Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Empfehlung für (Hardware-?)FW gesucht
20 views
Skip to first unread message
Martin
Feb 23, 2013, 2:03:44 PM2/23/13
to
Hallo zusammen,
ich helfe meinem Bruder bei der Verwaltung eines WLAN Netzes, in dem
Gäste auf bestimmte Zeit über WLAN Zugriff auf das Internet erhalten
sollen.
Leider ist es schon vorgekommen, dass einzelen Gäste dies für
unerwüscnhte Filesharing-Aktivitäten benutzt haben.
Nun überlegen wir, zwischen WLAN Router (einer Fritzbox und einer
weiteren Fritzbox, die als WDS Repeater fungiert) und Anschluss
eine Firewall mit Proxy für HTTP(S) und Email zu setzen.
Ich weiß aber nicht, welche Geräte dafür geeignet sind.
Folgende Anforderungen sind gegeben:
Die IP Adressen, die per DHCP über WLAN vergeben werden sollen
ausschließlich im Internet surfen (HTTP, HTTPS) und Email nutzen dürfen.
Auf die Fritzboxen und muss man von außen über ssh und (in
Ausnahmenfällen) per telnet zugreifen können.
Eine der Fritzboxen muss außerdem VoIP machen dürfen.
Es gibt ein VPN (mit openvpn) auf einder der Boxen sowie dyndns.
Kann mir jemand geeignete Geräte empfehlen und evtl. weitere Tipps zum
Konzept.
Hauptziel ist, dass die WLAN Benutzer nut noch im Internet surfen und
Email benutzen können. Filesharing soll zuverlässig unterbunden werden.
Danke im Voraus und Gruß
Martin
PS:
Mit Netzwerkkonfigurationen kenne ich mich soweit aus. In die
Konfiguration einer Firewall kann ich mich, denke ich, einarbeiten.
Kommandozeile ist für mich kein Problem; ist mir oft lieber als ein
Webinterface.
--
perl -e '$S=[[73,116,114,115,31,96],[108,109,114,102,99,112],
[29,77,98,111,105,29],[100,93,95,103,97,110]];
for(0..3){for$s(0..5){print(chr($S->[$_]->[$s]+$_+1))}}'
ich helfe meinem Bruder bei der Verwaltung eines WLAN Netzes, in dem
Gäste auf bestimmte Zeit über WLAN Zugriff auf das Internet erhalten
sollen.
Leider ist es schon vorgekommen, dass einzelen Gäste dies für
unerwüscnhte Filesharing-Aktivitäten benutzt haben.
Nun überlegen wir, zwischen WLAN Router (einer Fritzbox und einer
weiteren Fritzbox, die als WDS Repeater fungiert) und Anschluss
eine Firewall mit Proxy für HTTP(S) und Email zu setzen.
Ich weiß aber nicht, welche Geräte dafür geeignet sind.
Folgende Anforderungen sind gegeben:
Die IP Adressen, die per DHCP über WLAN vergeben werden sollen
ausschließlich im Internet surfen (HTTP, HTTPS) und Email nutzen dürfen.
Auf die Fritzboxen und muss man von außen über ssh und (in
Ausnahmenfällen) per telnet zugreifen können.
Eine der Fritzboxen muss außerdem VoIP machen dürfen.
Es gibt ein VPN (mit openvpn) auf einder der Boxen sowie dyndns.
Kann mir jemand geeignete Geräte empfehlen und evtl. weitere Tipps zum
Konzept.
Hauptziel ist, dass die WLAN Benutzer nut noch im Internet surfen und
Email benutzen können. Filesharing soll zuverlässig unterbunden werden.
Danke im Voraus und Gruß
Martin
PS:
Mit Netzwerkkonfigurationen kenne ich mich soweit aus. In die
Konfiguration einer Firewall kann ich mich, denke ich, einarbeiten.
Kommandozeile ist für mich kein Problem; ist mir oft lieber als ein
Webinterface.
--
perl -e '$S=[[73,116,114,115,31,96],[108,109,114,102,99,112],
[29,77,98,111,105,29],[100,93,95,103,97,110]];
for(0..3){for$s(0..5){print(chr($S->[$_]->[$s]+$_+1))}}'
Message has been deleted
Martin
Feb 24, 2013, 1:49:08 AM2/24/13
to
Heiko Schlenker wrote :
> * Martin <m...@gmx.de> schrieb:
> 08/15-Filesharing-Benutzern das Leben etwas schwerer zu machen. Siehe
> auch: <http://www.heise.de/ct/hotline/Filesharing-blockieren-1436278.html>
Danke.
Mir ist klar, dass es den absoluten Schutz nicht gibt.
Ich möchte aber zumindest machen, was mit vertretbarem Aufwand möglich
ist.
> Ich denke, dass vor allem ein soziales Problem vorliegt. Den "Gästen"
> sollte klar gemacht werden, was erlaubt ist und was nicht, und welche
> Folgen Zuwiderhandlungen haben.
Entsprechende Information ist wichtig, aber eine rundum Überwachung geht
nicht. Ich will mal so sagen: Die Einflussmöglichkeiten auf das
Verhalten anderer sind nicht unbegrenzt. Wer Kinder hat (oder selbst mal
Kind war) weiß das.
> Eigentlich sollte ein personalisierter WLAN-Zugang per RADIUS
> abschreckend genug sein, weil das die Identifizierung der Unholde
> ermöglicht ...
Das klingt interessant.
Da werde ich mich mal genauer darüber informieren.
Danke und Gruß
Martin
> * Martin <m...@gmx.de> schrieb:
>> Filesharing soll zuverlässig unterbunden werden.
>
> [...]
>
> 08/15-Filesharing-Benutzern das Leben etwas schwerer zu machen. Siehe
> auch: <http://www.heise.de/ct/hotline/Filesharing-blockieren-1436278.html>
Danke.
Mir ist klar, dass es den absoluten Schutz nicht gibt.
Ich möchte aber zumindest machen, was mit vertretbarem Aufwand möglich
ist.
> Ich denke, dass vor allem ein soziales Problem vorliegt. Den "Gästen"
> sollte klar gemacht werden, was erlaubt ist und was nicht, und welche
> Folgen Zuwiderhandlungen haben.
Entsprechende Information ist wichtig, aber eine rundum Überwachung geht
nicht. Ich will mal so sagen: Die Einflussmöglichkeiten auf das
Verhalten anderer sind nicht unbegrenzt. Wer Kinder hat (oder selbst mal
Kind war) weiß das.
> Eigentlich sollte ein personalisierter WLAN-Zugang per RADIUS
> abschreckend genug sein, weil das die Identifizierung der Unholde
> ermöglicht ...
Das klingt interessant.
Da werde ich mich mal genauer darüber informieren.
Danke und Gruß
Martin
Message has been deleted
Manuel Reimer
Feb 24, 2013, 11:53:54 AM2/24/13
to
Heiko Schlenker wrote:
> Tja, falls Du eine zuverlässige Methode finden kannst, käme das einer
> Gelddruckmaschine gleich. ;-)
Eventuell alles dichtmachen und nur HTTP-Traffic über einen transparenten Proxy
zulassen?
Alles was sich nicht an HTTP hält ist ab dann tot. Mail geht aber natürlich dann
nurnoch via Webmail.
Wenn man den Proxy nicht transparent macht (Zwang diesen im Browser
einzutragen), dann kann man am Proxy auch eine Authentifizierung erzwingen.
Unabhängig davon: Bei der derzeitigen Rechtslage würde ich generell kein WLAN
für jedermann anbieten. Wer ins Internet will soll einen Surfstick mitbringen.
Gruß
Manuel
> Tja, falls Du eine zuverlässige Methode finden kannst, käme das einer
> Gelddruckmaschine gleich. ;-)
Eventuell alles dichtmachen und nur HTTP-Traffic über einen transparenten Proxy
zulassen?
Alles was sich nicht an HTTP hält ist ab dann tot. Mail geht aber natürlich dann
nurnoch via Webmail.
Wenn man den Proxy nicht transparent macht (Zwang diesen im Browser
einzutragen), dann kann man am Proxy auch eine Authentifizierung erzwingen.
Unabhängig davon: Bei der derzeitigen Rechtslage würde ich generell kein WLAN
für jedermann anbieten. Wer ins Internet will soll einen Surfstick mitbringen.
Gruß
Manuel
Juergen P. Meier
Feb 25, 2013, 12:02:49 AM2/25/13
to
Manuel Reimer <Manuel.N...@nurfuerspam.de>:
> Unabhï¿œngig davon: Bei der derzeitigen Rechtslage wï¿œrde ich generell kein WLAN
> fï¿œr jedermann anbieten. Wer ins Internet will soll einen Surfstick mitbringen.
Es gibt Dienstleister, die einem diese Rechtsunsicherheit gegen Einwurf*
kleiner Scheine abnehmen. Ist fuer Firmen* durchaus interessant so
ihren Kunden Internet per WLAN anzubieten, ohne selbst das rechtl. Risiko
tragen zu muessen.
* verschiedene Modelle: pauschal oder Endkunde zahlt selbst.
* jeder Groesse
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
> Unabhï¿œngig davon: Bei der derzeitigen Rechtslage wï¿œrde ich generell kein WLAN
> fï¿œr jedermann anbieten. Wer ins Internet will soll einen Surfstick mitbringen.
Es gibt Dienstleister, die einem diese Rechtsunsicherheit gegen Einwurf*
kleiner Scheine abnehmen. Ist fuer Firmen* durchaus interessant so
ihren Kunden Internet per WLAN anzubieten, ohne selbst das rechtl. Risiko
tragen zu muessen.
* verschiedene Modelle: pauschal oder Endkunde zahlt selbst.
* jeder Groesse
Juergen
--
Juergen P. Meier - "This World is about to be Destroyed!"
end
If you think technology can solve your problems you don't understand
technology and you don't understand your problems. (Bruce Schneier)
Siegfried Schmidt
Feb 25, 2013, 6:57:27 PM2/25/13
to
Martin schrieb:
> Kann mir jemand geeignete GerÀte empfehlen und evtl. weitere Tipps
> werden.
Wenn man Zugï¿œnge anbieten will begibt man sich als Anschlussinhaber am
einfachsten unter den Schutz des TKG und wird offizieller
Teilnehmernetzbetreiber. Als solcher ist es nicht mehr dein Problem wenn
Kunden ihre Verbindung miï¿œbrauchen, was du technisch sowieso nicht sicher
unterbinden kannst.
Dazu muss man sich nach ᅵ6 TKG lediglich bei der Bundesnetzagentur
anmelden, das Formular gibts auf deren Homepage. Ein Blick in die Liste der
gemeldeten Anbieter zeigt, dass neben den ï¿œblichen Dienstleistern auch
viele kleine Firmen, Hotels, Gï¿œstehï¿œuser und Bï¿œckereien usw. diesen Weg
gewï¿œhlt haben.
Bedingung ist, dass das Angebot gewerblich und ï¿œffentlich ist, d.h. der
Teilnehmerkreis nicht eingeschrï¿œnkt wird und zumindest die Absicht zur
Kostendeckung vorliegt.
Siegfried
> Kann mir jemand geeignete GerÀte empfehlen und evtl. weitere Tipps
> zum Konzept.
> Hauptziel ist, dass die WLAN Benutzer nut noch im Internet surfen und
> Email benutzen können. Filesharing soll zuverlÀssig unterbunden
> Hauptziel ist, dass die WLAN Benutzer nut noch im Internet surfen und
> werden.
Wenn man Zugï¿œnge anbieten will begibt man sich als Anschlussinhaber am
einfachsten unter den Schutz des TKG und wird offizieller
Teilnehmernetzbetreiber. Als solcher ist es nicht mehr dein Problem wenn
Kunden ihre Verbindung miï¿œbrauchen, was du technisch sowieso nicht sicher
unterbinden kannst.
Dazu muss man sich nach ᅵ6 TKG lediglich bei der Bundesnetzagentur
anmelden, das Formular gibts auf deren Homepage. Ein Blick in die Liste der
gemeldeten Anbieter zeigt, dass neben den ï¿œblichen Dienstleistern auch
viele kleine Firmen, Hotels, Gï¿œstehï¿œuser und Bï¿œckereien usw. diesen Weg
gewï¿œhlt haben.
Bedingung ist, dass das Angebot gewerblich und ï¿œffentlich ist, d.h. der
Teilnehmerkreis nicht eingeschrï¿œnkt wird und zumindest die Absicht zur
Kostendeckung vorliegt.
Siegfried
Juergen P. Meier
Feb 26, 2013, 12:29:27 AM2/26/13
to
begin 1 followup to Siegfried Schmidt <usen...@shivasoft.de>:
> Dazu muss man sich nach ᅵ6 TKG lediglich bei der Bundesnetzagentur
> anmelden, das Formular gibts auf deren Homepage. Ein Blick in die Liste der
> gemeldeten Anbieter zeigt, dass neben den ï¿œblichen Dienstleistern auch
> viele kleine Firmen, Hotels, Gï¿œstehï¿œuser und Bï¿œckereien usw. diesen Weg
> gewï¿œhlt haben.
>
> Bedingung ist, dass das Angebot gewerblich und ï¿œffentlich ist, d.h. der
> Teilnehmerkreis nicht eingeschrï¿œnkt wird und zumindest die Absicht zur
> Kostendeckung vorliegt.
Dir ist schon klar, dass du dann auch alle anderen Anforderungen an
einen TK-Dienstleister erfuellen musst?
> Martin schrieb:
>
>> Kann mir jemand geeignete GerÀte empfehlen und evtl. weitere Tipps
>> zum Konzept.
>> Hauptziel ist, dass die WLAN Benutzer nut noch im Internet surfen und
>> Email benutzen können. Filesharing soll zuverlÀssig unterbunden
>> werden.
>
> Wenn man Zugï¿œnge anbieten will begibt man sich als Anschlussinhaber am
> einfachsten unter den Schutz des TKG und wird offizieller
"einfach"? Was hast du geraucht?
>
>> Kann mir jemand geeignete GerÀte empfehlen und evtl. weitere Tipps
>> zum Konzept.
>> Hauptziel ist, dass die WLAN Benutzer nut noch im Internet surfen und
>> Email benutzen können. Filesharing soll zuverlÀssig unterbunden
>> werden.
>
> Wenn man Zugï¿œnge anbieten will begibt man sich als Anschlussinhaber am
> einfachsten unter den Schutz des TKG und wird offizieller
> Dazu muss man sich nach ᅵ6 TKG lediglich bei der Bundesnetzagentur
> anmelden, das Formular gibts auf deren Homepage. Ein Blick in die Liste der
> gemeldeten Anbieter zeigt, dass neben den ï¿œblichen Dienstleistern auch
> viele kleine Firmen, Hotels, Gï¿œstehï¿œuser und Bï¿œckereien usw. diesen Weg
> gewï¿œhlt haben.
>
> Bedingung ist, dass das Angebot gewerblich und ï¿œffentlich ist, d.h. der
> Teilnehmerkreis nicht eingeschrï¿œnkt wird und zumindest die Absicht zur
> Kostendeckung vorliegt.
einen TK-Dienstleister erfuellen musst?
Siegfried Schmidt
Feb 26, 2013, 2:51:57 AM2/26/13
to
Juergen P. Meier schrieb:
> Dir ist schon klar, dass du dann auch alle anderen Anforderungen an
> einen TK-Dienstleister erfuellen musst?
Man muss natï¿œrlich nicht alle anderen Anforderungen erfï¿œllen, wie kommst du
nur darauf?
Der OP wï¿œrde wahrscheinlich vor Freude hï¿œpfen, wenn die Anforderungen nach
TKï¿œV fï¿œr ihn zutrï¿œfen - immerhin hï¿œtte er dann mindestens 10.000 Betten
belegt und wï¿œre schon Millionï¿œr.
Siegfried
> Dir ist schon klar, dass du dann auch alle anderen Anforderungen an
> einen TK-Dienstleister erfuellen musst?
nur darauf?
Der OP wï¿œrde wahrscheinlich vor Freude hï¿œpfen, wenn die Anforderungen nach
TKï¿œV fï¿œr ihn zutrï¿œfen - immerhin hï¿œtte er dann mindestens 10.000 Betten
belegt und wï¿œre schon Millionï¿œr.
Siegfried
Juergen P. Meier
Feb 27, 2013, 12:03:11 AM2/27/13
to
begin 1 followup to Siegfried Schmidt <usen...@shivasoft.de>:
> Juergen P. Meier schrieb:
>
>> Dir ist schon klar, dass du dann auch alle anderen Anforderungen an
>> einen TK-Dienstleister erfuellen musst?
>
> Man muss natï¿œrlich nicht alle anderen Anforderungen erfï¿œllen, wie kommst du
> nur darauf?
Ey, frag das mal deinen Anwalt. Der wird dir erklaeren, dass du dir
>
>> Dir ist schon klar, dass du dann auch alle anderen Anforderungen an
>> einen TK-Dienstleister erfuellen musst?
>
> Man muss natï¿œrlich nicht alle anderen Anforderungen erfï¿œllen, wie kommst du
> nur darauf?
nicht einfach nur die Rosinen rauspicken kannst.
> Der OP wï¿œrde wahrscheinlich vor Freude hï¿œpfen, wenn die Anforderungen nach
> TKï¿œV fï¿œr ihn zutrï¿œfen - immerhin hï¿œtte er dann mindestens 10.000 Betten
> belegt und wï¿œre schon Millionï¿œr.
Siegfried Schmidt
Feb 27, 2013, 1:28:39 PM2/27/13
to
Juergen P. Meier schrieb:
> Ah, du faselst und hast ansonsten keine Ahnung.
Das Beispiel war ein Fliegenfï¿œnger, dein Klebenbleiben macht deutlich,
dass dir der Inhalt der genannten Norm vï¿œllig unbekannt ist.
Wenn du irgendwas substanzielles einwenden kannst kï¿œnnen wir gerne darï¿œber
diskutieren, aber bestimmt nicht in diesem Ton.
Siegfried
> Ah, du faselst und hast ansonsten keine Ahnung.
dass dir der Inhalt der genannten Norm vï¿œllig unbekannt ist.
Wenn du irgendwas substanzielles einwenden kannst kï¿œnnen wir gerne darï¿œber
diskutieren, aber bestimmt nicht in diesem Ton.
Siegfried
Juergen Ilse
Feb 27, 2013, 5:32:49 PM2/27/13
to
Hallo,
Er hat aber recht: Wenn du erfolgreich einen solchen Antrag durchbekommen
hast *bist* du TK-Dienstleister mit allen dazugehoerigen Pflichten. Die
Pflicht zur verdachtsunabhaengigen VDS gehiert zwar nicht dazu, aber die
gehoerte niemals fuer *jeden* TK-Dienstleister dazu (aktuell ist sie gar
nicht vorhanden, auch wenn einige sie lieber heute als morgen wieder
haetten). Zu den Pflichten eines TK-Doenstleisters gehoert aber wohl
noch mehr als VDS ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
hast *bist* du TK-Dienstleister mit allen dazugehoerigen Pflichten. Die
Pflicht zur verdachtsunabhaengigen VDS gehiert zwar nicht dazu, aber die
gehoerte niemals fuer *jeden* TK-Dienstleister dazu (aktuell ist sie gar
nicht vorhanden, auch wenn einige sie lieber heute als morgen wieder
haetten). Zu den Pflichten eines TK-Doenstleisters gehoert aber wohl
noch mehr als VDS ...
Tschuess,
Juergen Ilse (jue...@usenet-verwaltung.de)
--
Ein Domainname ist nur ein Name, nicht mehr und nicht weniger.
Wer mehr hineininterpretiert, hat das Domain-Name-System nicht
verstanden.
Siegfried Schmidt
Feb 27, 2013, 7:16:06 PM2/27/13
to
Juergen Ilse schrieb:
> Er hat aber recht: Wenn du erfolgreich einen solchen Antrag
> durchbekommen hast *bist* du TK-Dienstleister mit allen dazugehoerigen
> Pflichten.
Ich weis nicht was du dir vorstellst, man muss keinen "Antrag erfolgreich
durchbekommen". Es ist lediglich eine Meldung, ab welchen Datum ein Hotspot
betrieben wird und damit ist eine wesentliche Pflicht schon erledigt.
> Zu den Pflichten eines
> TK-Doenstleisters gehoert aber wohl noch mehr als VDS ...
Dann mach doch mal Butter zu den Fischen und nenne eine dieser
Verpflichtung, die er als Betreiber eines ï¿œffentlichen Hotspots
hinzubekommt.
Aber bitte nicht eine, die er als gewerblicher*) nichtï¿œffentlicher
Verteiler nicht schon lï¿œngst hat.
Siegfried
*) immer vorausgesetzt, dass mit "Internet fï¿œr Gï¿œste" nicht das ï¿œbernachten
der Verwandtschaft gemeint ist
> Er hat aber recht: Wenn du erfolgreich einen solchen Antrag
> durchbekommen hast *bist* du TK-Dienstleister mit allen dazugehoerigen
> Pflichten.
durchbekommen". Es ist lediglich eine Meldung, ab welchen Datum ein Hotspot
betrieben wird und damit ist eine wesentliche Pflicht schon erledigt.
> Zu den Pflichten eines
> TK-Doenstleisters gehoert aber wohl noch mehr als VDS ...
Verpflichtung, die er als Betreiber eines ï¿œffentlichen Hotspots
hinzubekommt.
Aber bitte nicht eine, die er als gewerblicher*) nichtï¿œffentlicher
Verteiler nicht schon lï¿œngst hat.
Siegfried
*) immer vorausgesetzt, dass mit "Internet fï¿œr Gï¿œste" nicht das ï¿œbernachten
der Verwandtschaft gemeint ist
Andreas Cammin
Feb 28, 2013, 1:26:26 AM2/28/13
to
Am 23.02.2013 20:03, schrieb Martin:
> ich helfe meinem Bruder bei der Verwaltung eines WLAN Netzes, in dem
> Gäste auf bestimmte Zeit über WLAN Zugriff auf das Internet erhalten
> sollen.
Wenn der Spass ein bisschen was kosten darf wäre vielleicht ein "Network
> ich helfe meinem Bruder bei der Verwaltung eines WLAN Netzes, in dem
> Gäste auf bestimmte Zeit über WLAN Zugriff auf das Internet erhalten
> sollen.
Access Controller" was. Kostet in der kleinsten Version immer noch
weniger als EIN Brief vom Anwalt...
http://www.securepoint.de/produkte-wlan-network-access-controller.html
Eine entsprechende rechtliche Beratung wäre auch angebracht, auch wenn
du dann möglicherweise darauf verzichtest, fremden Leuten WLAN
anzubieten... :D
Andreas
0 new messages