Hallo zusammen,
folgende Ausgangssituation habe ich.
Router: Fritzbox 6890 (IP: 10.0.0.138)
pihole + pivpn (wireguard) + ddclient + unbound auf einem raspberry pi 3 (IP: 10.0.0.211)
pivpn „virtual ip“ 10.135.195.0
Pihole, also gemeint ist das Gesamtsystem mit pivpn etc. läuft tadellos. In der Fritzbox ist pihole als einziger DNS eingetragen, damit alle vom werbe/trackingblocker profitieren können.
Als Android Endgeräte kommen seit neuestem zwei Samsung Galaxy S24 zum Einsatz, alles funktioniert. Sehr positiv überrascht war ich von Samsung, dass man in den Optionen unter VPN einstellen kann „VPN immer eingeschaltet“ und „Verbindungen ohne VPN sperren“. Damit kann man nicht versehentlich mal vergessen das VPN-einzuschalten.
Nun zu meinem Problem. Unser Nachwuchs wird in naher Zukunft auch mit Smartphones unterwegs sein. Aufklärung über die Gefahren im Internet halte ich für wichtig und selbstverständlich, trotzdem möchte ich gewisse Inhalte blockieren und vereinbarte (online)Zeiten einführen. Da geht es aber auch schon los, im WLAN ist das Zeitmanagement mittels Fritzbox sehr Benutzerfreundlich gestaltet, aber wenn die Kinder dann unterwegs sind und mittels VPN zugreifen, dann geht das nicht so, wie ich das gerne hätte.
In der Fritzbox werden unter Netzwerk alle pivpn-Nutzer nur als „pihole“ (der Rechnername des raspberry pi) geführt. Damit ist ein einstellen von Onlinezeiten nicht gut möglich, da es jeden VPN Nutzer gleichermaßen behandeln würde.
Ich vermute das Problem im anderen Subnetz. Wie würdert ihr hier technisch vorgehen, damit auch die VPN Clients sinnvoll im Zeitmangement der Fritzbox zugeteilt werden können?
Eine Idee wäre auch, das Zeitmanagement mittels pihole zu erledigen, nur ist mir das bisher nicht gelungen. Dafür würde ich die Clients der Kinder mit Gruppen verknüpfen die z.B. während der Schulzeit diverse Seiten sperren, Steam z.B. oder youtube - nach der Schule würden diese wieder freigegeben werden. Aber das automatische aktivieren und deaktivieren mittels cronjob habe ich bislang nicht erfolgreich hinbekommen. Der Client wurde natürlich auch der entsprechenden Gruppe zugewiesen.
Mein root-crontab sieht so aus:
#Filterlisten zeitgesteuert an- und abschalten
#zwischen 07:45 und 15 Uhr, Montag bis Freitag alles in Pi-Hole-Gruppe "Schulzeit" blockieren
45 7 * * 1-5 /bin/bash -c 'PATH=$PATH:/usr/bin; sqlite3 /etc/pihole/gravity.db "update 'group' SET enabled = 1 where name = 'Schulzeit'" && pihole restartdns reload-lists'
0 15 * * 1-5 /bin/bash -c 'PATH=$PATH:/usr/bin; sqlite3 /etc/pihole/gravity.db "update 'group' SET enabled = 0 where name = 'Schulzeit'" && pihole restartdns reload-lists'
In der Gruppe „Schulzeit“ sind nur Adressen mit blacklist.
Die Frage, ob und wann die Kinder herausfinden, dass das deaktivieren des VPN auf dem Smartphone (bzw. die Einstellung „Verbindungen ohne VPN sperren“) den Schutz umgeht, lassen wir bitte erstmal außen vor. Mir ist klar, dass das mitunter schnell gehen kann.
Über hilfreiche Antworten würde ich mich sehr freuen.