OPNsense Forum
International Forums => German - Deutsch => Topic started by: cadzen on March 19, 2018, 02:49:28 pm
-
Hallo,
ohne lange Geschichten zu schreiben ...
Gegeben ist ein (Home)-LAN mit OPNsense vor einem LTE-Router und 30 GB Highspeedvolumen monatlich. Im LAN tummeln sich diverse Geräte die ins Internet wollen/können/dürfen. Leider übertreiben es die Kids häufig und verbraten noch vor Monatsende (manchmal auch eher) das Highspeedvolumen. Glaubt mirs, reden hilft nichts ... und der Breitbandausbau lässt auf sich warten.
Gesucht ist eine Lösung wie ich jedem Gerät (MAC) und/oder Nutzer im LAN ein festes monatliches Internet-Budget zuteilen kann. Ist das verbraucht gehts nur noch gedrosselt weiter. Komplett weg vom Internetzugang ist aber auch nicht möglich, da z.B. Threema auf den Smartphones noch funktionieren soll. Die Kids sollen halt ihr "Internet-Buget" bekommen und wenn das nach einer Stunde Youtube gucken aufgebraucht ist, ist eben gut für den Monat!
Hab bei meinen Recherchen noch nicht das passende für mich gefunden. Radius Accounting greift zu kurz, da erwische ich nur die WLAN- bzw. 802.1X fähigen Endgeräte und z.B. nicht die Playstation's. Selber was basteln ... die Zeiten in denen ich nächtelang vor der Kiste gehockt habe sind glaub ich vorbei ;-)
Lässt sich da was mit OPNsense machen? Welche Alternativen gäbe es?
Grüße
cad
-
Also ich kenn da kein Feature was OPN da an Bord hat. Die Firewall trackt keinen Traffic, also kann die auch nix blocken. Der Shaper kann nicht mit der Firewall intelligent interagieren. Squid hat ein Trafficmanagement, kann aber nicht ab X bytes throttlen, FreeRadius hat nur ein Daily Session Limit.
Du scheinst ja doch schon etwas Ahnung zu haben, im Repo von OPN sind einige andere Proxy pkg's. Vielleicht gibts einen anderen Proxy der das kann, dann könnte ich dir dazu ein Plugin basteln, ich glaub es sind so 3-4 Proxylösungen dabei. Aber wie gesagt, ich mach nur Squid .. bin aber gerne bereit dir was zu basteln wenn die Software so ne Intelligenz hergibt.
https://pkg.opnsense.org/FreeBSD:11:amd64/18.1/latest/All/
-
PPTP oder wie das macht doch sowas. Damit funktionieren halt die meisten Endgeräte nicht...
-
@mimugmail
Danke für deine Hinweise. Ich werd da mal reinschauen. Im Moment ist aber die Zeit wieder bisschen knapper.
Mit Freeradius geht schon einiges. Da gibts auch fertige Sachen, z.B. daloradius oder radiusdesk. Oder was selbst gebasteltes [1] [2]. Freeradius bringt da auch selbst schon einiges mit.
[1] https://aacable.wordpress.com/tag/freeradius/
[2] https://www.dfn.de/fileadmin/1Dienstleistungen/Roaming/AccountingRoaming-Workshop-Strauf-WiTUC.pdf
Die Authentifizierung der WLAN Clients läuft bei mir ja schon über einen Freeradius mit Anbindung an ein Samba4-AD (nicht auf/über OPNsense). Das Accounting da ranzubasteln ist mir aber zu aufwendig. Die fertigen Sachen sind mir zu fett - eher was für Hotspotbetreiber. Und: Ich erwische wieder nicht alle Geräte. Nur die im WLAN und die wo 802.1X fähig sind. Was einfaches scheint es für diesen meinen Anwendungsfall nicht zu geben. Obwohl mir der bei meinen Recherchen des öfteren über den Weg gelaufen ist. Scheint Bedarf zu geben in Großfamilien, WG's etc. ...
Ich hab einen Cisco SG-200 im Netz hängen. Kennt sich da jemand aus ob das vielleicht mit einem "besseren", event. Layer-3 Switch geht?
Obwohl mir die OPNsense hier als am geeignetesten erscheint. Ich will ja "nur" den Internettraffic pro Gerät zählen und ggf. drosseln, ggf. am WAN-Port. Und der Traffic läuft ja nun mal komplett über die OPNsense. Wenn ich den ganzen Verkehr aus dem LAN erst wieder über einen Proxy schicke, müsste ich dort erst wieder die netzinteren Daten rausfiltern ... Mhmmm :-(
Ich hoffe die magentafarbene Truppe macht ein bisschen schneller und stellt mir bald einen VDSL Anschluss. Da hat sich das Thema dann erledigt ... und der Mist mit der Routerkaskade ... und das Provider-NAT und, und, und
-
Gibts da nicht jetzt die echte Flat für 80 EUR? Ich hatte wg. Umzug über nen Monat nur LTE, hab jeden Tag ne day flat gebucht aber dann fein TV in HD geschaut :P
Also wenn der Proxy auf der OPN läuft muss der Traffic ja nicht wild rumgeschickt werden.
Du brauchst halt irgendeine Intelligenz die überwacht und dann eine Action ausführt. Entweder in der Firewall oder in Software. Da die Firewall das nicht hat und der use case zu gering ist dass sich einer die Arbeit macht bleibt wohl nur die Hoffnung dass ein bestehendes Stück Software das schon beherrscht.
Ich kann heut in der Mittagspause mal die Featureliste von den Dingern überfliegen ...
-
80 Euro ... da könnt ich, nachdem ich den Kids auf die Finger geklopft habe wenn die 30 GB verbraucht sind, auch etliche Male nachbuchen für das Geld. Hab einen Business Mobile Data XL Zuhause. Gibts so nicht mehr.
OK. Danke für deine Mühe. :)
-
Hab alle durchgeschaut, gibts nicht .. und Quota mit Squid is auch nicht möglich. Da gibts wohl nen Redirector (SQUISH), ist aber nicht maintained.
-
OK. Noch mal Danke für deine Mühe.
-
Schöne Diskussion und schade, dass da nichts zu finden ist bislang, ich hatte die Frage jetzt auch schon einige Male aber die "Intelligenz" bzw. Verknüpfung zwischen IP/MAC auf der einen Seite und verbrauchtem Traffic auf der anderen Seite. Hmm tricky...
Aber @cadzen: Du schreibst oben was von WiFi schon mit Radius abgedeckt via Samba4AD? Läuft nicht zufällig auf irgendeinem NAS oder derlei? :)
-
Squid kann externe ACLs - mit denen ist sehr viel möglich.
-
@ JeGr: Samba4-AD und Freeradius laufen unter Debian in einer VM.
@ fabian: OK. Hab nur mal kurz %Suchmaschine% angeschmissen ... Klingt vielversprechend. Muss ich mich mal reinlesen. Weil du das in die Runde geworfen hast: Hast du da Erfahrungen? Könnte das für meinen o.g. Anwendungsfall passen?
-
Hab ich noch nicht verwendet aber ich weiß, dass es das gibt.
Im Grunde macht das nix anderes als ein externes Programm fragen und das sagt dan ja oder nein. Wie damit umgegangen wird, hängt dann von der squid config ab.
-
Das wäre ja SQUISH .. es ist nur nicht mehr maintained ..
-
Hab noch bisschen "geforscht" ...
(Free)Radius in Verbindung mit einem geeigneten Switch kann auch MAC basierte Authentisierung. :) So könnte ich dann auch die PS4's und andere nicht 802.1X fähigen Geräte ins Accounting einbeziehen.
z.B. https://www.administrator.de/wissen/netzwerk-zugangskontrolle-802-1x-freeradius-lan-switch-154402.html
Mein Cisco SG-200 sollte die MAC basierte Authentisierung können. Und für das Accounting findet sich was. Da hatte ich schon einige Beispiele wie sich das mit Freeradius realisieren lässt. Muss aber wohl doch selber basteln.
Fall "X" ist nämlich schon wieder eingetreten. Es ist noch mehr Monat als Highspeedvolumen übrig. >:(
-
@cadzen: bin bei der Suche auf den Thread gestoßen... suche auch eine Lösung für die Kids mit Drosselung und nicht vollständigem Aussperren. Letzteres sollte ja mit Radius (in Verbindung mit Captive Port?) funktionieren.
Hast Du zwischenzeitlich eine Lösung oder ist die in magenta "erschienen"?
Gruß von einem verständigen Vater..
-
Ich bin grad dabei Freeradius mit SQLite zu pimpen, dann fehlt noch etwas Design und paar Patches. Aber rechne mal eher im September damit, dann hab ich wieder mehr Zeit.