dat ding in bridge mode kan neerzetten en de 7360 als NATrouter kan inzetten, en of de parental controls in je fritz!box dan voldoende zijn. Als niet, dan kun je ons in detail vertellen waarom dat niet voldoende is en we kunnen mischien betere adviezen verzinnen.

* Een "managed" switch in mijn boek is een switch die CLI en (volledig) SNMP ondersteunt, en dan eventueel nog een webinterface heeft. Een "smart managed" of "webmanaged" switch is dat niet en telt als kinderspeelgoed. Want je wil niet iedere keer moeten inloggen op de webinterface om een poortje aan- of uit te zetten. Via SNMP kan het met een enkel commando, eventueel in een script dat op de klok op je netwerk management station wordt uitgevoerd.

woensdag 11 juli 2018 11:41

Acties:

Ben(V)

Je hebt wel een zooitje van je netwerk gemaakt met drie router in een netwerk, powerline spul etc.

Maar goed die Fritzbox 7360 heeft een functie die "parental control" heet daarmee kun je bepaalde websites blokkeren maar ook tijdlimieten instellen.
Je hoeft dus helemaal niets te kopen.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 11 juli 2018 11:48

Acties:

jeroen3

De gewenste functies, LAN poorten op schema in en uit schakelen, zijn nogal specifiek.
Dat ga je niet zomaar vinden, wel blokkering op basis van MAC adres.

Als je toch daadwerkelijk LAN poorten of SSID's wilt uitschakelen op een schema, dan zou je dit kunnen maken met Mikrotik. Dat voldoet alleen niet aan je gewenste vlakke leercurve.

code:

/system scheduler
add name="LAN aan" on-event=enable start-date=jan/01/1970 start-time=23:00:00 interval=1d comment="" disabled=no 
add name="LAN uit" on-event=disable start-date=jan/01/1970 start-time=6:00:00 interval=1d comment="" disabled=no 

/system script
add name="enable" source="/interface ethernet enable ether1" policy=ftp,reboot,read,write,policy,test,winbox,password 
add name="disable" source="/interface ethernet disable ether1" policy=ftp,reboot,read,write,policy,test,winbox,password

Het eenvoudigst is gewoon een switch waarvan de voeding uit gaat. Dit is ook eenvoudig te verlengen als de situatie erom vraagt. Dat zou je zelfs nog via kaku o.i.d kunnen doen.

woensdag 11 juli 2018 12:56

Acties:

Ben(V)

jeroen3 schreef op woensdag 11 juli 2018 @ 11:48:
De gewenste functies, LAN poorten op schema in en uit schakelen, zijn nogal specifiek.
Dat ga je niet zomaar vinden, wel blokkering op basis van MAC adres.

Zit standaard in de Fritzbox dus hij hoeft niets te vinden.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 11 juli 2018 12:57

Acties:

pegagus

Topicstarter

Dat mijn netwerk een zooitje is, valt wel mee. Powerline voor de 2e verdieping, utp-kabel voor de eerste verdieping utp=kabel voor mijn werkkamer met meerdere netwerkapparaten. En een dect-voipcentrale en een kabelmodem in de meterkast. Op zich werkt het allemaal stabiel (voor zover Zeelandnet zelf stabiel is).

Een switch achter een schakelklok is in ieder geval wel een werkbaar idee. Maar dat is wel weer een kastje in de meterkast. Met de antenneversterker komen we dan op 4 stuks.

Parental van de fritzbox krijg ik niet helder. Momenteel werkt het niet omdat de Fritzbox in clientmodus staat. Wil ik het werkend krijgen, moet het Zeelandnet modem in bridgemodus. En dan kom ik LAN-poorten te kort in de meterkast.

Stel, ik koop deze Mikrotik, werkt die als switch zonder meer out of the box? Indien ja, kan ik wanneer ik tijd en zin heb, me er in verdiepen en er meer uithalen. Ik ben niet geheel digibeet. Ooit mijn eigen firewall in Linux Gentoo in elkaar geflanst.

woensdag 11 juli 2018 13:05

Acties:

Ben(V)

Als je die Fritzbox parental control niet werkbaar kunt krijgen waarom zou je dat met een ander device wel lukken?
Een routerboard is nog veel ingewikkelder.

All truth passes through three stages: First it is ridiculed, second it is violently opposed and third it is accepted as being self-evident.

woensdag 11 juli 2018 13:08

Acties:

sig69

Ik heb zo'n situatie eens bij een vriend van me gehad, en uiteindelijk ga je het niet winnen zonder gewoon de hele zooi in te nemen. Hier ongeveer de stappen die wij hebben doorlopen:
1. Tijdslot op mac adres. Helaas mogen onbekende mac adressen in een Ziggo modem alles, dus kind paste mac aan en klaar
2. Switch op tijdklok. Kind zit op de open wifi van de buurman
3. Buurman aangesproken. Kind tethert via telefoon
4. Telefoon blijft 's nachts beneden. Kind tovert ergens een 4g dongle vandaan
5. Muis en toetsenbord ingenomen. Reserve toetsenbord en muis onder bed.
De algehele situatie werd daar thuis nou niet bepaald gezelliger...

Roomba E5 te koop

woensdag 11 juli 2018 13:11

Acties:

(RSH)

Fingbox,

en per device gebruiker toewijzen en eventueel gescheduled of handmatig internet dichtzetten, of zelfs het hele netwerk

3x Solaredge, 3x Homewizard Plug-in Batterij, 1x Marstek Venus

woensdag 11 juli 2018 13:30

Acties:

jeroen3

pegagus schreef op woensdag 11 juli 2018 @ 12:57:
Stel, ik koop deze Mikrotik, werkt die als switch zonder meer out of the box? Indien ja, kan ik wanneer ik tijd en zin heb, me er in verdiepen en er meer uithalen. Ik ben niet geheel digibeet. Ooit mijn eigen firewall in Linux Gentoo in elkaar geflanst.

Standaard is het een Router/AP. Port 1 is WAN, port 2-5 + WiFi zijn LAN. Maar dat is helemaal vrij instelbaar.
Maar zoals je zelf al aangeeft, je moet hier zin en tijd voor hebben, want dit is niet gericht op consumenten.

In de V&A staat nog de 10 port RB2011UiAS-2HnD-IN te koop.

woensdag 11 juli 2018 13:30

Acties:

pegagus

Topicstarter

Ben(V) schreef op woensdag 11 juli 2018 @ 13:05:
Als je die Fritzbox parental control niet werkbaar kunt krijgen waarom zou je dat met een ander device wel lukken?
Een routerboard is nog veel ingewikkelder.

Ik kan het wel werkbaar krijgen, maar alleen wanneer ik het kabel modem in bridge modus zet. Ik ga in ieder geval eens kijken of dat een beetje in de richting komt van wat ik wil. En dan heb ik nog een switch nodig, maar die hoeft dan verder ook niets te kunnen.

Het is overigens niet zozeer de bedoeling om internetten 's nachts volledig onmogelijk te maken, als wel een duidelijk signaal te geven dat het tijd is om te gaan slapen. En dat zonder dat ik elke keer op zoek moet naar alle telefoons, laptops en tablets. Als ze per se willen, kunnen ze altijd nog weer beneden achter de PC kruipen of mijn laptop pakken.

woensdag 11 juli 2018 13:32

Acties:

jeroen3

pegagus schreef op woensdag 11 juli 2018 @ 13:30:
[...]
Het is overigens niet zozeer de bedoeling om internetten 's nachts volledig onmogelijk te maken, als wel een duidelijk signaal te geven dat het tijd is om te gaan slapen.

Dan zou je ook (download*) bandwidth limiting 's nachts aan kunnen zetten. (dmv queues)

*het is fijn als achtergrond cloud backups van telefoons blijven werken.

woensdag 11 juli 2018 13:35

Acties:

DukeBox

loves wheat smoothies

Ben ook wel te spreken over de parental controls van de synology routers. Maar ben het ook eens met @Verwijderd, dit moet je prima op kunnen lossen met gewoon een paar duidelijke regels.

Duct tape can't fix stupid, but it can muffle the sound.

woensdag 11 juli 2018 16:12

Acties:

terror538

Is de allersimpelste en goedkoopste optie niet, daar het zooitje over powerline gaat, gewoon een tijdschakelaar op het stopcontact?

too weird to live too rare to die

woensdag 11 juli 2018 16:22

Acties:

FreshMaker

sig69 schreef op woensdag 11 juli 2018 @ 13:08:
Ik heb zo'n situatie eens bij een vriend van me gehad, en uiteindelijk ga je het niet winnen zonder gewoon de hele zooi in te nemen. Hier ongeveer de stappen die wij hebben doorlopen:
1. Tijdslot op mac adres. Helaas mogen onbekende mac adressen in een Ziggo modem alles, dus kind paste mac aan en klaar
2. Switch op tijdklok. Kind zit op de open wifi van de buurman
3. Buurman aangesproken. Kind tethert via telefoon
4. Telefoon blijft 's nachts beneden. Kind tovert ergens een 4g dongle vandaan
5. Muis en toetsenbord ingenomen. Reserve toetsenbord en muis onder bed.
De algehele situatie werd daar thuis nou niet bepaald gezelliger...

Als mijn kinderen zo inventief waren om maar niet te luisteren, gaat gewoon de hele boel weg.
Leuk een reserve toetsenbord ergens vandaan toveren, maar dat wordt lastig zonder PC/Laptop

Jouw voorbeelden lijken me eerder van kinderen met een 'groot' budget

Hier is de simpelste vorm de oplossing .... praat er over !
PC's staan onder parental toezicht via windows, via de familie-pagina kan ik de tijden invoeren waarin ze kunnen inloggen.
Op te lossen door in die tijden een extra user aan te maken, die niet in het controledeel staan - PC vrij
Maar omdat wij redelijk met de tijden en mogelijkheden omgaan, hebben ze dat nog niet uitgevonden.

Afpakken, straffen blokkeren ... allemaal zijwegen die niet werken.
Praat er over, stel doelen geef vertrouwen.
Pas als alles faalt ... trek je lekker de router van de muur

[ Voor 3% gewijzigd door FreshMaker op 11-07-2018 16:23 ]

woensdag 11 juli 2018 16:43

Acties:

jeroen3

Deze topics eindigen altijd in de discussie dat techniek niet mag worden gebruikt als hulpmiddel voor de opvoeding.
Ook hier is daar niet om gevraagd.

woensdag 11 juli 2018 16:47

Acties:

Verwijderd

Kids op aparte router + wifi. Tijdschakelklok die om 23:00 uit gaat, en 06:00 aan.

donderdag 12 juli 2018 07:35

Acties:

pegagus

Topicstarter

terror538 schreef op woensdag 11 juli 2018 @ 16:12:
Is de allersimpelste en goedkoopste optie niet, daar het zooitje over powerline gaat, gewoon een tijdschakelaar op het stopcontact?

Powerline gaat alleen naar de tweede en niet naar de eerste. En de powerline werkt nu stabiel, maar met een schakelklok er tussen is dat niet meer gegarandeerd.

Zoals gezegd, ga ik het Zeelandmodem in bridgemodus zetten en de Fritzbox 7360 als router. Dan kan ik met de parental zettingen aan de gang. Wordt vervolgd.

donderdag 12 juli 2018 09:02

Acties:

Frogmen

Ik weet niet welke leeftijd je kinderen zijn maar je motiveert ze op deze wel om zich te verdiepen in IT en netwerken. Zoals eerder door anderen gezegd het ontaard al snel in een soort wetloop waarbij je schrikt van de creatieviteit van je kinderen. Persoonlijk neig ik toch meer naar een goed gesprek en gewoon afspraken maken. Waarbij je ook naar je eigen gedrag moet kijken als je zelf altijd achter een scherm zit, volgens zij echt dat voorbeeld.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

maandag 16 juli 2018 21:46

Acties:

pegagus

Topicstarter

Het is nog tobben. Het goede nieuws is dat filtering werkt. Het slechte nieuws is dat uitgaande gesprekken zijn geblokkeerd. Ik ben er inmiddels achter dat dit bij budget phone moet zitten. Twee accounts en één getest op mijn iphone en daar werkt het ook niet.

Ondertussen twijfel ik aan de juiste instelling van de fritzbox 7360.

Die staat nu ingesteld op

connecting to a cable modem (cable connection)
Select this kind of connection if the "LAN 1" port of the FRITZ!Box is connected to a cable modem that establishes the Internet connection

Waar ik aan twijfel is of dat er nu een firewall werkende is, met deze optie. Die is op het kabelmodem nu uitgeschakeld.

De andere optie is

Connection to an external modem or router
Select this kind of connection if the "LAN 1" port of the FRITZ!Box is connected to an already existing external modem or router.

met als suboptie

Establish own connection to the Internet
The FRITZ!Box disposes over its own IP address range. The firewall remains enabled.

Deze optie geeft echter geen werkende internetverbinding.

Ik heb al een online firewall test uitgevoerd. Daar kwam niets geks uit, maar ik twijfel. Iemand een idee hoe ik de firewall van de fritzbox kan testen?

dinsdag 17 juli 2018 11:00

Acties:

pegagus

Topicstarter

En nog een firewalltest uitgevoerd, die zegt dat alles dicht zit. En als bonus: budget phone had inderdaad mijn nummers geblokkeerd omdat er even geen firewall aanwezig was (gaat automatisch middels een ip-check bij aanmelden). Nummers zijn weer vrijgegeven, dus zit de firewall ook goed.