[FritzBox 7530] VPN blokkeren

NAT Passthrough Uitzetten kan al werken... Ook kun je poorten dichtzetten welke de vpn's gebruiken en de toegang tot de serveradressen blokkeren (ip block).

Reken er maar op dat als je kinderen wat willen vinden op het internet ze slimmer gaan zijn dan jezelf en altijd wel een manier vinden om jou blokkades te omzeilen. Beter is gewoon goede communicatie over gezond internetgebruik te onderhouden.

papavanpieter schreef op woensdag 17 april 2024 @ 14:05:
[...]

Dat snap ik ook wel en dat gesprek voer ik ook. Maar een klik teveel en...
Ik gebruik allebei de zaken. En wat ik wel of niet blokkeer en wel of niet bespreek is mijn zaak.
Alleen merk ik dat mn kennis tekort schiet en wat technische hulp is dan fijn...

Je wilt een VPN blokkeren, dus als jouw zoons al de technische kennis hebben om die te gebruiken dan gaat het blokkeren daarvan niks oplossen, voor je het weet gebruiken ze TOR en daar hebben complete landen moeite mee om dat te blokkeren en dat gaat jou zeker niet lukken.

Als je echt zo bang bent voor die ene klik, dan moet je ernaast gaan zitten als ze op het internet gaan. Maar waar maak je je druk over, er is nog nooit iemand dood gegaan bij het zien van een tepel of penis. En als je zoons dat echt willen zien, dan kan je nog zoveel dichtzetten, er is altijd een manier. Ik zou me eerder over belangrijkere dingen drukmaken.

Verder verwachten we op Tweakers dat je ook zelf enige moeite hebt gedaan in je zoektocht naar een oplossing. Gezien je startpost getuicht het daar niet heel erg van en heb je na het aanmaken van een account maar gelijk een topic aangemaakt en hoop je nu dat iemand de oplossing op een dienblad voor je presenteert. Zo werkt het hier niet.

Dat gaat je simpelweg niet lukken, een aantal adviezen hierboven kunnen het moeilijker maken voor je kinderen. Maar als ze slim genoeg zijn om een Wireguard gebaseerde VPN te gebruiken dan gaat het snel ophouden. Je zou UDP over poort 443 kunnen blokkeren, maar ja, daarmee sloop je (onder andere) ook HTTP/3.

Solcon biedt nog HTTPS filtering, met andere woorden: ze doen feitelijk een man-in-the-middle op je verbinding door jouw verkeer te ontsleutelen, te inspecteren en opnieuw te versleutelen met een certificaat wat je zal moeten installeren op al jouw apparaten. Daarmee geef je ze dus ook effectief toegang tot jouw verkeer rondom internetbankieren, alle persoonlijke gegevens die over internet gaan (denk ook aan een onlineomgeving van de huisarts bijvoorbeeld). En je kan nooit meer blindelings vertrouwen dat een website beschikt over een geldig HTTPS certificaat, want jij ziet alleen het Solcon certificaat. Wellicht dat ze daar nog wat mee kunnen filteren rondom Wireguard, maar als je die (technisch zeer ranzige) kant op gaat moet je je afvragen:

Vertrouw je de anonieme medewerkers van je internetprovider echt meer dan je eigen kinderen?

Je kan ook nog de host file op hun pc aanpassen, bv. https://github.com/StevenBlack/hosts om alle pron, gokken en malware te blokken. En je zou nog deze dns server kunnen instellen: https://cleanbrowsing.org/filters

Succes met het onder controle houden van de hormonen.

@papavanpieter 443 dichtzetten is een bijzonder slecht idee, deze wordt gebruikt voor HTTPS verkeer (TCP voor < HTTP/3, UDP voor HTTP/3). Dus daarmee sloop je je internet volledig.

Je gaat VPN simpelweg niet kunnen blokkeren, dat is de strekking van het verhaal. Daarnaast: Solcon kan HTTPS verkeer niet filteren, tenzij je hun HTTPS filter aan zet. En waarom je dat niet moet doen heb ik al uiteengezet.

Ik weet niet hoe hun reguliere filter werkt, maar HTTP filteren is zinloos: er gaat immers nagenoeg niets meer via HTTP over internet. DNS filter? Kwestie van een andere DNS server instellen en dankzij DNS over HTTPS is ook dat niet te filteren. IP filter? Zinloos, gezien de nagenoeg oneindige reeksen die diensten als CloudFlare bieden.

Sorry, maar je bent nu tijd aan het steken in 'oplossingen' die stuk voor stuk extreem eenvoudig te omzeilen zijn.

[ Voor 5% gewijzigd door Aganim op 22-04-2024 12:17 ]

Enige wat zou kunnen werken is het bij de bron aanpakken.
De telefoon zelf dus.

Mijn dochters (4 en 7) hun android accounts heb ik toegevoegd aan de family app.
Ikzelf ben hoofd van de familie, mijn vrouw heeft dezelfde rechten.

Maar mijn dochters hebben bij alles wat ze willen installeren toestemming nodig.
Ook kan ik apps blokkeren, of er een tijdlimiet op zetten.

Ik weet niet hoe oud jouw zoons zijn, als ze VPN kennen dan denk ik een stuk ouder dan mijn dochters.
Maar bovenstaande zou werken tot ze 18 worden.

Op de windows computers kun je ze ook een account geven met niet genoeg rechten om dingen te installeren.

Als je geen VPN kan installeren door gebrek aan rechten, kun je het ook niet gebruiken.

Overigens ben ik persoonlijk wel van mening dat 18+ sites vanaf een jaar of 16 wel gewoon bezocht moeten kunnen worden. Mensen (en zeker jongens) krijgen op een gegeven moment bepaalde behoeftes, en wie ben jij om ze daarin te beperken?

Ondergetekende had een mooie groepsfoto van de scoreland dames (borsten maatje basketbal) opgeslagen onder mijn afbeeldingen op de enige pc in huis.
Mijn vader had die als bureaubladachtergrond had gezet op diezelfde pc met een in paint toegevoegd tekstje "ziet er goed uit!".
Ik schaamde me kapot, en ben het dus nooit vergeten. (~14 jaar geleden)

papavanpieter schreef op maandag 22 april 2024 @ 12:30:
Ik ben ermee bezig geweest omdat op mijn school waar ik werk een VPN wel geblokkeerd kan worden, maar dat zal ws te maken hebben met andere technieken en opbouw van het internetverkeer/serverkeer, schat ik dan zo in.

Gezien je je internet niet hebt gesloopt toen je poort 443 dicht gooide zou het natuurlijk kunnen dat je ergens een foutje hebt gemaak. Wat betreft de school: het zou kunnen zijn dat die alle poorten dicht hebben gezet, behalve de poorten waarop men wel verkeer toestaat. Dat is effectiever dan iedere individuele dienst handmatig blokkeren. Of je dat moet willen is alleen de vraag, want je hebt thuis geen (team van)beheerder(s) tot je beschikking om je netwerkconfig up-to-date te houden.

Overigens kan je de standaard Wireguard poort wel blokkeren (TCP 51820), maar niets houdt iemand tegen om Wireguard op poort 443, 53, 123 of een van de andere poorten die nodig zijn voor het normaal functioneren van internet te draaien. Dus voor de inventieve puber ook prima te omzeilen + je houdt nog steeds SSTP over.

ik heb het ISA filter van Solcon, is dat wat jij bedoelt met 'hun HTTPS filter'?

HTTPS filtering is een optioneel onderdeel van dat filter, en dat deel moet je zelf aanzetten. Maar hoe de rest van hun filter verder werkt weet ik niet, daar is Solcon niet erg duidelijk in.

Misschien dat op DNS niveau nog wat gedaan kan worden, hoewel ik me afvraag of dat gaat werken (NordVPN levert configuratie bestanden met daarin IP adressen in plaats van namen, als Xvpn hetzelfde doet zal het dus niet werken).
Je zou daarvoor Pihole kunnen installeren en dan de VPN providers op een blacklist zetten (handmatig toevoegen, maar misschien dat er ook wel een lijst is die je daarvoor kan installeren).