[Erledigt] USB-Tethering im Heimnetzwerk verhindern

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
K

Knoxe

Mitglied
Mitglied seit
27 Mrz 2007
Beiträge
207
Punkte für Reaktionen
5
Punkte
18
Hallo an alle!

Gibt es mit Bordmitteln der FRITZ!Box eine Möglichkeit, das USB-Tethering im Heimnetz, also die "Weitergabe" des Internetzugangs, z. B. durch Einrichtung einer Netzwerkanwendung, zu verhindern?

Hintergrund meiner Frage ist, dass der 14jährige Online-Zocker die Zeitbeschränkung per Kindersicherung am Windows-PC auf dem Weg umgeht. Er stöpselt sein Android-Smartphone, welches ohne Zeitbeschränkung online ist, einfach per USB Kabel an den PC und nutzt über Tethering einfach den Internetzugang weiter. :rolleyes:
 
In dem Fall ist die FRITZ!Box komplett außen vor. Die Box weiß nichts von ihrem „Glück“. Daher kannst Du das höchstens nur auf den anderen Geräten in den Griff bekommen, also
a) Tethering am Handy sperren oder
b) am Windows-Computer die USB-Ports für Tethering sperren.

Mein Tipp:
Anderes Forum suchen, die sich genau mit dem jeweiligen Betriebssystem (iOS oder Android x.y bzw. Windows 10 Version xyza) beschäftigen. Aus dem Stegreif wüsste ich nämlich nicht, wie das geht.
 
In der Fritzbox dem Handy ein Zugangsprofil zuweisen und entsprechend nur Mailen und Surfen zulassen.
 
sonyKatze schrieb:
In dem Fall ist die FRITZ!Box komplett außen vor. Die Box weiß nichts von ihrem „Glück“.
Zum Vergrößern anklicken....
Um das noch einmal zu erläutern: Das Tethering läuft nicht über
PC=>USB=>Handy=>WLAN=>Fritz=>Internet
sondern an der Fritz vorbei direkt über Mobilfunk:
PC=>USB=>Handy=>Mobilfunk=>Mobilfunkprovider=>Internet
 
Novize schrieb:
Um das noch einmal zu erläutern: Das Tethering läuft nicht über
PC=>USB=>Handy=>WLAN=>Fritz=>Internet
sondern an der Fritz vorbei direkt über Mobilfunk:
PC=>USB=>Handy=>Mobilfunk=>Mobilfunkprovider=>Internet
Zum Vergrößern anklicken....

Ist so nicht korrekt, denn bei USB-Tethering kann das Handy auch als "WLAN-Bridge" agieren.
 
Danke für die Antworten! Mit Mobilfunk hat das in dem Fall nichts zu tun...
Es geht um den Fall: PC=>USB=>Android-Smartphone=>WLAN=>Fritz=>Internet

Wenn das Tethering mit der Netzwerkanwendung "alles außer Surfen und Mailen" im Profil blockiert werden kann, müsste es doch auch möglich sein, eine Netzwerkanwendung "Tethering" zu erstellen, die dann im Zugangsprofil für das Smartphone in die Liste der blockierten Netzwerkanwendungen eingetragen wird.
Denn soweit ich weiß, blockiert "alles außer Surfen und Mailen" z. B. auch WhatsApp-Nachrichten.
 
Moinsen


Wenn das Smartfon via WLAN über die FRITZ!Box Internet bezieht, ja.
Dann kannste sein Smartfon ein entsprechendes Filter zuweisen.
...ist doch wohl logisch, oder?
 
Jetzt mal egal, ob USB-Tethering auch das Heimnetz weitergibt oder nicht:
Wenn Du das Heimnetz sperrst, was hindert unseren Zocker dann, sein Handy so umzustellen, dass es über Mobilfunk läuft?
 
@koyaanisqatsi
Genau um die Einrichtung eines Filters über die Netzwerkanwendungen in der FRITZ!Box geht es mir ja. Google bringt mich hier aber bei den Angaben zum Protokoll und den Portbereichen nicht wirklich weiter und die Einschränkungen bei "alles außer Surfen und Mailen" sind vermutlich zu streng. Da wird dann z. B. ggf. auch VoWLAN nicht mehr möglich sein...

@sonyKatze
Ganz einfach: Er überträgt unglaubliche Datenmengen (Stichwort: Steam) und wird demnächst wahrscheinlich eine Mobilfunk-Lösung mit 2 GB ungedrosseltem monatlichen Datenvolumen haben. Das würde dann wohl nur für 1 Stunde reichen, von daher besteht hier kein Handlungsbedarf. ;)
 
Knoxe schrieb:
VoWLAN
Zum Vergrößern anklicken....
Das sind so Themen, bei denen selbst das Forum hier noch nicht wirklich weiter ist.

„Tethering“ sieht die FRITZ!Box nicht als Anwendung. Sie sieht nur, die MAC des Mobiltelefons und den Datenverkehr als würde er direkt im Mobiltelefon ausgelöst. Die FRITZ!Box sieht keinen Unterschied. Daher würde ich Mobiltelefone am Windows Computer sperren. Und nicht anders herum. Als nächstes findet er ein Spiel, bei dem so gut wie nichts übertragen wird und so weiter … wenn Vernunft in dem Alter noch nix bringt, dann richtig sperren.
 
Bearbeite doch mal das Filter "alles außer Surfen und Mailen" dann siehst du wo die Löcher sind...
Bildschirmfoto vom 2020-12-29 12-59-12.png
Der komplette UDP Bereich ist komplett dicht.
Das schliesst zum Beispiel VoIP (SIP/UDP, RTP/UDP)/VoWiFi (500/UDP, 4500/UDP) und VPN und die meisten Spiele-Server, wenn UDP, aus.


VoWiFi
www.wlan-blog.com schrieb:
IPsec muss erlaubt sein
Sind die Anwender erstmal mit dem WLAN verbunden, ist VoWiFi wie oben erwähnt nur dann möglich, wenn IPsec-Verbindungen zu den ePDG der einzelnen Mobilfunkanbieter erlaubt sind. In den Netzwerkfirewalls sollten dazu die Ports UDP 500 und UDP 4500 freigeschaltet werden.

Sollten WLAN-Betreiber aus Haftungsgründen keine IPsec-Verbindungen zu unbekannten Zielen erlauben wollen, muss mit Whitelisting gearbeitet werden. Je nach Mobilfunkanbieter muss die IPsec-Verbindung zu den Gateways des Anbieters erlaubt werden. Und Anbieter gibt es leider zahlreich. Für das Erstellen der Whitelist habe ich hier eine Übersicht erstellt. Kommt die IPsec-Verbindung mit dem ePDG des jeweiligen Mobilfunkanbieters aber nicht zu Stande, kann VoWiFi nicht genutzt werden.
Zum Vergrößern anklicken....
Quelle: https://www.wlan-blog.com/technologie/wlan-calling-und-vowifi-was-wlan-betreiber-beachten-mussen/

Dilemma: Erlaubst du also UDP für VoWiFi erlaubst du auch VPN
...zum Beispiel zu einer FRITZ!Box eines Freundes, wo nichts gesperrt ist.
Dagegen hilft nur das: Whitelisting des Anbieters
 
Zuletzt bearbeitet:
Bedeutet die letzte Zeile nicht, dass UDP komplett offen ist?
Die Einträge sind doch die erlaubten Dinge, oder?

Edit:
Vergiss meine Frage. Durch die Aufnahme als Sperre negiert sich das ja.
 
Zuletzt bearbeitet:
Ich habe eben mal einen Test mit dem eigenem Windows-PC und Android-Smartphone gemacht.

Also das Smartphone in ein Test-Zugangsprofil mit der gesperrten Netzwerkanwendung "alles außer Surfen und Mailen" (mit den Default-Einstellungen) geschoben, den PC gesperrt und dann einfach mit dem USB-Kabel das Smartphone an den PC angeschlossen. Im Smartphone muss lediglich "USB Tethering" aktiviert werden und schon läuft das Internet am PC wieder. Leider trotz der Einschränkungen mit dem Profil.
D. h. also, lediglich eine Verhinderung des Tethering wird nicht gehen, wie von @sonyKatze in Beitrag #2 vermutet, wird sich das nicht aussperren lassen.
 
@Knoxe - Nutzt das Smartfon Mobilfunkinternet (Datenvolumen) oder das WLAN?
Denn eine Sperre kann nur wirken wenn Smartfon WLAN nutzt und Smartfon ein Filter (Mit oder ohne Internetzeit/Netzwerkanwendung/Blacklist/Whitelist) bekommen hat.
 
Es nutzt natürlich WLAN, wie im eingangs beschriebenen Szenario. Wie geschrieben, ist zumindest die Filterung mit "alles außer Surfen und Mailen" ohne Wirkung, weil USB Tethering trotzdem funktioniert.
Ich will ja nur die Möglichkeit unterbinden, dass Tethering genutzt werden kann.
 
Was hast du denn probiert? Surfen und Mailen ist ja erlaubt. Schalt mal sicherheitshalber "Mobile Daten" auf dem Handy ganz ab.
 
Und Konzentriere dich nicht auf die funktionierende PC Sperre, die umgeht er mit Smartfon.
Sperre das Smartfon zur Probe auch mal komplett.
Der Tethering Modus des Smartfons lässt sich dadurch nicht verhindern.
Dann muss er halt sein Mobilfunkdatenvolumen verbraten, aber bessere Pingzeiten wird er garantiert nicht damit bekommen und hohe Pingzeiten machen Zocker auf Servern unbeliebt und die werden vom "Gamemaster" ohne Vorwarnung gekickt.
...so war es zu meinen Zockerzeiten, bevor es Steam gab.
 
Zuletzt bearbeitet:
Wenn der 14jährige Online-Zocker Admin auf seinem PC ist, dann ist sowieso alles verloren, ansonsten deaktiviert man als Admin den Service USB-RNDIS6-Adapter unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbrndis6 mit Start=4 statt 3, dann gibt es kein Tethering mehr.

Steam benötigt fürs Online-Zocken natürlich keine riesigen Datenmengen, für neue Spiele und Updates dagegen schon.

Damit eine Kindersicherung bei aufgeweckten 10jährigen und älter überhaupt greift, muss das "Alle anderen Geräte"-Profil auf gesperrt gesetzt werden und in das "Zocker"-Profil kommt dann PC und Smartphone mit geteiltem Buget.
 
Ich möchte mich nochmal für die rege Beteiligung hier bedanken, noch einmal ein paar Punkte verdeutlichen und mein Fazit mitteilen.

Ich bin mir nicht sicher, ob es von allen korrekt verstanden wurde, aber es ging mir bei meinem Anliegen um die Sperre des Tethering für Geräte, die das Internet vom heimischen DSL-Anschluss beziehen. Mir wurde das zu oft mit Mobilfunk vermischt. Deswegen nochmal zur Verdeutlichung:
  • Die vorhandenen Android-Smartphones können - egal, welchen Internetzugang sie nutzen (WLAN oder Mobilfunk) - diesem über den USB-Anschluss mit jedem tauglichen Gerät teilen.
  • Während meines Tests gestern habe ich interessehalber mal einen Speedtest laufen lassen. Der Internetzugang über den Weg DSL-Internet <-> FRITZ!Box <-> WLAN <-> Android-Smartphone <-> USB-Kabel <-> Windows 10-PC ist genauso schnell, wie der Weg über DSL-Internet <-> FRITZ!Box <-> (Power-)LAN <-> Windows 10-PC. D. h. ich erhalte bei beiden Anschlussvarianten die Soll-Werte meines Anschlusses ca. 100/40 MBit/s down/up.
  • Meine Hoffnung war, dass man Tethering über Portsperren o. ä. blockieren könne. Im Beitrag #2 wurde mir die Hoffnung aber schon genommen, weil die FRITZ!Box gar nicht "mitbekommt", wofür der Zugang genutzt oder ob der weitergegeben wird.

Mein Fazit:
Es ging uns ja in erster Linie darum, die Umgehung des Zeitbudgets für den Windows-PC mit dem zeitlich unbegrenzten Zugang für das Android-Smartphone zu verhindern. Das hat der Junior ja mit verhältnismäßig einfachen Mitteln erfolgreich geschafft.
Da eine Tethering-Sperre in der FRITZ!Box nicht möglich ist und sich nach einem Gespräch mit ihm nichts geändert hat, bekommt er nun in der Nachtzeit den Internet-Zugang (über WLAN) für das Smartphone wieder weggenommen. Momentan hat er auch keine Möglichkeit, mobil online zu gehen. Er ist zum Glück geldmäßig so eingestellt, dass er zumindest momentan kein Taschengeld für Datenpakete etc. ausgeben wird. Ab Mitte Januar wird er monatlich 2 GB mobil zur Verfügung haben. Ob er dass dann an einem Abend zum Zocken verbrät, glaube ich noch nicht.
Danke @Olaf Ligor für den Tipp mit der Registry-Anpassung. Das wäre sicher ein Mittel, was ich mal heimlich machen könnte und wo er nicht so schnell dahinter kommt, aber er ist ganz schnell auch mal bei kompletten Reset seines PC. Eine weitere Möglichkeit wäre noch die Verwendung einer passwortgeschützten Software, wie der Kaspersky Safe Kids, aber auch die überlebt ein Neuaufsetzen des Windows-Systems nicht.
Das Standard-Geräte-Profil ist in der FRITZ!Box natürlich gesperrt. Ganz clever wäre seinerseits das Umgehen der Sperre über das Gäste-WLAN mit neuen MAC-Adressen für den PC, aber soweit denkt er (noch) nicht. Wichtig ist für mich nur, den einen Schritt voraus zu sein...
 
Schaue mal, ob der PC, wenn via Tethering verbunden, mit einer anderen IP/MAC-Adr in der Fritz auftaucht. Die USB-Schnittstelle bildet eine eigene Netzwerkschnittstelle ab. Mit etwas Glück wird da was 1:1 zur Fritz rüber gereicht...
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 728 (Mitglieder: 44, Gäste: 684)

Neueste Beiträge

Statistik des Forums

Themen
244,835
Beiträge
2,219,193
Mitglieder
371,538
Neuestes Mitglied
bremer.henning
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück