controle van internet gebruik in eigen netwerk

Onderwerpen die nergens anders thuis horen en toch eerder technisch van aard zijn? Post ze hier!
Plaats reactie
ygeffens
Elite Poster
Elite Poster
Berichten: 1544
Lid geworden op: 08 sep 2011, 19:19
Locatie: Arendonk
Uitgedeelde bedankjes: 131 keer
Bedankt: 94 keer

Hi

Ik gebruikte tot voor kort Disney Circle om het internet gebruik hier in huis 'een beetje te beperken'.

Mogelijkheden:
- verschillende profielen (ken een specifiek toestel aan een persoon toe)
- begin- en eindtijd tijdens week en weekend
- tijdslimiet per type toepassing (mail, edu, music, news, ...)
- overzicht van de bezochte sites, alsook van de gefilterde sites (dit laatste is best handig om nieuwsgierige tieners een beetje te kunnen volgen
- safe search

Met profielen kan je creatief omgaan. Zo heb ik elke persoon een profiel gegeven voor hun gsm+tablet, maar ook een extra profiel voor de huiswerk computer, en 1 voor de playstation. Zo kan je dat niet laten meetellen in hun "eigen" dagelijks verbruik.

De Circle maakt gebruik van arp-spoofing (?) om de boel te blokkeren. Je moet het toestel immers niet tussen de router en de rest van je netwerk zetten, en toch doet het zijn ding.

Met de overstap van Orange naar EDPnet had ik terug de mogelijkheid mijn vroegere Synology Router RT2600 in gebruik te nemen.
Ook daarin zit een beheersmogelijkheid: Safe Access:
- verschillende profielen (met dezelfde truc voor de playstation en de huiswerk computer)
- tijd waarin gebruik mag gemaakt worden is per 15 minuten in te stellen op een matrix, waardoor je heel eenvoudig meerdere blokken tijd kan instellen (bvb 1 voor 's ochtends, ook al staan ze op, ze kunnen er pas op 15 minuten voor vertrek naar school; bij het thuiskomen, en voor na het eten).
- totale tijd per dag
- webfilter (wat is toegestaan: expliciet materiaal voor het ene profiel wel, voor het andere niet); maar dit verbruikt veel resources van de router, waardoor die snel gaat hangen, met alle gevolgen van dien; voor mij die deze functie niet bruikbaar.
- safe search

Wat ik zou willen is best of both, met zeker deze extra's:
- 's ochtends moeten ze kunnen chatten (om af te spreken wanneer ze samenkomen om verder te fietsen), maar video moet zeker niet kunnen
- 's avonds moet video wel kunnen
- het tijdsgebruik van de Synology
- gefilterde sites van de Circle

Bestaat er iets dat je bvb kan runnen op een Pi, gelijkaardig aan PiHole, maar dan specifiek voor bovenstaande toepassing?
Of zijn er alternatieven voor Circle (maar dan moet ik weer iets nieuw kopen) ?
Het liefst iets dat "niet al te veel kost", niet gebaseerd is op een subscription model, en niet beperkt is voor een aantal toestellen of voor een specifiek type van toestellen (enkel iDevice, daar waar ik het dus ook voor de PS4, enz wil kunnen gebruiken).

Graag had ik het beperkt tot het zoeken van een oplossing hiervoor, en wil ik niet vervallen in een discussie of het al dan niet kan dat ik de kinderen in het oog hou. Het is een wel overwogen beslissing om dat te doen.
I'm a bilingual. I'm a bilingual illiterate. I can't read in two languages.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Wat ik een beetje mis in je vraag is de specifieke dingen die je zou willen doen, met dat Disney ding of die router, dat je er niet mee kan doen.
Maw waarom gebruik je die Disney niet meer, en waarom voldoet de router ook niet?

Enkele tech notes:
Arp spoofing is niet direct iets dat ik graag zie op een netwerk; altijd opletten wanneer je je netwerk gaat misbruiken.
Besef dat kinderen met hun gsms op een bepaald moment data via cellular gaan hebben, en dat ze dan ineens volledig "off the leash" zijn.
Besef bij dat laatste ook dat (bij meerdere kinderen van ongeveer dezelfde leeftijd) de oudste zijn data abbo (van zodra hij/zij er een heeft) kan gebruiken als hotspot voor de rest (maw je control werkt alleen maar zolang je ze allemaal nog onder controle hebt).
ygeffens
Elite Poster
Elite Poster
Berichten: 1544
Lid geworden op: 08 sep 2011, 19:19
Locatie: Arendonk
Uitgedeelde bedankjes: 131 keer
Bedankt: 94 keer

ITnetadmin schreef:Wat ik een beetje mis in je vraag is de specifieke dingen die je zou willen doen, met dat Disney ding of die router, dat je er niet mee kan doen.
Maw waarom gebruik je die Disney niet meer, en waarom voldoet de router ook niet?
De Circle kan geen tijdsquota per dag maar enkel "op weekdagen" of "tijdens het weekend".
Wat ik wil is zeer specifiek, maar het kan ook met de Synology.
Woensdag mag onze zoon 1u30 op zijn PS4, tussen 18 en 22u
Vrijdag mag hij "onbeperkt" op zijn PS4, tussen 17 en 23u
Zaterdag mag hij 2u30 op zijn PS4, tussen 17 en 23u

Ik zou niet weten hoe ik dat ingesteld moet krijgen in de Circle.
ITnetadmin schreef: Enkele tech notes:
Arp spoofing is niet direct iets dat ik graag zie op een netwerk; altijd opletten wanneer je je netwerk gaat misbruiken.
Besef dat kinderen met hun gsms op een bepaald moment data via cellular gaan hebben, en dat ze dan ineens volledig "off the leash" zijn.
Besef bij dat laatste ook dat (bij meerdere kinderen van ongeveer dezelfde leeftijd) de oudste zijn data abbo (van zodra hij/zij er een heeft) kan gebruiken als hotspot voor de rest (maw je control werkt alleen maar zolang je ze allemaal nog onder controle hebt).
Het is ook die arp spoofing die de Synology in de war brengt volgens mij. Zodra ik die Circle inschakel dan ziet de Synology geen gebruik van de toestellen die onder een bepaald profiel van een gebruiker zitten.
Maak in een profiel op de Synology aan waarin enkel de Circle zit, dan is die wel zeer busy.

Ik weet dat ze idd een hotspot kunnen opzetten, of misschien zelfs eens login van een vriend voor Proximus gebruiken (onze buren hun wifi is heel goed te ontvangen). Maar op die iDevices heb je schermtijd, en dat beperken valt best mee.


Los van het bovenstaande ben ik dus benieuwd of er niet iets bestaat dat op een eigen toesten kan draaien.
I'm a bilingual. I'm a bilingual illiterate. I can't read in two languages.
KerberosX
Plus Member
Plus Member
Berichten: 110
Lid geworden op: 12 jun 2010, 22:37
Uitgedeelde bedankjes: 7 keer
Bedankt: 20 keer

Met alle respect hoor, maar dat klinkt redelijk fel als een dictatuur met totaal gebrek aan privacy. Hier worden de kinderen opgevoed, en voor de rest is het dan "hope for the best". Denk dat dat veel constructiever zal zijn naar de toekomst toe.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Ik denk dat je zoiets best op een router draait, of tenminste een toestel dat als default gateway ingesteld kan worden (aka een proxy), dan gaat je netwerk terug stabiel zijn.
Ik zal ns rondneuzen naar een DIY oplossing, als dat een optie is?
CCatalyst
Elite Poster
Elite Poster
Berichten: 8274
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 527 keer
Recent bedankt: 13 keer

ygeffens schreef: Ik zou niet weten hoe ik dat ingesteld moet krijgen in de Circle.
Off Time (die wel granulair per dag werkt) in combinatie met time limits?
ygeffens schreef:Het is ook die arp spoofing die de Synology in de war brengt volgens mij. Zodra ik die Circle inschakel dan ziet de Synology geen gebruik van de toestellen die onder een bepaald profiel van een gebruiker zitten.
Idd, want die passeren dan ook niet meer langs de Synology als de Circle begint ARPs te spoofen.
ygeffens schreef:Los van het bovenstaande ben ik dus benieuwd of er niet iets bestaat dat op een eigen toesten kan draaien.
De Circle op NETGEAR router zou iig veel performanter moeten zijn daar er geen ARP spoofing is en dus geen heen en weer gesjouw van data op het LAN.

Reden dat ik bij de Circle blijf is dat er AFAIK momenteel niets beters op de markt is. Maw het is dat of je moet DIY iets in elkaar knutselen.
ygeffens
Elite Poster
Elite Poster
Berichten: 1544
Lid geworden op: 08 sep 2011, 19:19
Locatie: Arendonk
Uitgedeelde bedankjes: 131 keer
Bedankt: 94 keer

En die Circle op Netgear zal wel betalend zijn na 1 jaar zoals de nieuwe Circle ook is?
Het abo voor de Gen2 is dacht ik 10 euro/maand wanneer je bediening wenst met een app op een mobiel toestel.
Ik heb nog een Gen1.

DIY lijkt me interessant, maar:
- wanneer ik mijn router wil blijven gebruiken, dan is er niet veel anders mogelijk dan een Circle-like device te maken (dat via arp-spoofing werkt)
- wanneer ik iets wil dat ook kan routen, en toch DIY is, dan moet je wrsch al iets gelijkaardig als OpenWRT vinden, een router die dat aan kan, en dan moet die uitbreiding ook nog eens voor dat OpenWRT-achtig platform beschikbaar zijn.

Ik blijft mijn Synology leuk vinden, of er moet hier nu iemand zeggen: ik koop em :-)
(maar eerst een oplossing voor die controle).
I'm a bilingual. I'm a bilingual illiterate. I can't read in two languages.
Tomsworld
Elite Poster
Elite Poster
Berichten: 2656
Lid geworden op: 29 jan 2004, 10:15
Uitgedeelde bedankjes: 85 keer
Bedankt: 231 keer

Sophos XG home edition

https://www.sophos.com/en-us/products/f ... ition.aspx

Kan veel hiervan, maar nadeel full urm dus een redelijk pc nodig als router.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

ygeffens schreef:DIY lijkt me interessant, maar:
- wanneer ik mijn router wil blijven gebruiken, dan is er niet veel anders mogelijk dan een Circle-like device te maken (dat via arp-spoofing werkt)
Absoluut niet.
Dat is een totale misvatting (tot op zekere hoogte).
Al wat je moet doen is een toestel gebruiken dat de data zoals een proxy kan doorsturen naar je router.
Je DHCP server stel je dan zodanig in dat hij aan alle toestellen op het netwerk vertelt dat de filter proxy de default gateway is, door diens IP mee te geven.

Het enige waar je voor moet op letten is dat de kinderen niet aan de netwerkinstellingen van hun devices kunnen, want als ze wél zelf een default gateway kunnen opgeven, kunnen ze je filter bypassen.
Uiteraard is ook dat laatste oplosbaar; als je een *goeie* router hebt met een echte firewall (die dus ook van binnen naar buiten kan filteren) kan je die dan wel instellen dat enkel verkeer vanuit de proxy naar buiten mag, en vanuit geen enkel ander device (desgewenst kan je ook de ouderlijke devices zo whitelisten).

Router en filter in 1 is wel de makkelijkste oplossing qua config, maar een aparte unit hoeft dus duidelijk geen onoverkomelijk issue te zijn.
Check anders ns of pfsense met bv een squid proxy of een ander pakketje voldoet?

Een andere oplossing is met een aparte wifi SSID voor de kinderen werken, die dan mbv een schedule aan en uitgaat op bepaalde dagen/uren.
Je hebt wel een AP nodig die zo'n schedule aankan, en het werkt uiteraard alleen maar voor wifi devices.
Het kan ook niet differentieren tussen je kinderen, dus 1 ruleset voor iedereen.
ygeffens
Elite Poster
Elite Poster
Berichten: 1544
Lid geworden op: 08 sep 2011, 19:19
Locatie: Arendonk
Uitgedeelde bedankjes: 131 keer
Bedankt: 94 keer

Ok, dat wist ik niet.
Maw, ik zou die proxy gewoon in mijn switch kunnen prikken, en die het werk verder laten doen (dus een toestel met 1 netwerkpoort zoals de Circle is voldoende?). In dat geval zou ik een oude mac mini kunnen gebruiken die ik hier nog heb.

De kennis is er bij de kinderen zeker niet om dingen in networking aan te passen. En zover wil ik het ook niet laten gaan.
Het gaat er mij vooral op om een eenvoudige beperking op te kunnen leggen die "hen helpt" zich aan de regels te houden.
Zoals hier boven even werd aangehaald, het is hier geen dictatuur, maar als er zulke devices bestaan, dan kunnen ze wel een goeie zet in de juiste richting geven.

Wat je schrijft, begrijp ik.
Het voorstel van de Sophos Home Firewall XG heb ik ook bekeken (demo account online).
Van de mogelijkheden die daar in zitten begrijp ik voor 2/3 wel wat ze doen, maar om dat allemaal zelf te gaan instellen, dat gaat m'n petje te boven. Er hulp voor inroepen wil ik ook niet doen. Ik zoek iets dat door mij zelf op te zetten is voor 95% en die laatste 5% google ik wel.
Zodra het dus te complex is in de basis (naar mijn gevoel) ga ik het dus niet doen. En daar valt die Sophos onmiddellijk af (al vind ik het aanbod dat ze doen naar thuis gebruik wel knap).

Die proxy is misschien nog te overwegen, mocht ik ook daar een online demo van vinden. Dan is nog maar de vraag, gaat die alle beperkingen en mogelijke combinaties die ik wil kunnen instellen. Alle tips in die richting zijn welkom.

Kom ik er niet uit, dan denk ik dat ik de beperkingen in de Synology terug uitschakel en me mits creatief om te springen met off time en andere mogelijke uitsluitingen, zo dicht mogelijk zal proberen te komen bij wat ik wil.
I'm a bilingual. I'm a bilingual illiterate. I can't read in two languages.
Plaats reactie

Terug naar “Allerlei”