Aktivierte WhiteList blockt temporär alle Internetseiten

S

stevie-42

New member
Hallo allerseits,

ich muss auf nur 60 Internetseiten zugreifen. Aus Sicherheitsgründen sollen alle anderen URLs geblockt werden. Am DSL-Anschluss hängt eine Fritzbox 7530 AX und ich habe darauf eine White List erstellt mit eben den 60 URLs und dem Zugangsprofil Standard gesagt, dass die Internetseiten gefiltert werden sollen mit eben angesprochener WhiteList. Weitere Beschränkungen wie zeitliche Limitierungen habe ich nicht eingerichtet.

Das funktioniert zu 80% der Zeit super, aber dann gibt es über den Tag verteilt immer längere Zeiträume von bis zu einer Stunde, zu denen gar keine Internetseite mehr aufgerufen werden kann (Timeouts). Meist warten die anderen dann, bis es irgendwann wieder geht. Wenn ich allerdings die Internetseiten-Filterung mal kurz rausnehme (das Zugangsprofil also alles erlaubt), ist der Zugriff sofort wieder möglich (dann aber auf das gesamte Internet). Schalte ich die WhiteList wieder scharf, dauert es 2-3 Minuten und es werden wieder alle Internetseiten geblockt...bis irgendwann nach 30 Minuten oder länger wieder die Internetseiten in der Whitelist aufgerufen werden können.

Das Verhalten habe ich schon seit mindestens einem Jahr und die Fritzbox aktualisiert sich selbstständig mit der jeweils neuesten Version. Das Verhalten ist unheimlich nervig, aber ich konnte selbst durch intensives Googeln keine Ursache finden. Vielleicht hat in diesem Forum jemand eine Idee?

Ich sollte noch etwas zur Konfiguration sagen:
- Fritzbox hängt an einem VDSL-Anschluss
- Zwischen Fritzbox und den Clients hängt ein großer Switch.
- Alle Clients sind per LAN verbunden
- Clients sind Windows 10 und Windows 11
- Die Fritzbox holt sich den DNS vom Internetanbieter (easybell)
- Alle Clients haben statische IP-Adressen im 24er-Netz. Die Fritzbox ist als Gateway und als primärer DNS eingetragen. Alternative DNS immer 8.8.8.8.

Wenn jemand eine Idee hat, würde ich mich über Feedback freuen!

Stevie-42
 
Hy.

Ist in der Tat etwas eigenartig. Ich würde hier erstmal so anfangen:

- ein Gerät mal direkt anschließen und hier am besten mal DHCP aktivieren
- den alternativen DNS raus nehmen und nur die FB DNS machen lassen
- mal das Verhalten über ein WLAN Gerät direkt neben der FB prüfen
- mal in den Log der FB hier sollte was drin stehen wenn Sie es blockiert
- wechselnde MAC deaktivieren ( reicht auch erstmal an einem Gerät)
 
Guten Tag @stevie-42,
willkommen im Forum.
Ein bekanntes Problem ist dass die Whitelist im Zusammenhang mit einer zeitlichen Steuerung nicht funktioniert. Schau bitte mal alle Einstellungen nach ob dort irgendwo eine Zeitsteuerung aktiviert ist. (Kindersicherung, Benutzerzugang etc.)
 
Hallo,

vielen Dank, dass ihr euch meine Frage angeschaut und überlegt habt, woran es liegen kann. Leider hat es mich bisher nicht weitergebracht.

Ich habe bei dem Zugangsprofil kein Zeitbudget oder andere zeitliche Einschränkungen vorgegeben. Als das Problem vorhin wieder auftrat, habe ich bei einem Client den 2. DNS im Windows-System rausgenommen, so dass nur noch die Fritzbox als DNS eingetragen war - machte keinen Unterschied. Dann habe ich komplett alles auf DHCP umgeschaltet. Das Gerät hat zwar eine neue IP bekommen (DHCP hat also funktioniert), aber Internetzugriff ging weiterhin nicht. Das Problem trat zeitgleich bei den anderen Clients auch auf. Im log der Fritzbox ist absolut nichts zu auffälliges zu sehen. Den Tipp mit den Deaktivieren von wechselnden MAC-Adressen konnte ich mangels Know-how nicht umsetzen. Wie kann ich das unter Win10/11 für LAN deaktivieren?

Wenn ich der einzige Fritz-Box Nutzer bin, der bei aktivierter White List ab und zu keinen Zugriff auf die eigentlich erlaubten Seiten hat, wird es sicher kein Bug im FritzOS sein. Nur bin ich mit meinem Latein echt am Ende. So viele Einstellungsmöglichkeiten erlaubt die Fritzbox ja nun auch nicht, das man da viel falsch einstellen könnte...

Jedenfalls danke für das Feedback!

Viele Grüße,

Stevie-42
 
Hallo @stevie-42,
nicht gleich aufgeben. So etwas ähnliches habe ich schon einmal im Zusammenhang mit der Kindersicherung gehört. Ich denke mal Du wirst nicht der Einzige mit diesem Problem sein. Wende Dich doch mal an den Support von AVM. Vielleicht weis man da etwas.
Wie wichtig ist denn die Internet Sperre? Möglicherweise könnte man einen weiteren Router für die Sperre verwenden.
 
Spielebernd schrieb:
Wem ist da was bekannt?
Zum Vergrößern anklicken....
Das habe ich in diversen Foren gelesen. Und dabei auch diese Information gefunden:
"Einige Internetseiten können beispielsweise nicht bei aktiver Whitelist angezeigt werden, da die Internetseite Inhalte von anderen Internetseiten nachlädt, für die keine Einträge in der Whitelist vorhanden sind. So werden z.B. beim Aufruf von www.wikipedia.org auch Daten von www.wikimedia.org geladen. Ist in der Whitelist nur wikipedia.org eingetragen, kann diese Internetseite nicht richtig dargestellt werden."
Zum Vergrößern anklicken....
 
Also ist ein bekanntes Problem wenn es irgendwo ein Einzelfall in einem Forum ist. Gut zu wissen.

Der zweite Absatz ist korrekt und ist aus einer AL von AVM rauskopiert. Das trifft in seinem Fall aber nicht zu da es ja ja geht und dann wieder nicht und dann wieder ja.
 
Bekannt ist ein Problem wenn es jemand kennt. Ein Einzelfall war es nicht.
Das mit der Whitelist stammt ursprünglich von AVM das ist richtig (und auch aus diversen Foren). Ob es für diesen Fall zutrifft oder nicht hängt, glaube ich, von der Webseite ab. Es gibt ja auch dynamische Webseiten. Außer dass die Fritzbox nicht richtig funktioniert wäre das noch eine halbwegs plausible Erklärung.
 
Hallo,

@Spieleabend: super danke für den Link zu MAC-Randomization. Aber bezieht sich das nicht nur auf WLAN-Zugänge? In meinem Fall habe ich alles per LAN angebunden. Das Gerät direkt an der Fritzbox unter Umgehung des Switches anzuschließen habe ich noch nicht versucht, aber welchen Einfluss hätte der Switch auf das Ein- oder Abschalten einer White List? Mit AVM hatte ich auch bereits telefoniert. Es wurde mir gesagt, dass mein Setup prinzipiell korrekt sei, aber ich ich solle es zusätzlich mit der offiziellen Dokumentation abgleichen.

@alle: Es ist schön zu sehen, dass ihr alle mir helfen wollt! Vielen Dank!!

Loxley fragt bereits, wie wichtig die Internet-Sperre für mich sei. Na ja, es geht natürlich auch ohne, aber es es hat mich der Ehrgeiz gepackt. Es stört mich, wenn ich etwas nicht verstehe, obwohl es auf den ersten Blick gar nicht so schwer erschien.

Ich wurde ja auch gefragt, ob ein zweiter Router in der Mitte nicht die Lösung sei. Die Fritzbox-Lösung sah so einfach aus... Tatsächlich habe ich es aber auch mit PfSense als Firewall versucht. Leider gehört die Fritzbox nicht mir alleine, daher kann ich den Router nicht abschalten und sie als reines Modem verwenden. Das führt in Verbindung mit PfSense zu doppeltem NAT und damit zu ähnlichen Problemen: der Internetzugang ist ab und zu sehr langsam, lange TCP-Connections brechen unvermittelt ab. Aber ich habe gelesen, dass man OPNSense, den Fork von PfSense, mittlerweile unter Umgehung eines eigenen NATs zum WAN betreiben kann. Vielleicht versuche ich das in Verbindung mit dem Web Forward Proxy, denn vermutlich ist das noch eine Stufe sicherer als die White List einer Fritzbox. Damit ich von außen per Wireguard auf das LAN der OPNSense zugreifen kann, muss man aber recht viel einstellen. Ich weiß nicht, ob mein Wissen dafür ausreicht oder ob ich damit alles viel schlimmer mache...

Na ja, das ist der Stand. Vielen Dank, dass ihr euch die Zeit für mein Problem genommen habt. Sollte ich die Ursache finden oder wirklich eine Lösung per OPNSense realisieren, werde ich das hier oder im OPNSense-Forum vorstellen, um auch etwsas zurückzugeben.

Schöne Grüße,

Stevie-42
 
Moinsen,
Wenn gewünscht kann auch die pfsense ohne NAT betrieben werden hinter der fritzbox. Einfach ausschalten, WAN interface absichern...
Ich betreibe fritzbox mit pfsense und doppelt NAT seit Jahren ohne jedes Problem. Auch der VPN Zugang läuft. Die pfsense ist exposed host, klappt top.
 
Moinsen,
Zum Thema: vielleicht wäre ein Raspi mit pihole eine Alternative? Nicht gleich die volle pfsense Kanone, aber Möglichkeiten um viele viele Dinge auszublenden...? So als Idee.
 
Ach, das NATten kann ich der PfSense auch abgewöhnen? Interessant, vielleicht doch eine Alternative. Wenngleich es auch spannend wäre, mal die OPNSense kennenzulernen. So ohne NAT muss ich WAN und LAN eine IP im gleichen Subnetz zuteilen, richtig? Dann wäre ja auch die Nutzung von Wireguard auf der Fritzbox (statt PfSense) möglich und ich könnte aus der Ferne sowohl die Fritzbox administrieren als auch auf alle Geräte im LAN zugreifen?

PiHole hatte ich auch angedacht, aber ich mag den Raspi nicht bzw. die billigen Netzteile der Bundles, von denen mir letztes Jahr eines fast die Wohnung abgefakelt hätte. Seitdem versuche ich auf billige unbeaufsichtigt angeschlossene Netzteile und Ladegeräte zu verzichten wo es geht. Und da ich sowie einen großen Proxmox-Server laufen habe, wäre eine PfSense- oder OPNSense-VM fast kostenneutral und ohne weitere Hardware. PiHole/PfSense/OPNSense scheinen mir erfolgversprechender als der Fritzbox-Weg. Jetzt fehlt nur noch die Extra-Packung Freizeit für das nun größer gewordene Projekt "Absicherung"...
 
Gerne.

Die MAC sollte auch bei LAN random einstellbar sein das müsste ich jetzt in der Tat aber auch nach prüfen.

Zum Switch. Das ist im Grunde die gleiche Idee wie die MAC Adresse. Die FB sperrt gern die Zugänge komplett wenn z.B. ein Gerät die MAC Adresse öfters wechselt oder unterschiedliche IP-Adressen mit der gleichen MAC Adresse kommen.

Sehr gut hier unter Punkt 2 beschrieben:

https://fritz.com/service/wissensda...verhindert-falschlicherweise-Internetzugriff/

Muss nicht zu treffen lässt sich aber ja leicht testen.

In Summe kannst du mit einer pfsense oder ähnliches deutlich mehr machen und feiner einstellen. Die FB ist hier eher recht dünn und gelegentlich auch etwas eigen gerade bei den ganzen MAC-Adressen Themen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 53 (Mitglieder: 1, Gäste: 52)

Neueste Beiträge

Letzte Anleitungen

Statistik des Forums

Themen
6.920
Beiträge
67.134
Mitglieder
7.284
Neuestes Mitglied
Joachim66

Teilen

Zurück
Oben