[TL-WR1043ND] Konfiguration der Zugangs- und Zugriffskontrolle

[Don-King]

[TL-WR1043ND] OpenWRt und Squid Proxy Konfiguration

Guten Abend,

vorab: ich bin kein Fachmann und für jeden helfenden Rat dankbar.

Zunächst zur Topologie des Netzwerkes:

--- = WLAN-Verbindung
__ = LAN-Verbindung

[Client-PC] ---------- [TL-WR1043ND(1)] __________ [TL-WDR4900 N900(2)] __________ [Internetmodem]

Die Internetverbindung funktioniert grundsätzlich. Der Gedanke dahinter: Router 1 steht nur dem Client-PC für die Internetverbindung zur Verfügung und alle von Client-PC ankommenden Verbindungen werden von Router 1 gefiltert bevor sie weitergeleitet werden.

Jetzt mein Problem.

I. Was ich gerne hätte:

- Internetsperre für Client-PC bis auf die von mir ausgewählten Webseiten bzw. Stichworte (Whitelisting).

II. Was ich bekomme:

- Entweder gar keine Internetverbindung mit dem Client-PC oder das Internet funktioniert komplett bis auf die von mir ausgewählten Webseiten bzw. Stichworte (Blacklisting).

III. Konfiguration:

Access Control (Zugriffskontrolle)
[X] Internetzugangskontrolle aktivieren
Default Filter Policy/Standard-Filterregelung:
Allow/Erlauben [X] = Internetverbindung funktioniert nicht. Google funktioniert nicht.
ODER Deny/Verweigern [X] = Internetverbindung funktioniert. Google funktioniert nicht.

Host: MAC des Client-PC.
Target/Ziel: zum Test "google" als Domain Name.
Schedule/Planung: Jederzeit (24/7).


Alternativ wechselte ich zur Parental-Control/PC-Kontrolle:

PC-Kontrolle/Parental Control

Aktivieren/Enabled [X]

MAC-Adresse des kontrollierten PCs/MAC Address of Parental PC: MAC-Adresse eines anderen Test-PC (muss hier die Router MAC-Adresse rein?)

Mac-Adresse des zu kontrollierenden PCs/MAC Address of Child PC: MAC des Client-PCs
Webseitenbeschreibung/Website Description: "Google Test"
Zugelassener Domänenname Allowed Domain Name*: google
Wirksamkeitszeitraum/Effective Time: Jederzeit
Status: Aktiviert/Enabled

*Stichworte zulässig.

---

Könnt ihr mir bitte helfen?

Freundliche Grüße

Don-King

---

IV. Zusatzinfos:

- Client-PC wird bei dem Produkt dieser Firma mittels MAC-Adresse identifiziert. Per DHCP vergibt Router 1 zudem eine feste netzwerkinterne-IP. Probleme mit dem DHCP-Server und der Verteilung zwischen Router 1 und 2 gibt es nicht.

- Handbuch des TL-WR1043ND zu finden unter http://www.tp-link.com.de/resources/software/de/de_2010717333514.pdf (PDF-Seite: ab 65. Manual-Page: ab 58.)

- Emulator für das Web-Interface: http://www.tp-link.com/resources/simulator/TL-WR1043ND/index.htm (Speziell: Parental Control; Access Control)

- Firmware ist aktuell.

PS: entschuldigt bitte die miserable Formatierung.

 

[visioo]

ka ob sowas mit nem TP-Link geht. Ich würd für sowas nen Proxy hernehmen (Squid zb)

 

[Raijin]

Also das was du da so beschreibst, klingt nach einem vollwertigen Router. Die meisten HomeUser-Geräte sind nur bedingt dafür geeignet. Zwar bieten sie oft die eine oder andere Funktion unter verschiedensten Bezeichnungen, aber die Umsetzung ist oft eher unvollständig und man kann nur in einem begrenzten Rahmen Regeln definieren.

Ich habe zB bei mir in der Wohnung einen Ubuntu-Server stehen, der u.a. als Router fungiert. Man loggt sich zwar normal ins WLAN ein, der WLAN-"Router" - auch ein 1043nd - arbeitet aber nur als AccessPoint. Jedwede Kommunikation, die von meinem LAN nach draußen geht, wird durch den Ubuntu-Server geleitet und entsprechend gefiltert, etc. Mein eigentlicher Internet-Router (Speedport von der Telekom) ist nur mit der zweiten Netzwerkschnittstelle vom Ubuntu-Server verbunden, das Speedport-WLAN ist ausgeschaltet.

Sieht ungefähr so aus:

(WWW) --- Speedport ---- (LAN2) Ubuntu-Server (LAN1) --- WLAN-AP bzw. Gigabit-Switch --- Smartphone, PC, etc


Die einzigen Geräte mit "direktem" Internetzugang via Speedport sind der Server und meine Entertain-Receiver, weil ich es bisher noch nicht geschafft habe, das Entertain VLAN korrekt durch den Server zu leiten. Alle anderen Geräte, die ich in der Wohnung per WLAN oder auch per LAN-Dose ans Netzwerk hänge, sind netzwerktechnisch HINTER dem Server und können nur über ihn ins Internet. Genau genommen habe ich sogar 2 WLANs, weil ich ein beschränktes GAST-WLAN ohne Zugriff auf lokale Ressourcen (MediaServer, etc.) eingerichtet habe, das zB auch nur Internetbrowsing erlaubt (Port 80, etc).


Mit einem handelsüblichen 35€ WLAN-Router wirst du das aber so nicht unbedingt realisieren können. Zumindest mit der originalen Firmware wirst du da keine Chance haben. Mit openwrt (alternative Firmware auf eigene Gefahr) könntest du da mehr Glück haben. Ich habe openwrt vor kurzem bei meinem 1043nd eingespielt, habe mich da aber noch nicht wirklich mit beschäftigt. Letztendlich musst du ja die Firewall im Router konfigurieren, die dann entsprechende Datenpakete blockt/zulässt.

 

[Don-King]

Vielen Dank euch beiden. Da mir der Hersteller in diesem Falle nicht helfen möchte, hier noch ein paar theoretische Fragen dazu:

Könnte man für den TL-WR1043ND eine Linux-Distribution wie z. B. DD-WRT oder OpenWrt verwenden (Firmware flashen) und dort das von sucksgsh empfohlene Programm 'Squid' als Proxy installieren?

Würde es nach dem Aufspielen des Linux-OS irgendwelche systemtechnischen Einschränkungen (Reichweite, Funktionsumfang, Einstellungsmöglichkeiten, etc.) geben? Oder gibt es überdies eventuell rechtliche Bedenken (abgesehen vom etwaigen Garantieverfall)?

Meinetwegen muss das MAC-Adressen-Identifikations-Feature nicht enthalten sein. Auch ein DHCP-Server ist überflüssig. Es können ruhig alle dort ankommenden Verbindungen gesperrt und bis auf ein paar freigegebene Domains gefiltert werden.

Gibt es zur Installation von oben besagter Software eine Anleitung (Deutsch/Englisch) die jemand fix parat hat? Andernfalls würde ich mir selbst via Gockel Artikel, Wiki-Einträge, Foren-Postings, Schnipsel und Handbücher zusammen suchen und lesen.

Freundliche Grüße

Don-King

 

[MaverickM]

Sowohl DD-WRT als auch OpenWRT unterstützten den genannten TP-Link. Einschränkungen hast Du dadurch nicht, im Gegenteil. Beide erweitern den Funktionsumfang der Geräte deutlich. (Was aber auch die Konfiguration kompliziert)
Rechtliche Bedenken gibt es natürlich nicht. Garantie verlierst Du auch keine, sofern Du die Original-FW wieder flashen kannst. Sollte allerdings beim flashen etwas schief gehen und das Gerät nicht mehr reagieren, hast Du Pech gehabt.

Zum Squid Proxy kann ich nix sagen.

 

[Don-King]

Danke für deine Antwort Falcon.

Leider gibt es sichtbar wenig Material im Internet zum optimalen Zusammenspiel zwischen dem TL-WR1043ND mit OpenWRT/DD-WRT und dem Squid Proxy Programm.

In der Theorie sollte es funktionieren. Viele berichten von erheblichen Einbußen hinsichtlich der Performance der Internetgeschwindigkeit. Keiner hier der ähnliche Erfahrungen erlebt hat?

Die zusätzliche Bedingung ist, dass Router 1 die Daten von Router 2 erhält, er also nur als Access Point dient.

Dann heißt es wohl für mich jetzt zunächst die Konfigurationsdetails zu oben genannten Linux Distributionen und dem Programm zu studieren. Anschließend geht es in die heiße Phase

Lieben Dank an alle.

Freundliche Grüße

Don-King

 

[Sylar]

Kurze OT Frage:
Ich hab derzeit den WR741ND und der soll demnächst durch den WR1043ND ersetzt werden. Bei beiden soll dann DD-WRT laufen. Kann ich die Einstellungen vom WR741ND sichern und die dann direkt auf den WR1043ND einspielen und austauschen? Oder soll man da wirklich alle Konfigurationen nochmals frisch durchgehen?

 

[Don-King]

Leider kann ich dir da nicht weiterhelfen Sylar. Versuch es einfach

Zur Ergänzung hier die offizielle Antwort des Herstellers bezüglich des Funktionsumfangs der TP-Link-Router:

Die Geräte arbeiten leider NUR auf dem sogenannten Blacklisting Verfahren, wie bereits erwähnt. Whitelisting kann nicht genutzt werden. Damit ist das Vorhaben, ohne externe Software, so nicht umsetzbar.

Mit freundlicher Einwilligung des Beauskunfters. Dankeschön. Damit wäre das Hauptanliegen in dieser Sache erledigt