[Erledigt] USB-Tethering im Heimnetzwerk verhindern

Knoxe

Neuer User
Mitglied seit
27 Mrz 2007
Beiträge
187
Punkte für Reaktionen
0
Punkte
16
Hallo an alle!

Gibt es mit Bordmitteln der FRITZ!Box eine Möglichkeit, das USB-Tethering im Heimnetz, also die "Weitergabe" des Internetzugangs, z. B. durch Einrichtung einer Netzwerkanwendung, zu verhindern?

Hintergrund meiner Frage ist, dass der 14jährige Online-Zocker die Zeitbeschränkung per Kindersicherung am Windows-PC auf dem Weg umgeht. Er stöpselt sein Android-Smartphone, welches ohne Zeitbeschränkung online ist, einfach per USB Kabel an den PC und nutzt über Tethering einfach den Internetzugang weiter. :rolleyes:
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,521
Punkte für Reaktionen
225
Punkte
63
In dem Fall ist die FRITZ!Box komplett außen vor. Die Box weiß nichts von ihrem „Glück“. Daher kannst Du das höchstens nur auf den anderen Geräten in den Griff bekommen, also
a) Tethering am Handy sperren oder
b) am Windows-Computer die USB-Ports für Tethering sperren.

Mein Tipp:
Anderes Forum suchen, die sich genau mit dem jeweiligen Betriebssystem (iOS oder Android x.y bzw. Windows 10 Version xyza) beschäftigen. Aus dem Stegreif wüsste ich nämlich nicht, wie das geht.
 

hitman

Mitglied
Mitglied seit
11 Mai 2005
Beiträge
229
Punkte für Reaktionen
13
Punkte
18
In der Fritzbox dem Handy ein Zugangsprofil zuweisen und entsprechend nur Mailen und Surfen zulassen.
 

Novize

Moderator
Teammitglied
Mitglied seit
17 Aug 2004
Beiträge
21,435
Punkte für Reaktionen
235
Punkte
63
In dem Fall ist die FRITZ!Box komplett außen vor. Die Box weiß nichts von ihrem „Glück“.
Um das noch einmal zu erläutern: Das Tethering läuft nicht über
PC=>USB=>Handy=>WLAN=>Fritz=>Internet
sondern an der Fritz vorbei direkt über Mobilfunk:
PC=>USB=>Handy=>Mobilfunk=>Mobilfunkprovider=>Internet
 

hitman

Mitglied
Mitglied seit
11 Mai 2005
Beiträge
229
Punkte für Reaktionen
13
Punkte
18
Um das noch einmal zu erläutern: Das Tethering läuft nicht über
PC=>USB=>Handy=>WLAN=>Fritz=>Internet
sondern an der Fritz vorbei direkt über Mobilfunk:
PC=>USB=>Handy=>Mobilfunk=>Mobilfunkprovider=>Internet

Ist so nicht korrekt, denn bei USB-Tethering kann das Handy auch als "WLAN-Bridge" agieren.
 

Knoxe

Neuer User
Mitglied seit
27 Mrz 2007
Beiträge
187
Punkte für Reaktionen
0
Punkte
16
Danke für die Antworten! Mit Mobilfunk hat das in dem Fall nichts zu tun...
Es geht um den Fall: PC=>USB=>Android-Smartphone=>WLAN=>Fritz=>Internet

Wenn das Tethering mit der Netzwerkanwendung "alles außer Surfen und Mailen" im Profil blockiert werden kann, müsste es doch auch möglich sein, eine Netzwerkanwendung "Tethering" zu erstellen, die dann im Zugangsprofil für das Smartphone in die Liste der blockierten Netzwerkanwendungen eingetragen wird.
Denn soweit ich weiß, blockiert "alles außer Surfen und Mailen" z. B. auch WhatsApp-Nachrichten.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,339
Punkte für Reaktionen
457
Punkte
83
Moinsen


Wenn das Smartfon via WLAN über die FRITZ!Box Internet bezieht, ja.
Dann kannste sein Smartfon ein entsprechendes Filter zuweisen.
...ist doch wohl logisch, oder?
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,521
Punkte für Reaktionen
225
Punkte
63
Jetzt mal egal, ob USB-Tethering auch das Heimnetz weitergibt oder nicht:
Wenn Du das Heimnetz sperrst, was hindert unseren Zocker dann, sein Handy so umzustellen, dass es über Mobilfunk läuft?
 

Knoxe

Neuer User
Mitglied seit
27 Mrz 2007
Beiträge
187
Punkte für Reaktionen
0
Punkte
16
@koyaanisqatsi
Genau um die Einrichtung eines Filters über die Netzwerkanwendungen in der FRITZ!Box geht es mir ja. Google bringt mich hier aber bei den Angaben zum Protokoll und den Portbereichen nicht wirklich weiter und die Einschränkungen bei "alles außer Surfen und Mailen" sind vermutlich zu streng. Da wird dann z. B. ggf. auch VoWLAN nicht mehr möglich sein...

@sonyKatze
Ganz einfach: Er überträgt unglaubliche Datenmengen (Stichwort: Steam) und wird demnächst wahrscheinlich eine Mobilfunk-Lösung mit 2 GB ungedrosseltem monatlichen Datenvolumen haben. Das würde dann wohl nur für 1 Stunde reichen, von daher besteht hier kein Handlungsbedarf. ;)
 

sonyKatze

Aktives Mitglied
Mitglied seit
6 Aug 2009
Beiträge
2,521
Punkte für Reaktionen
225
Punkte
63
Das sind so Themen, bei denen selbst das Forum hier noch nicht wirklich weiter ist.

„Tethering“ sieht die FRITZ!Box nicht als Anwendung. Sie sieht nur, die MAC des Mobiltelefons und den Datenverkehr als würde er direkt im Mobiltelefon ausgelöst. Die FRITZ!Box sieht keinen Unterschied. Daher würde ich Mobiltelefone am Windows Computer sperren. Und nicht anders herum. Als nächstes findet er ein Spiel, bei dem so gut wie nichts übertragen wird und so weiter … wenn Vernunft in dem Alter noch nix bringt, dann richtig sperren.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,339
Punkte für Reaktionen
457
Punkte
83
Bearbeite doch mal das Filter "alles außer Surfen und Mailen" dann siehst du wo die Löcher sind...
Bildschirmfoto vom 2020-12-29 12-59-12.png
Der komplette UDP Bereich ist komplett dicht.
Das schliesst zum Beispiel VoIP (SIP/UDP, RTP/UDP)/VoWiFi (500/UDP, 4500/UDP) und VPN und die meisten Spiele-Server, wenn UDP, aus.


VoWiFi
www.wlan-blog.com schrieb:
IPsec muss erlaubt sein
Sind die Anwender erstmal mit dem WLAN verbunden, ist VoWiFi wie oben erwähnt nur dann möglich, wenn IPsec-Verbindungen zu den ePDG der einzelnen Mobilfunkanbieter erlaubt sind. In den Netzwerkfirewalls sollten dazu die Ports UDP 500 und UDP 4500 freigeschaltet werden.

Sollten WLAN-Betreiber aus Haftungsgründen keine IPsec-Verbindungen zu unbekannten Zielen erlauben wollen, muss mit Whitelisting gearbeitet werden. Je nach Mobilfunkanbieter muss die IPsec-Verbindung zu den Gateways des Anbieters erlaubt werden. Und Anbieter gibt es leider zahlreich. Für das Erstellen der Whitelist habe ich hier eine Übersicht erstellt. Kommt die IPsec-Verbindung mit dem ePDG des jeweiligen Mobilfunkanbieters aber nicht zu Stande, kann VoWiFi nicht genutzt werden.
Quelle: https://www.wlan-blog.com/technologie/wlan-calling-und-vowifi-was-wlan-betreiber-beachten-mussen/

Dilemma: Erlaubst du also UDP für VoWiFi erlaubst du auch VPN
...zum Beispiel zu einer FRITZ!Box eines Freundes, wo nichts gesperrt ist.
Dagegen hilft nur das: Whitelisting des Anbieters
 
Zuletzt bearbeitet:

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,549
Punkte für Reaktionen
69
Punkte
48
Bedeutet die letzte Zeile nicht, dass UDP komplett offen ist?
Die Einträge sind doch die erlaubten Dinge, oder?

Edit:
Vergiss meine Frage. Durch die Aufnahme als Sperre negiert sich das ja.
 
Zuletzt bearbeitet:

Knoxe

Neuer User
Mitglied seit
27 Mrz 2007
Beiträge
187
Punkte für Reaktionen
0
Punkte
16
Ich habe eben mal einen Test mit dem eigenem Windows-PC und Android-Smartphone gemacht.

Also das Smartphone in ein Test-Zugangsprofil mit der gesperrten Netzwerkanwendung "alles außer Surfen und Mailen" (mit den Default-Einstellungen) geschoben, den PC gesperrt und dann einfach mit dem USB-Kabel das Smartphone an den PC angeschlossen. Im Smartphone muss lediglich "USB Tethering" aktiviert werden und schon läuft das Internet am PC wieder. Leider trotz der Einschränkungen mit dem Profil.
D. h. also, lediglich eine Verhinderung des Tethering wird nicht gehen, wie von @sonyKatze in Beitrag #2 vermutet, wird sich das nicht aussperren lassen.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,339
Punkte für Reaktionen
457
Punkte
83
@Knoxe - Nutzt das Smartfon Mobilfunkinternet (Datenvolumen) oder das WLAN?
Denn eine Sperre kann nur wirken wenn Smartfon WLAN nutzt und Smartfon ein Filter (Mit oder ohne Internetzeit/Netzwerkanwendung/Blacklist/Whitelist) bekommen hat.
 

Knoxe

Neuer User
Mitglied seit
27 Mrz 2007
Beiträge
187
Punkte für Reaktionen
0
Punkte
16
Es nutzt natürlich WLAN, wie im eingangs beschriebenen Szenario. Wie geschrieben, ist zumindest die Filterung mit "alles außer Surfen und Mailen" ohne Wirkung, weil USB Tethering trotzdem funktioniert.
Ich will ja nur die Möglichkeit unterbinden, dass Tethering genutzt werden kann.
 

Benares

Aktives Mitglied
Mitglied seit
15 Jan 2006
Beiträge
2,549
Punkte für Reaktionen
69
Punkte
48
Was hast du denn probiert? Surfen und Mailen ist ja erlaubt. Schalt mal sicherheitshalber "Mobile Daten" auf dem Handy ganz ab.
 

koyaanisqatsi

IPPF-Urgestein
Mitglied seit
24 Jan 2013
Beiträge
13,339
Punkte für Reaktionen
457
Punkte
83
Und Konzentriere dich nicht auf die funktionierende PC Sperre, die umgeht er mit Smartfon.
Sperre das Smartfon zur Probe auch mal komplett.
Der Tethering Modus des Smartfons lässt sich dadurch nicht verhindern.
Dann muss er halt sein Mobilfunkdatenvolumen verbraten, aber bessere Pingzeiten wird er garantiert nicht damit bekommen und hohe Pingzeiten machen Zocker auf Servern unbeliebt und die werden vom "Gamemaster" ohne Vorwarnung gekickt.
...so war es zu meinen Zockerzeiten, bevor es Steam gab.
 
Zuletzt bearbeitet:

Olaf Ligor

Mitglied
Mitglied seit
21 Mai 2019
Beiträge
667
Punkte für Reaktionen
96
Punkte
28
Wenn der 14jährige Online-Zocker Admin auf seinem PC ist, dann ist sowieso alles verloren, ansonsten deaktiviert man als Admin den Service USB-RNDIS6-Adapter unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbrndis6 mit Start=4 statt 3, dann gibt es kein Tethering mehr.

Steam benötigt fürs Online-Zocken natürlich keine riesigen Datenmengen, für neue Spiele und Updates dagegen schon.

Damit eine Kindersicherung bei aufgeweckten 10jährigen und älter überhaupt greift, muss das "Alle anderen Geräte"-Profil auf gesperrt gesetzt werden und in das "Zocker"-Profil kommt dann PC und Smartphone mit geteiltem Buget.
 

Knoxe

Neuer User
Mitglied seit
27 Mrz 2007
Beiträge
187
Punkte für Reaktionen
0
Punkte
16
Ich möchte mich nochmal für die rege Beteiligung hier bedanken, noch einmal ein paar Punkte verdeutlichen und mein Fazit mitteilen.

Ich bin mir nicht sicher, ob es von allen korrekt verstanden wurde, aber es ging mir bei meinem Anliegen um die Sperre des Tethering für Geräte, die das Internet vom heimischen DSL-Anschluss beziehen. Mir wurde das zu oft mit Mobilfunk vermischt. Deswegen nochmal zur Verdeutlichung:
  • Die vorhandenen Android-Smartphones können - egal, welchen Internetzugang sie nutzen (WLAN oder Mobilfunk) - diesem über den USB-Anschluss mit jedem tauglichen Gerät teilen.
  • Während meines Tests gestern habe ich interessehalber mal einen Speedtest laufen lassen. Der Internetzugang über den Weg DSL-Internet <-> FRITZ!Box <-> WLAN <-> Android-Smartphone <-> USB-Kabel <-> Windows 10-PC ist genauso schnell, wie der Weg über DSL-Internet <-> FRITZ!Box <-> (Power-)LAN <-> Windows 10-PC. D. h. ich erhalte bei beiden Anschlussvarianten die Soll-Werte meines Anschlusses ca. 100/40 MBit/s down/up.
  • Meine Hoffnung war, dass man Tethering über Portsperren o. ä. blockieren könne. Im Beitrag #2 wurde mir die Hoffnung aber schon genommen, weil die FRITZ!Box gar nicht "mitbekommt", wofür der Zugang genutzt oder ob der weitergegeben wird.

Mein Fazit:
Es ging uns ja in erster Linie darum, die Umgehung des Zeitbudgets für den Windows-PC mit dem zeitlich unbegrenzten Zugang für das Android-Smartphone zu verhindern. Das hat der Junior ja mit verhältnismäßig einfachen Mitteln erfolgreich geschafft.
Da eine Tethering-Sperre in der FRITZ!Box nicht möglich ist und sich nach einem Gespräch mit ihm nichts geändert hat, bekommt er nun in der Nachtzeit den Internet-Zugang (über WLAN) für das Smartphone wieder weggenommen. Momentan hat er auch keine Möglichkeit, mobil online zu gehen. Er ist zum Glück geldmäßig so eingestellt, dass er zumindest momentan kein Taschengeld für Datenpakete etc. ausgeben wird. Ab Mitte Januar wird er monatlich 2 GB mobil zur Verfügung haben. Ob er dass dann an einem Abend zum Zocken verbrät, glaube ich noch nicht.
Danke @Olaf Ligor für den Tipp mit der Registry-Anpassung. Das wäre sicher ein Mittel, was ich mal heimlich machen könnte und wo er nicht so schnell dahinter kommt, aber er ist ganz schnell auch mal bei kompletten Reset seines PC. Eine weitere Möglichkeit wäre noch die Verwendung einer passwortgeschützten Software, wie der Kaspersky Safe Kids, aber auch die überlebt ein Neuaufsetzen des Windows-Systems nicht.
Das Standard-Geräte-Profil ist in der FRITZ!Box natürlich gesperrt. Ganz clever wäre seinerseits das Umgehen der Sperre über das Gäste-WLAN mit neuen MAC-Adressen für den PC, aber soweit denkt er (noch) nicht. Wichtig ist für mich nur, den einen Schritt voraus zu sein...
 

Novize

Moderator
Teammitglied
Mitglied seit
17 Aug 2004
Beiträge
21,435
Punkte für Reaktionen
235
Punkte
63
Schaue mal, ob der PC, wenn via Tethering verbunden, mit einer anderen IP/MAC-Adr in der Fritz auftaucht. Die USB-Schnittstelle bildet eine eigene Netzwerkschnittstelle ab. Mit etwas Glück wird da was 1:1 zur Fritz rüber gereicht...
 

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via