UTM Internetzugriff mit Zeitkontingent

Servus,

Ich sehe gerade den Wald vor lauter Baumen nicht.

Seit 4 Tagen beschäftige ich mich mit der UTM Home.

Als FW nutze ich ein PC mit 2 Nics.

Der Router (Fritzbox) ist der UTM vorgeschaltet.

WLAN kommt aus Aruba APs.

Es wird ein VLAN fähiger poe Switch benutzt.

Grundsätzlich bin ich sehr schnell als Ziel gekommen.

Offen ist nur noch warum die Android Handys meine CA Proxy Zertifikate DER PEM nicht mögen.

Irgendwo habe ich gelesen das Android Probleme mit Self sign Zertifikaten hat, kann das sein?

Aber dass ist jetzt nicht das Problem.

 

Da ich keine Möglichkeit gefunden habe für das Kind auf der UTM ein Zeitkontingent einzurichten wie es bei der FB möglich ist musste ich etwas kreativ werden…

Grob: Ich leg das externe Netz der FB über ein VLAN auf ein Ethernet VLAN an die UTM.

Auf der FB wurde der DHCP deaktiviert, weil man da zu wenig einstellen kann.

Das GW dieses „Loop-Netzes“ ist dann die IP des Ethernet VLAN.

Der komplette Internet Verkehr läuft jetzt wie gewünscht aus dem Kinder WLAN über die UTM.

Jetzt habe ich aber das Problem das Clients aus dem Kinder Netz Zugriff auf der internen Netz haben.

Ich frage mich woher die Route kommt. Keine FW Rule kann den Zugriff auf das interne Netz blockieren.

 

Hier Details:

Switch:

vlan 1

   name "DEFAULT_VLAN"

   no untagged 9

   untagged 1-8,10-28

   ip address dhcp-bootp

   exit

vlan 178

   name "Fritzbox"

   untagged 9

   tagged 1-8,10-28

   no ip address

   exit

 

 

 

  • Hallo Sebastian,

    Herzlich willkommen hier in der Community !

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. Sad)

    Your configuration confuses me.  The first thing to consider is that "Fritzbox-Loop" and "External (WAN)" have overlapping subnets, so WebAdmin will likely not create the routes you expected - check your route table.  As long as you're not planning on using IPsec, it's OK to have an internal IP on the External interface.  See #5 in Rulz (last updated 2019-04-17) regarding your DNS DNAT.  Why is 192.168.178.3 the IP of both the PiHole and "Fritzbox-Loop (Address)"?

    "Clients aus dem Kinder Netz Zugriff auf der internen Netz haben" -  If you mean via browsers, this could be the Web Proxy (see #2 in Rulz).

    What do you have in 'Allowed Networks' in DNS and in active Web Filtering Profiles?  Are these Profiles in Transparent or Standard mode?

    You might be interested in a document I maintain that I make available to members of the UTM Community, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this document, PM me your email address.  Ich behaupte auch eine deutsche Version, die ursprünglich vom Mitglieder hallowach übersetzt wurde, als wir zusammen im Jahre 2013 eine große Revision machten.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

  • In reply to BAlfson:

    thank you for your answer.
    I wonder where the route between the loop network and the "internal" comes from.
    I can disable the loop interface and it still works. (only the DHCP is not reachable anymore) on the switch I don't see a route.
    I think it all happens on eth0.

    actually there should be no connection between the network .200. and .178. so I mapped the Pihole to the address you should only have seen from there.

    i don't think it's the web proxy. i can do a complete portscan from the kids net.

    I use the transparent proxy for both networks. (deactivating does not help either)
    but there are still devices in the script proxy selection. because that doesn't work with the certificates on the mobile phone yet.

    the child plays a lot online I can't block a lot. otherwise there are new problems every day.