Internet Sperren außer eine Domain + port

[unkenntlich]

Ich habe einen Tapo stecker dem ich das Internet wegnehmen möchte. Leider verliert er dann seine NTP Verbindung und zeigt keinen Verbrauch mehr an.
Kann ich in der Fritzbox eine domain + Port freigeben und den rest blockieren?
pool.ntp.org port 123

Ich habe es schon versucht die NTP Adresse auf die Liste mit den erlaubten Websites zu setzen aber das scheint keinen Erfolg zu haben. Erlaubt er dann nur Port 80 und 443?

 

[Stationary]

Das ist in Deiner Fritzbox aktiviert?

 

[unkenntlich]

Sieht bei mir so aus. Ich hab auch pihole im einsatz. Ich könnte auch die domain auf die fritzbox umbiegen....
edit:
https://www.tp-link.com/de/support/faq/3123/
leider steht hier nicht direkt welcher NTP Server genutzt wird. Das umleiten über pihole hat auch nichts gebracht.

 

[Stationary]

Aber im pihole siehst Du dann doch, womit der Tapo kommunizieren möchte. Kannst Du da nicht den ntp idenfizieren und whitelisten?

 

[unkenntlich]

Und wie whitelisten? In der Fritzbox?

 

[Stationary]

Ah, o.k. Ich dachte vielleicht sperrt der pihole da schon etwas. Die Abfrage ist aber schon erlaubt. Das Problem mit den Tapo‘s scheint zu sein, daß die die Zeitabfrage samt Server in der Firmware codiert haben, sie hier: https://www.reddit.com/r/PFSENSE/co...s_for_tp_link_smart_plug_time_sync/?rdt=53333
Da wird das gelöst, indem Port 53 für UDP freigegeben wird, oder in einer der Antwort auf NAT Regeln in der Firewall verwiesen wird. Für die Fritzbox ist das aber keine wirkliche Lösung.

Ich nehme mal an, Du hast dem Tapo in der Fritzbox jeglichen Verkehr zum Internet abgedreht (also am Gerätelogo dort jetzt diesen roten Kreis mit dem roten Schrägstrich.
Du könntest versuchen, den in der Fritzbox wieder freizugeben und stattdessen ein „per client blocking“ im pihole für den Tapo (bzw. eine Gruppe enthaltend mehrere Tapos) aufzusetzen, wo dann alles gesperrt ist, außer pool.ntp.org.
Da müßtest Du aber mal suchen, wie das genau umgesetzt wird, das habe ich bisher noch nicht gemacht.
Oder den Tapo mal frei laufen lassen und manuell alles blacklisten, was er zu erreichen versucht, außer den Zeitserver.

 

[Barungar]

Oder aber im pihole einfach einen lokalen CNAME für pool.ntp.org anlegen, der mit fritz.box beantwortet wird.
Es geht doch nur darum "einen" NTP-Server zu erreichen, soweit ich weiß macht auch die FritzBox intern NTP.

 

[Stationary]

Das wäre dann hier:

 

[Stationary]

CNAME für pool.ntp.org

Das biegst Du dann aber für alle Geräte immer auf die Fritzbox um, oder?

 

[Barungar]

Naja, alle Gerät die den PiHole nutzen, landen dann wenn sie einen NTP-Server aus dem "pool.ntp.org" erreichen wollen bei der FritzBox... ja. Aber soviele Geräte fragen gar nicht den globalen Pool ab. Viel häufiger kenne ich es eigentlich, dass de.pool.ntp.org gefragt wird. Und der würde ja noch "normal" beantwortet.

 

[unkenntlich]

Das hat leider nicht geholfen.
Es wird nach einem neustart des Steckers noch kein Stromverbrauch angezeigt.
Ich denke mal die gehen zurück zu Tapo....

 

[Stationary]

Hast Du als target anstelle der IP mal fritz.box versucht?

 

[unkenntlich]

jetzt ja aber hilft auch nicht

 

[Stationary]

Irgendwo stand mal geschrieben (in irgendeinem HAOS thread glaube ich), daß UDP Port 123 zugänglich/freigegeben sein muß für die plugs.

 

[Stationary]

Du könntest also mal versuchen, in der Fritzbox ein Profil anzulegen, bei dem alles verboten ist, außer UDP 123. Dazu mußt Du vorher eine Filterliste anlegen, die UDP 123 freigibt. Dann im Profil alles sperren, bis auf diese Liste.

 

[unkenntlich]

Ich hab folgende Lösung jetzt:


Das ist die einzig erlaubte Seite.

und im pihole:


das geht jetzt.

 

[unkenntlich]

Du könntest also mal versuchen, in der Fritzbox ein Profil anzulegen, bei dem alles verboten ist, außer UDP 123. Dazu mußt Du vorher eine Filterliste anlegen, die UDP 123 freigibt. Dann im Profil alles sperren, bis auf diese Liste.

Wie genau geht das?
Bei den Filterlisten gibt es doch nur die 3?

Erlaubte Internetseiten: bearbeiten

Gesperrte Internetseiten: bearbeiten

Erlaubte IP-Adressen: bearbeiten

 

[Stationary]

Etwas weiter unten unter Netzwerkanwendung hinzufügen erstellst Du einen Filter für UDP Ports 1-122 und 124-65535.
Bei den Gerätefreigaben nutzt Du dann diesen Filter als Sperrliste.

 

[unkenntlich]

Etwas weiter unten unter Netzwerkanwendung hinzufügen erstellst Du einen Filter für UDP Ports 1-122 und 124-65535.
Bei den Gerätefreigaben nutzt Du dann diesen Filter als Sperrliste.

Müsste ich dann nicht alles sperren also auch TCP?


und dann im Profil:


Internetseiten erlauben?

edit:
das scheint so zu gehen.
HA zeigt Cloud connection getrennt aber der stromverbrauch wird angezeigt.

Hätt ich mal zigbee Stecker gekauft.
Richtig dumm, dass da einfach hard coded NTP server drin stehen.
Ich werde glaub ich bei der Lösung bleiben mit block auf Fritzbox und nichts im Pi Hole, da ich dann nur ein Gerät (FB) brauche um die Verbindung zur Cloud abzuklemmen. Nachteil: Es wird halt Internet gebraucht.
Zur Vollständigkeit:


Es wird noch eine weitere URL genutzt. Ich überlege time.nist.gov zur FB umzuleiten, falls mal Internet weg ist, dann kann er das noch lokal auflösen.