Auteur Topic: SafeAccess per gebruiker en niet per apparaat?  (gelezen 1092 keer)

Offline bartmans99

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 91
  • Berichten: 743
SafeAccess per gebruiker en niet per apparaat?
« Gepost op: 02 januari 2021, 08:51:33 »
Hi,

Ik heb me de afgelopen dagen verdiept in SafeAccess voor mijn RT 2600ac.

Op zich werkt het prima. Maar is het mogelijk om voor verschillende gebruikers met verschillende accounts op 1 laptop verschillende profielen aan te maken? Het lukt me alleen om een laptop toe te wijzen aan een profiel maar niet een specifieke gebruiker van die laptop.

Kan me voorstellen dat dat ook lastig is, maar zou wel fijn zijn om 'gedeelde' laptops verschillende 'rechten' te geven.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: SafeAccess per gebruiker en niet per apparaat?
« Reactie #1 Gepost op: 02 januari 2021, 12:14:54 »
Je kunt gebruikersprofielen aanmaken. Waar je vervolgens dan de door hen gebruikte apparaten toewijst.
Maar zoals jij het zou willen regelen met "gedeelde" laptops is dat helaas niet in te stellen.

In te stellen filtering gebeurt op basis van een MAC-adres van een apparaat.
Dat het apparaat de ene keer dan een andere filtering moet hebben tegenover een ander tijdstip,
afhankelijk van de gebruiker die het apparaat dan gebruikt, kan op basis van "datzelfde" MAC-adres dan niet worden afgedwongen.

En dan is het tegenwoordig ook nog dat bij de jongere versies  Android  en  iOS, het MAC-adres dan ook nog eens varieert.
Daarmee worden dit soort "Parental Control" functies om zeep geholpen.

Nou ja, je kunt het MAC-adres van een apparaat wel zodanig instellen dat het niet varieert, en altijd hetzelfde is.
Mag je hopen dat kinderen die functie / instelling niet kennen.  Als ze niet al te technisch zijn lukt dat nog wel.
Maar is er onder het vriendenclubje bij die kinderen net eentje wat slimmer, en kent die functie,
is een filtering voor ieder al meteen afgelopen.

Of je moet filtering op het gehele netwerk afdwingen.  Ongeacht het apparaat geldt het dan voor iedereen.
Daar zou je dan nog wel een tijdschema aan kunnen koppelen.  Maar veel mogelijkheden blijven er niet meer over.

Filtering via alternatieve DNS-servers gelden voor iedereen indien op router / netwerkniveau ingesteld.
Of je zou het per apparaat wat kinderen gebruiken in het apparaat zelf moeten vastleggen.
(Met vergelijkbare "WizKid" problematiek die het omzeilt).  Maar ook dan geldt dat  "per apparaat"  en niet  "per gebruiker".
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: SafeAccess per gebruiker en niet per apparaat?
« Reactie #2 Gepost op: 02 januari 2021, 12:38:18 »
En dan is het tegenwoordig ook nog dat bij de jongere versies  Android  en  iOS, het MAC-adres dan ook nog eens varieert.
Daarmee worden dit soort "Parental Control" functies om zeep geholpen.

Weet je dat zeker? In de eerste versies van randomiseren werd het via wifi en bluetooth getoonde mac adres wel gerandomiseerd als je over straat liep, maar als er daadwerkelijk een verbinding opgebouwd werd, was het adres weer de standaard waarde.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: SafeAccess per gebruiker en niet per apparaat?
« Reactie #3 Gepost op: 02 januari 2021, 12:46:35 »
Half jaar terug of zo heb ik het specifiek met een nieuwe smartphone met Android 10  "vast" moeten instellen.
Om zodoende een vast IP-adres (eveneens op basis van MAC-adres) te kunnen behouden.
Daar merkte ik dat namelijk aan. Stond standaard op "wisselen".

Als ik het nu teruglees bij wat opties op het internet gevonden. Zou het per WiFi-netwerk wel hetzelfde blijven?

https://support.boingo.com/s/article/How-to-Disable-MAC-Randomization-in-Android-10-Android-Q

Phones running the Android 10 operating system (aka Android Q)
have a new feature that randomizes the MAC address for different WiFi connections.
This feature is enabled by default,.....


Misschien dat ik dat toen merkte in testen met WiFi met de verschillende WiFi SSID-namen die ik gebruik voor 2.4 en 5 GHz,
daarnaast ook een WiFi gast netwerk.

Betekent dat je thuis alles via WiFi onder één SSID-naam zou moeten houden.
Of anders per verschillend SSID en "per apparaat" die op die wijze dan meerdere keren onder verschillende MAC-addressen kan terugkomen, dat allemaal in Safe Access zou moeten vastleggen?   Het wordt er allemaal niet makkelijker op gemaakt.

Nog wat achterliggende info en adviezen:

https://kb.nmsu.edu/page.php?id=106430
https://www.antlabs.com/advisory-ios-14-and-android-10-how-do-randomized-mac-addresses-affect-your-network/
https://help.firewalla.com/hc/en-us/articles/360055342613-How-to-turn-off-MAC-Address-Randomization-
https://wifi-helpcenter.nokia.com/hc/en-us/articles/360056890733-Issues-with-random-MAC-addresses-Android-10-iOS-14-
https://cujo.com/mac-address-randomization/
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline bartmans99

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 19
  • -Ontvangen: 91
  • Berichten: 743
Re: SafeAccess per gebruiker en niet per apparaat?
« Reactie #4 Gepost op: 04 januari 2021, 21:55:40 »
Misschien off topic. Ik snap dat wat ik wil via SafeAccess niet kan. Ik snap ook dat slimme kinderen (dat hebben ze natuurlijk van mij :-) overal omheen kunnen.

Maar voor de leeftijd (8 jaar): zijn er nog andere opties? Want het filter (weliswaar op MAC, even los van bovenstaande, interessante punt) doet op zich zijn werk best goed. Is het dus dat accepteren of zijn er nog andere mogelijkheden, software, hardware die ik kan bekijken om ze (voorlopig) nog even te beschermen tegen de wat ... extremere ... content op internet.


Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: SafeAccess per gebruiker en niet per apparaat?
« Reactie #5 Gepost op: 04 januari 2021, 22:38:56 »
Eerder al aangekaart.

Of je moet filtering op het gehele netwerk afdwingen.  Ongeacht het apparaat geldt het dan voor iedereen.
Daar zou je dan nog wel een tijdschema aan kunnen koppelen.  Maar veel mogelijkheden blijven er niet meer over.

Filtering via alternatieve DNS-servers gelden voor iedereen indien op router / netwerkniveau ingesteld.


Bekende voorbeelden zijn bijv. de filtering via  "Open DNS family Shield".

Maar dan nog, met steeds meer versleutelde content en opzoek resultaten,
zul je tevens moeten zoeken naar DoH versleutelde services, die daarin kunnen filteren.
Elk heeft zo zijn voor- en nadelen, en mogelijk zul je moeten combineren met enkele services?
Welke er allemaal ter beschikking zijn, is me eigenlijk niet bekend. Ik zit niet meer in de jonge kinderen.

Door mezelf niet uitgeprobeerd, maar als je zeker bent dat telkens "hetzelfde" MAC-adres wordt gebruikt per gebruikt WiFi netwerk,
wat eerder door @Briolet is aangehaald en wat volgens informatie eigenlijk op die wijze dan niet verder wisselt, ben je er ook,
met de standaard oplossing met wat Synology dan biedt?

Wel omslachtig, omdat afhankelijk van het aantal verschillende WiFi netwerken je dan evenzoveel "verschillende" MAC adressen hebt voor hetzelfde apparaat.  Dan zou je voor een profiel van zoon of dochter, dan het aantal "verschillende" apparaten (voor hetzelfde apparaat) daar aan moeten toevoegen.  Blijft staan dat het niet te regelen valt dan ook nog per verschillende gebruiker van een laptop daar onderscheidt in te maken.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: SafeAccess per gebruiker en niet per apparaat?
« Reactie #6 Gepost op: 05 januari 2021, 01:05:54 »
…om ze (voorlopig) nog even te beschermen tegen de wat ... extremere ... content op internet.

Er bestaat natuurlijk ook software die je op het device zelf instelt. Op MacOS kun je per gebruiker een ouderlijk toezicht instellen.

Bij mijn Ziggo router (Ubee) kun je dat ook per gebruiker instellen. Elke keer dat je na de eerste start van de browser het internet op wilt, moet je een account en wachtwoord opgeven. Het accounts van de kinderen heeft dan beperktere rechten. Als dat bij de Ubee kan, zou dat technisch ook bij de Synology router kunnen.

Het meest haalbare, voor jonge kinderen, is het aanpassen van de DNS server in het device van de kinderen (Smartphone). Dus niet via dhcp, maar een fixed server die content filtert. Daarvan zijn er vele. o.a. OpenDNS bied zo'n filtering.

Echter, dat is een filter die alles doorlaat, tenzij het op een blacklist staat. En het lukt nooit elke nieuwe site bij te houden. Ik heb  de DNS van OpenDNS in mijn router ingsteld als default server van mijn netwerk. En voor de grap heb ik al jaren geleden ingesteld dat hij elke site met sigaretten en drank moet blokkeren. Dat lukt voor de grote biermerken, maar sites van kleine Nederlandse en Belgische brouwerijen mist die.

Als je echt alles wilt filteren, moet je alles blokkeren en alleen sites op een whitelist toelaten. (zo werkt het filter op mijn Ziggo router ook. Maar als je zelf die Whitelist moet samenstellen, blijft het toegankelijke internet wel klein.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac