Ticket bei der Kindersicherung mit Zeitbudget funktioniert nicht

voipuser

Mitglied
Mitglied seit
3 Nov 2004
Beiträge
419
Punkte für Reaktionen
0
Punkte
16
Ich habe inzwischen erfolgreich ein Zeitbudget im Gastnetz eingerichtet. Dies funktioniet indem ich eine 7412 am Ethernetport 4 meiner 7490 angeschlossen habe, der als Gastzugang in meine 7490 geschaltet ist. Die 7490 sorgt somit dafür, dass am Ethernetport 4 nur das Internet und nicht das interne Netz verfügbar ist. Leider funktioniert im Gastnetz kein Zeitbudget. Daher habe ich die 7412 fürs Zeitbudget hinter die 7490 geschaltet. Das scheint zu funktionieren. Wenn das Zeitbudget für den Tag ausgeschöpft ist, sollte eine weitere Freigabe für 45 Minuten mit Tickets per Zahlencode möglich sein. Nach Eingabe des Zahlencodes wird dieser zwar akzeptiert, aber kurz danach kommt wieder die Meldung, dass das Zeitbudget erschöpft ist und es wird erneut nach einem Zahlencode gefragt.

Gibt es ein ein generelles Problem mit den Tickets, oder habe ich noch einen Fehler im meiner Konfiguration? Welche Infos werden eventuell noch benötigt?
 
Hallo, ich habe ein ähnliches Problem mit der Kindersicherung. Bei mir habe ich eingeschränkte Benutzer im Windows eingerichtet und die Benutzernamen (mit der zusätzlichen AVM Software) werden an die Fritz Box übermittelt. Dort habe ich diesen Benutzern dann jeweilige Profile verpasst mit Zeiteinschränkungen. Das funktioniert auch soweit. Will nun ein User außerhalb der erlaubte Zeiten ins Internet bekommt er den Hinweis von der Fritz Box und kann auch ein Ticket eingeben. Dann passiert das gleiche wie bei voipuser, Ticket wird angenommen, aber Internet nicht möglich und man dreht sich im Kreis!
Weiter habe ich heute festgestellt, dass beim Aufruf der Seite fritz.box/surf.lua unter Benutzung des eingeschränktem Profils (wo die Zeiten beschränkt sind), die Anzeige der erlaubten Zeitbalken um 2 Stunden nach hinten verschoben sind. Also wenn ich z.B. von 16:00 bis 19:00 Uhr freigegeben habe, erscheint bei diesem User unter der surf.lua ein Zeitraum von 18:00 bis 21:00 Uhr, wobei diese angegebenen Zeiten trotzdem nicht freigeben sind. Die Zeiten in der Box und auch des PCS stimmen, ebenfalls ist der Browser egal und auch der Cache wurde gelöscht. Din Box (7390) hatte ich beim Umstieg auf die 6.51 per Hand neu eingerichtet.

Hat da jemand eine Idee?
 
Ich muß mal ganz ketzerisch fragen, ob das tatsächlich irgendetwas mit der Software "FRITZ!Box Kindersicherung" zu tun hat, wie die FRITZ!Box da reagiert. Wenn hier von einer 7390 mit 06.51 die Rede ist, kann ich das irgendwie nicht so richtig glauben.

Was passiert denn, wenn sich bei abgelaufener Nutzungsdauer oder innerhalb gesperrter Zeiten ein anderer Nutzer mit diesem Computer ins Internet aufmachen will? Wird der Computer als Ganzes einem Zugangsprofil zugewiesen oder das Gespann "Computer/Benutzer"? Bei letzterem gäbe es ja jede Menge Zugangsprofile, wenn man mit Budgetierung arbeiten will.

Eigentlich ist das ja seit einiger Zeit eher ein "gerätezentrierter Ansatz", wo dann halt mehrere Geräte zu einem "Benutzerprofil" zusammengeführt werden können, damit nicht die Spielekonsole oder das Smartphone (übers WLAN logischerweise nur) als Ausweichmöglichkeiten verwendet werden von einem allzu findigen "Kind".

Ich kann mich kopfstellen und machen, was ich will ... mit einer Windows7-VM gelingt es mir absolut nicht, eine "benutzerabhängige Reaktion" der FRITZ!Box-Kindersicherung zu bewirken. Ich finde auch in einem Netzwerk-Dump absolut keine Stelle, wo sich ein Firefox 47.0.1 als Browser auf dieser Windows7-VM (mit installiertem und gestartetem Service) gegenüber der FRITZ!Box in irgendeiner Weise dahingehend authentifiziert, welcher Benutzer da nun gerade angemeldet ist und welchem Zeitkonto die aktuelle Benutzung jetzt zuzurechnen wäre.

Kann mir jemand (bei einer aktuellen Firmware, nicht bei irgendetwas vor 06.xx) erklären, wie da die Authentifizierung arbeiten sollte? Wie wird der "Mißbrauch" eines fremden Kontos verhindert? Den "Anzeigenamen" seines eigenen Kontos kann ja selbst ein unprivilegierter Windows-Nutzer seit einigen Versionen jederzeit selbst ändern (nicht mit dem "Benutzernamen" zu verwechseln).

Die gesamte Installation dieses Zusatzprogramms besteht aus einem kleinen Binary für den Service, das auf Port 14013 auf TCP-Verbindungen wartet und dann die seitens der Box angefragten Verbindungen des lokalen Windows-PC untersucht.

Abgesehen von der "Preisgabe" gültiger Kontonamen (einfach mal ein "telnet <ipaddr> 14013" machen und dort "USERS" eingeben, da lacht das Hacker-Herz) würde ich einer Software aus 2011 jetzt auch an anderen Stellen nur begrenzt trauen. Das geht bei Buffer-Overflows los und dieser "Service" läuft immerhin im SYSTEM-Kontext - beim Parsen von String-Kommandos würde ich in einer 5 Jahre alten Software von AVM jetzt nicht unbedingt auf richtig gehärteten Code wetten wollen, aber das ist nur meine persönliche Meinung, die erst eines entsprechenden Nachweises bedarf.

Ich bin nicht einmal davon überzeugt, daß die aktuelle Software der Kindersicherung (eigentlich ist sie diesem Namen ja auch inzwischen "entwachsen") in der Box überhaupt noch versucht, ein Gerät auf diesem Port zu kontaktieren - spätestens seit 06.xx würde ich das für ein Placebo halten, wenn jemand Auswirkungen durch diese Software festzustellen glaubt.

Aber ich lasse mich auch gerne vom Gegenteil überzeugen (wie gesagt, die Version macht's) ... selbst wenn es mir "ums Verrecken" nicht gelingen will, so eine Abfrage seitens der FRITZ!Box zu erzeugen.

Aber das kann auch einfach nur daran liegen, daß bei mir da noch ein weiterer Router dazwischen ist ... und die Box da ohnehin nicht durchkäme durch das NAT. Wobei ich auch an diesem Router keine solchen Zugriffe registriere, selbst wenn ich auf BPjM-gesperrte Seiten versuche zuzugreifen und derartige Zugriffe für alle zeitweise sperren lasse.

Für die Box sähe mein kaskadierter Router ja auch wie ein einzelner PC aus ... wenigstens einen Versuch müßte sie also starten, ob da auf TCP/14013 irgendetwas antworten will.
 
Ich muß mal ganz ketzerisch fragen, ob das tatsächlich irgendetwas mit der Software "FRITZ!Box Kindersicherung" zu tun hat, wie die FRITZ!Box da reagiert. Wenn hier von einer 7390 mit 06.51 die Rede ist, kann ich das irgendwie nicht so richtig glauben.
Ohne Deine Kompetenz irgendwie in Frage stelle zu wollen, aber was ist daran so verwunderlich? Sobald ich die Software auf dem PC installiert habe erscheinen die eingerichteten Windows-Benutzer in der Heimnetzübersicht der Fritz Box. Der PC selbst ist natürlich ünbeschränkt und kann ins Netz, auch ein Benutzer, der ein unbeschränktes Profil hat und sich an diesem PC anmeldet kann ins Netz.
Ich meine aber, dass ich Probleme hatte als ich mal ein Kaspersky IS (oder war es ESET) - jedenfalls mit einer anderen Firewall als der Windows-Firewall - installiert hatte. Da wurden die Benutzer nicht an die FritzBox übermittelt, wodurch das dann natürlich nicht funktionierte.
ABER: grundsätzlich funktioniert das schon, nur halt nicht die von AVM angepriesene Ticketverlängerung und halt der Zeitversatz, wie ich geschrieben habe.

Als BS läuft auf diesem PC Windows 10 Home in 64bit.
 
Ich sag ja, daß ich es nicht nachstellen kann - das ist dann für mich schon verwunderlich (und läßt mich selbst an meiner Kompetenz zweifeln) ... kannst Du das bitte mal etwas ausführlicher erläutern? Was machen denn die eingerichteten Benutzer in der Heimübersicht der Box? Wie sieht das konkret aus? Das alleine dürfte ja auch noch nicht dazu führen, daß irgendeine Reglementierung des Internet-Zugangs stattfindet. Was wurde da im Anschluß noch eingestellt bei den Zugangsprofilen? Wurde dann jedem Benutzer des PC ein Profil zugewiesen? Wie funktioniert das, wenn derselbe "Benutzer" jetzt mit einem anderen Gerät (also nicht dem PC mit dem Zusatzprogramm) auf das Internet zugreifen will?

Bei AVM ist da außer der Feststellung, daß die Windows-Benutzer in der Liste der Netzwerkverbindungen auftauchen sollten (Punkt 3 der Beschreibung und ich habe sowohl ein eingeschränktes Konto (also einen "Standard-User") verwendet als auch ein Kennwort vergeben), leider auch nicht viel zu holen ... bei mir machen sie das eben genau nicht (und der avmident-Service ist erreichbar von außen, das ist getestet). Ich weiß also, daß es angeblich funktionieren soll, aber ich kriege es nicht hin, ein passendes Szenario einzurichten, in dem man dann etwas in den Netzwerkdaten "schnüffeln" kann.

Wie geschrieben ... dieser "avmident"-Service funktioniert ja eigentlich genau in der umgekehrten Richtung. Er übermittelt seinerseits - vermutlich - gar nichts (unaufgefordert) an die FRITZ!Box (dazu müßte er sich auch sehr sehr tief im System in den Netzwerkstack einklinken - das würde im Minimum einen Neustart nach seiner Installation erfordern), zumindest nicht bei jedem einzelnen Request ... er beantwortet einfach entsprechende Anfragen der Box auf dem erwähnten Port und die will dann wohl von ihm wissen, zu welchem User-Kontext eine Verbindung zu einer angegebenen Adresse samt Port gehört und leitet daraus dann die Entscheidung ab, ob die Verbindung zulässig ist oder nicht.

Also muß es irgendeinen Trigger geben, der eine solche Abfrage einleitet ... ansonsten könnte der Service höchstens beim Start oder bei der Änderung der Netzwerk-Konfiguration am konfigurierten Gateway "Bescheid sagen", daß er einen "avmident"-Service installiert hat und auch davon finde ich in einem Mitschnitt nichts. Bliebe noch ein entsprechender Broadcast (z.B. mDNS), aus dem diese Information abgeleitet wird. Die Box macht ja irgendwie ein "fingerprinting" und vermerkt intern (in den Support-Daten als "type=" zu sehen), was das aus ihrer Sicht für ein Client ist.

Ich habe auf der FRITZ!Box-Seite meines zentralen Routers einen Listener installiert, der jedes dort eingehende Kommando auf dem Port 14013 in eine Datei protokolliert und anschließend greife ich auf das Internet über einen Windows-Host hinter diesem zentralen Router zu (wie gesagt auf eine Seite, die in der BPjM-Sperrliste enthalten ist und über den Gastzugang auch ordentlich blockiert wird ... die Liste funktioniert also auch).

Dabei ist kein Zugriff der FRITZ!Box auf den erwähnten Port zu verzeichnen. Es muß also noch irgendeine Randbedingung geben, die erst den Zugriff auf diesen zusätzlichen Service seitens der FRITZ!Box aktiviert ... und genau nach diesem Auslöser suche ich jetzt, weil ich den erwähnten Service von AVM tatsächlich für ein zusätzliches Risiko halte und nun gerne erkunden würde, wie weit dieses reicht oder ob ich mit meiner Einschätzung vielleicht auch falsch liege.

Es ist leider auch beileibe nicht so, daß die "enumeration" der vorhandenen Konten über das auch schon erwähnte "USERS"-Kommando nur die eingeschränkten Konten auflistet ... da wird (mein Client ist eine Windows7-VM in 32-Bit-Version) genauso das Administratorkonto publiziert und spätestens das ist bereits eine Sicherheitslücke, die vermutlich den meisten Verwendern der Software gar nicht klar ist.

Allerdings richtet die Standardinstallation das wenigstens so ein, daß dieser Dienst nur unter einem "privaten" Netzwerkprofil auch erreichbar ist, jedoch werden dem Programm sämtliche Rechte für TCP- und UDP-Verbindungen eingeräumt, nicht nur für TCP/14013 und digital signiert (und damit gegen Modifikationen geschützt) ist dieses Programm auch nicht. Der Zugriff aus dem LAN auf die von diesem Service bereitgestellten Informationen ist auch nicht irgendwie geschützt (jedenfalls nicht offensichtlich) ... das kann man mit einem ganz normalen Telnet-Client abfragen und von jedem beliebigen benachbarten Host.

Ich muß vermutlich mal mit einem Laptop direkt an der FRITZ!Box testen, falls der kaskadierte Router irgendwie seitens der FRITZ!Box als "kein Windows" abgestempelt wurde und daher keine solche Abfrage mehr stattfindet.

Wenn das tatsächlich so ist, wäre es ja wieder interessant zu wissen, welche Aktionen genau zu dieser Einschätzung führen und wie der Zugriffsschutz im Gespann der FRITZ!Box mit dem Windows-PC dann reagiert, wenn der PC erst einmal glaubhaft gemacht hat, daß er angeblich kein Windows-System ist. Es kann natürlich auch sein, daß da über einen RPC-Mapper der Port "randomized" wird ... dagegen spricht wieder, daß mehrere testweise Installationen immer den Port 14013 benutzen.
 
Ich sag ja, daß ich es nicht nachstellen kann - das ist dann für mich schon verwunderlich (und läßt mich selbst an meiner Kompetenz zweifeln) ... kannst Du das bitte mal etwas ausführlicher erläutern? Was machen denn die eingerichteten Benutzer in der Heimübersicht der Box? Wie sieht das konkret aus? Das alleine dürfte ja auch noch nicht dazu führen, daß irgendeine Reglementierung des Internet-Zugangs stattfindet. Was wurde da im Anschluß noch eingestellt bei den Zugangsprofilen? Wurde dann jedem Benutzer des PC ein Profil zugewiesen? Wie funktioniert das, wenn derselbe "Benutzer" jetzt mit einem anderen Gerät (also nicht dem PC mit dem Zusatzprogramm) auf das Internet zugreifen will?

Also, ich habe unter Heimnetzübersicht -> Netzwerkverbindungen u.a. Einträge für den PC selbst. Der hat in den Zugangseigenschaften (klick auf das Bearbeiten-Symbol) das Profil "unbeschränkt".
Weiterhin habe ich dort auch noch Einträge der Benutzernamen von allen PC's, die die AVM-SW installiert haben. Diese Benutzernamen sieht man dann auch unter Internet -> Filter -> Kindersicherung im Bereich
unterhalb der Geräte bei "Windows-Benutzer". Dort kann ich dann dem Benutzer ein zuvor unter "Zugangsprofile" erstelltes individuelles Profil zuweisen. In diesem Profil kann ich dann pro Tag z.B. von 15-20 Uhr das Netz freischalten, Sperrlisten definieren, das BPjM-Modul aktivieren oder bestimmte Netzwerkanwendungen sperren.
Wenn sich der User an einem anderen PC mit dem gleichen Konto anmeldet, dann wird das gleiche Profil verwendet, vorausgesetzt die AVM-SW ist auch dort installiert. Das geht auch so. Desweiteren kann man das Profil dann auch einem (z.B. Android-) Gerät zuweisen.

Ich hoffe, damit findest Du den Schlüssel, den Du suchst... ;)

- - - Aktualisiert - - -

Nochwas: wenn sich ein Benutzer an einem PC anmeldet, wo nicht die AVM-Zusatzsoftware installiert ist, dann treffen für diesen User auch keine Regeln zu, da ja der Benutzer der FritzBox nicht bekannt ist. Hier würde dann eine Regel für das Gerät greifen.
 
Gibt es ein ein generelles Problem mit den Tickets, oder habe ich noch einen Fehler im meiner Konfiguration? Welche Infos werden eventuell noch benötigt?

@voipuser: Hast Du mal bei AVM nachgefragt, warum das bei Dir nicht funktioniert? Ist bei Dir auch unter dem eingeschränktem Benutzeraccount die Anzeige der freigeschalteten Zeiten bei fritz.box/surf.lua "verschoben"?
 
Guten Tag zusammen,

in einem anderen Forum findet auch zu diesem Thema eine aktuelle Diskussion statt. Da ich nicht alles doppelt schreiben will, habe ich hier einmal den link zu diesem Beitrag hier eingetragen.
Der ursprüngliche Beitrag ging zwar um eine Fritzbox 6360. Ich habe allerdings eine Fritzbox 7490 und habe vergleichbare Probleme.
Vermutlich ist die Ursache auch im FritzOS verborgen. Also könnte das Problem erst mal Hardware unabhängig sein.

http://www.router-forum.de/board-av...icherung-funktioniert-nicht-66244-page-3.html

In dem anderen Forum habe ich auf diese Diskussion verwiesen. Ich hoffe die Admins der beiden Foren haben nichts gegen diese Form von sinnvoller Verknüpfung!


Gruß Klaus
 
Zuletzt bearbeitet:
Moin

Vielleicht habt ihr euer Profil für die Ticketnutzer verhunzt?
Screenshot_2016-10-12-18-36-08.png
...so klappt dass bei mir ohne Probleme.
Nach 2 Stunden geht die Anfrage nach Tickets in die Höhe.
:rolleyes:
 
Was meinst du mit verhunzt?

Wir nutzen das Ticketsystem im Rahmen der Definition von AVM.
Bei mir sind im Unterschied zu Dir eben zwei Geräte dem Nutzungsprofil zugeordnet.

Und übrigens deutet auch der Text zum neuen Beta-Release 6.69 von AVM daraufhin, das hier noch nicht alles funktioniert.

"Verbesserung - Eingabeprüfung beim Kindersicherungs-Ticket"
"Behoben - Kindersicherung funktioniert nach Ticket-Verlängerung nicht mehr zuverlässig"


Details könnt ihr hier nachlesen. https://avm.de/fritz-labor/fritzbox-7490/neues-verbesserungen/

Zugangsprofil Paula.jpg
 

Anhänge

  • Details für Paula.jpg
    Details für Paula.jpg
    91.5 KB · Aufrufe: 7
OK, ich versuch es mal...

Bei mir...
...dürfen die User mit diesem (meinem, siehe mein Screenshot) Profil egal wann, 2 Stunden ohne Ticket surfen.

Bei dir nur...
...innerhalb von 2 Uhr Morgens bis 7 Uhr (paarzerquetschte) Morgens für 2 Stunden und 40 Minuten ohne Ticket.

:gruebel: Die Frage die sich mir jetzt stellt: Ist eine Verlängerung mit Ticket in den Speerzeiten überhaupt vorgesehen :?:

PS: "Gemeinsames Budget" war/ist mir schon immer "suspekt" gewesen.
...ist aber nur so ein Gefühl.

Kauft dann einer ein Ticket bekommen alle mit/in diesem Profil anteilig etwas Zeit von dem Ticket ab?
...teilen die sich die 45 Minuten?
:rolleyes:
 
Zuletzt bearbeitet:
Meine Einschätzung ist, dass in der Sperrzeit keine Verlängerung per ticket möglich ist.

Gemeinsame Nutzung bedeutet, dass alle Geräte die einem Nutzungsprofil zugeordnet sind, in Summe 45 Minuten zusätzlich verbrauchen dürfen.

Aber du hast schon Recht, das hier nicht alles klar durch AVM definiert ist.

Gesendet von meinem SM-N910F mit Tapatalk
 
Ich finde, es gibt auch sowas wie "Mathematische Gerechtigkeit".
Damit mein ich ein Profil mit Budget 1h : 20m ohne "Gemeinsam".
Die Verbraucher müssen sich dann nicht um die Zeit des Anderen kümmern und Einer kann nicht Alles (bezogen auf Gemeinsam) alleine verbrauchen.
 
Zuletzt bearbeitet:
Ich habe da eine etwas andere Sicht. Ein Benutzer hat bei uns oft mehr als ein Gerät. Ein Gerät wird aber meist nur von einem Benutzer verwendet.

Ein Nutzungsprofil ist also eigentlich genau einer Person mit mehreren internetfähigen Geräten zugeordnet.

Wenn ich ich also meiner Tochter 2,5 Stunden Internetnutzung erlaube, ist es mir erst mal egal ob diese vom Smartphone, iPad oder PC genutzt werden. Ich lege also ein Nutzerprofil an, dem alle 3 Geräte meiner Tochter zugeordnet sind.

Entsprechend wünsche ich mir auch, das ein Ticket, das Sie von ihrem Smartphone aktiviert, anschließend auf ihrem iPad die Zeit um den Rest der 45 Minuten verlängert.
 

Neueste Beiträge

Statistik des Forums

Themen
244,695
Beiträge
2,216,687
Mitglieder
371,314
Neuestes Mitglied
Gjorstn
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.