Ubiquiti’s UniFi Dream Router? Content filtering?
Hallo an alle Experten.
Wir haben eine FritzBox7590. Am Ethernetport 4, dank eines 25m CAT7 Kabel, hängt, 30m weiterh im Gästesaal, ein Dreamrouter. Den haben wir Konfiguriert, Guest WIFI eingerichtet. Fertig. Alles läuft.
Wir müssen nun dringend dubiose Websites für das Guest WIFI sperren. Wir finden keine passablen Einstellungen. Ich habe mal gelesen daß der Einsatz eines RasPI die Lösung ist, stimmt das?
Wer kann uns helfen ?
Vielen lieben Dank im Voraus.
3 Antworten
Wenn man es sich einfach machen will schaltet einfach einen PC mit Linux Distri zwischen die Verbindung , Konfiguriert die Firewall im Linux PC entsprechend und das Problem ist vom Tisch. Der PC muss dann natürlich 2 Schnittstellen für Lan haben , 2 Netzwerkkarten also eine On Board und eine gesteckt auf PCIe wären eine der Lösungen .
Wir haben eine FritzBox7590. Am Ethernetport 4, dank eines 25m CAT7 Kabel, hängt, 30m weiterh im Gästesaal, ein Dreamrouter. Den haben wir Konfiguriert, Guest WIFI eingerichtet. Fertig. Alles läuft.
Versteh ich das richtig, ihr lasst den Dream Router allein als Access Point laufen? Etwas overkill und es gäbe weitaus günstigere Lösungen für, wenn man die Funktionen des Routers nicht nutzt.
Euch ist hoffentlich auch bewusst, dass Geräte aus dem Netz des Dream Routers prinzipiell problemlos auf alle Geräte aus dem Netz der Fritzbox zugreifen können, wenn es nicht durch weitere Firewallregeln geblockt wird? Es macht da weniger Sinn, den alleine für ein Gästenetz zu nutzen.
Wir müssen nun dringend dubiose Websites für das Guest WIFI sperren. Wir finden keine passablen Einstellungen. Ich habe mal gelesen daß der Einsatz eines RasPI die Lösung ist, stimmt das?
Erstmal vorweg: Ich nutze selbst keinen Router von Unifi, sondern setze persönlich auf OPNsense, aber grundsätzlich kann ich Input liefern.
Prinzipiell hast du zwei Möglichkeiten. Die eine ist die Nutzung eines Paketfilters. Du blockierst einfach alle Pakete, die von Quelle x kommen. Du bräuchtest halt eine Filterliste, die sich regelmäßig aktualisiert und ich weiß nicht, wie gut sich das in dem OS integrieren lässt, denn du müsstest auch die Paketfilter-Regeln anpassen. Performancetechnisch ist es auch aufwändiger.
Die andere, die einfacher umzusetzen ist und performanter sein wird, ist ein DNS-Filter. Kommunikation im Internet läuft per IP-Adressen und die Domains wie z.B. gutefrage.net sind, einfach gesagt, nur ein "Alias". Zur Übersetzung von Domains zur dahinterliegenden IP dienen DNS-Server über verschiedene Stufen, die eben die Namen auflösen. Hostest du selbst einen DNS-Server, kannst du auch Einträge überschreiben und bekannte Werbe-Domains ins Nichts laufen lassen - das ist das, was du mit dem Raspberry Pi gelesen hast: Die Nutzung von PiHole.
Ich weiß nicht, ob Ubiquiti da PiHole oder Adguard oder was auch immer inzwischen integriert hat, ich glaube es aber weniger. Du könntest dann einfach PiHole oder Adguard auf einem Raspberry Pi oder einem anderen Rechner (oder gar in einer VM) laufen lassen und auf der Dream Machine den primären DNS-Server auf den alternativen DNS-Server setzen.
Optimalerweise setzt du auch noch Regeln um, dass alle Geräte im Gastnetzwerk nur diesen DNS-Server nutzen dürfen
"dank eines cat7". Aufklärung schon seit cat5 (wenn nicht schon früher) gehen längen bis 100m. Also ist das nicht der Verdienst der cat7-Spezifikation
Du kannst einfach dem gäste-system ne black- oder White-List zuweisen
Oder du sperrst entsprechend den "drramrouter" (was immer das auch ein Router sein soll).
Ich hoffe ihr konfiguriert den Router um zum Accesspoint
Kenn ich dennoch nicht
Davon Mal ab, kannst ja dann dem FS erklären wie er den Router zum AP umkonfiguriert und wie man das WLAN beschränkt
Kenn ich dennoch nicht
Ubiquiti ist relativ bekannt, wenn man etwas aus dem Consumer-Bereich rausgeht - insbesondere in der Homelab-Szene. Aber klar, muss man nicht unbedingt kennen.
Davon Mal ab, kannst ja dann dem FS erklären wie er den Router zum AP umkonfiguriert und wie man das WLAN beschränkt
Erstmal jain, ich nutz selbst keine Router von Ubiquiti (setze eher auf OPNsense). Prinzipiell ist es auch relativ verschwendet, den DreamRouter als AP zu nutzen, und iirc gibt es in deren OS auch keine Möglichkeit dafür, das einzustellen - da einfach der Use Case so nicht für diese Maschine gedacht ist, der eigentliche Zweck ist tatsächlich, ein Router zu sein.
Es würde sogar eher Sinn machen, es andersrum aufzubauen: Den Dream Router als äußeres Gateway und Hauptrouter und die Fritzbox als Client dran.
WLAN-Beschränkung kann begrenzt eingestellt werden (z.B., dass Clients nicht miteinander reden können, sondern über den Router gehen), aber in dem Aufbau und ohne weitere Regeln können alle Clients aus dem Netz des DreamRouters auf Clients vom Netz der FritzBox zugreifen.
Da müssen dann extra Firewall-Regeln eingestellt werden, die dies unterbinden - was beim DreamRouter geht.
EIn Router mit weitaus mehr Optionen als eine FritzBox