Internet in 1030 - was nehme ich?

Die Fonira Fritzbox ist nicht beschnitten, falls das deine Sorge ist Hatte die 7530 mehrmals im Einsatz und kann nur positives berichten. Mesh supereasy, regelmäßige Updates, gutes Webinterface,.. Ich glaube deine Anforderungen erfüllt sie auch.

Ok, danke.

Es geht nur darum, dass die Mitarbeiter/Kunden im leider notwendigen WLAN nicht mit anderen Geräten reinkommen und dort strafbare Inhalte konsumieren für die der WLAN-Betreiber haften muss.

Sonst hat man ihr vorgeschlagen für 100€ im Monat (zusätzlich zum Internet) ein WLAN-Wartungspaket abzuschließen - da war aber nicht von 24/7 die Rede. Und ich würde mal schauen, ob wir es nicht selber gut genug hinkriegen.

Ich weiß nicht ob die Fritzbox das kann, aber am Ubiquiti USG pro (zB. - können sicher viele andere prosumer-geräte auch) kann man 802.1x über MAC adresse einrichten.
Du musst dir halt bewusst sein, dass eine Mac Adresse 1. recht leicht herauszufinden und 2. recht leicht zu spoofen ist.
Ein Kennwort, dass außer ihr keiner kennt ist da wahrscheinlich sicherer.

Nur weil das WLAN eine andere SSID hat ist's noch immer das selbe WLAN.
Du müsstest entweder ein eigenes vlan pro SSID konfigurieren können oder halt einfach eine deny all Firewall Regel und die jeweiligen Geräte dann für die entsprechenden Dienste freischalten.

Ich hab keine Frtizbox da und es gab seit der letzten einige größere Firmware releases. Aber meist ist es egal welches Radio. Danach kannst keine Regeln erstellen.

Aber ich würd einfach mal probieren wie weit du kommst. Vermutlich reicht es fixe IP zu vergeben und die Regeln dann nach der IP zu setzen

Ich hab die Fritzbox und Fonira.
beim WLAN hab ich 'Guest' deaktiviert, dann einmal mit "limited" und einmal "unlimited" Zugriff. Noch keine Probleme damit gehabt.

jedes neue Gerät kommt automatisch ins limited und muss von mir manuell auf unlimited umgestellt werden - falls wirklich mal jemand das WLAN rausfindet und reinkommt.

Wieder ein kleines Update:
Standort 1110 braucht wohl bauliche Maßnahmen (=Aufstemmen des betonierten Tankfeldes) um Festnetzinternet zu verlegen.

-)Mobiles Inet mit 4G hat dort 40/10Mbit z.b. bei drei und da reden wir von der max. Bandbreite!
5G gibts von mehreren Anbietern aber man ist eher am Rand der Abdeckung. Und die Tarife sind imho superteuer.

=>Sprich wenn ich einfach von Anfang gesagt, passt, geh zum Hofer und kauf unlimitiertes Internet (20€/Monat mit 40/10) hätte ich das gleiche Ergebnis wie ohne der Recherche. Immer schön, arbeit sinnlos zu machen. Alleine die ganzen bescheuerten Telefonate oO.


-)Das Device um das es geht ist übrigens nicht ein Tablet sondern irgendein Spezialdevice von "Zebra" mit einem Barcode-Scanner und einer proprietären Ladestation. Das ganze basiert auf Android 8 mit einem proprietären App-Store und jegliche Internetfunktion abgesehen von der vorgesehenen ist gesperrt.


-)Sicherheit des WLANs
Zusätzlich hab ich jetzt ein WPA2-WLAN mit versteckter SSID, MAC-Adressen-basierter Whitelist, Passwort und ich hab auch noch ein paar Website mittels Kindersicherung für die entsprechende MAC gesperrt. Sprich selbst wenn ein Mitarbeiter das Gerät zerlegt um die MAC-Adresse abzulesen und zu spoofen braucht er immer noch das WLAN-Passwort und kann nicht auf Standard-Websites. WPS und NFC am Router hab ich deaktiviert, damit sie nicht den Knopf verwenden können.

Also ich denke für einen Kunden der kurz da ist, ist es sicher genug. Und wenn der Mitarbeiter es tatsächlich schafft, das alles zu machen kann man schon von einer gewissen "kriminellen Energie" ausgehen, sollte es zu einer Verhandlung kommen. (ob ein Mitarbeiter auf Facebook ist, ist eh jedem egal - für Warez oder illegale Pornos haftbar zu sein halt weniger).

SSID Verstecken und MAC Whitelist ist halt mittlerweile eher unnötig. Beides lässt sich sehr einfach raus finden ohne physischen Kontakt zu haben.

Ansonsten wirst damit aber 99,999% der "drive-by" verhindern und würd ich mal so lassen.
WPA2 ist da der eigentliche Schutz