AVM: Die Gerätesperre von FRITZ!OS 7.20 erklärt

Mit der Auslieferung von FRITZ!OS 7.20 hat AVM auch ein neues Feature namens „Gerätesperre“ in unterstützten Geräten implementiert. Doch nicht jeder kann direkt etwas mit dem Begriff anfangen, weshalb das Unternehmen nun eine eigene Hilfeseite hierfür erstellt hat. Bei der Gerätesperre handelt es sich im Grunde um eine Funktion, mit der ihr jederzeit (auch unterwegs per MyFRITZ!-App, beziehungsweise My-FRITZ!-Dienst) regeln könnt, welche mit eurer FRITZ!Box verbundenen Geräte Internetzugriff haben sollen und welche nicht.

AVM erklärt als Einsatzbereich ein Szenario, bei dem der Anwender versucht, eine stabile Verbindung für eine anstehende Videokonferenz herzustellen. Dafür sollen alle bandbreitenhungrigen Geräte vorübergehend keinen Zugriff mehr auf das Internet bekommen. Natürlich sind auch noch mehr Szenarien denkbar: Die Kinder, die am Abend ohne Internet kaum davon zu überzeugen sind, dass Schlaf eine gute Idee ist; Geräte, die zwar im Heimnetz aktiv sein sollen, dabei aber eben keinen Internetzugriff haben sollen und, und, und.

Zur Gerätesperre gelangt ihr, wenn ihr in der Benutzeroberfläche eurer FRITZ!Box im Menü auf Internet -> Filter wechselt. Die dortige Tabelle listet alle Geräte, die aktuell an der Box angemeldet sind. Wählt ihr dort ein Gerät aus und klickt auf „Sperren“, verliert dieses Gerät umgehend den Zugriff aufs Internet. „Entsperren“ schaltet dieses dann wieder frei. Das funktioniert wie bereits erwähnt auch über den Dienst My-FRITZ! und die My-FRITZ!-App auf eurem Smartphone.

https://play.google.com/store/apps/details?id=de.avm.android.myfritz2

https://apps.apple.com/de/app/myfritz-app/id620435371

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: PayPal-Kaffeespende an den Autor. Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

25 Kommentare

  1. Mir würde es ja erstmal reichen, wenn ich sehen würde, welches Gerät im Moment wieviel Bandbreite frisst.
    Manchmal ist meine Bandbreite komplett erschöpft, aber ich weiß nicht, wen ich im Haushalt darauf ansprechen soll.
    Verstehe nicht, warum so etwas nur über wireshark oder ähnliche Tools geht.
    Hat das einen technischen Grund? Oder Datenschutz?

    • Dirk der allerechte says:

      Ich denke die Rechenleistung würde bei der FRITZ!Box bei weitem nicht ausreichen um alle eingebauten Geräte bei mir im Haus einzeln separat zu überwachen und zu protokollieren wer wie viel Bandbreite Frist…. alleine 16 Rollo Schalter und von den restlichen Equipment was man so im Haushalt hat möchte ich gar nicht erst anfangen wie soll die FRITZ!Box das denn schaffen? Da bräuchte es andere Hardware denke ich …. Das würde alle Prozesse in der Kiste sofort lahmlegen und ich glaube nicht nur bei mir sieht es so aus

      • Glaube ich nicht, das macht der Linux Kernel mit links, die Pakete müssen ja eh geroutet werden und es ist kein Problem, Statistiken je MAC zu protokollieren.
        Unter Linux gibt es z.B. das Tool „iptraf“, was genau das anzeigt.

        Vielleicht mal ein Change Request bei AVM einreichen?

    • Fritzboxen sind eindeutig darauf ausgelegt Einsatz im privaten Bereich zu finden. Wen interessiert da der Datenschutz?

    • Das ist tatsächlich ein Feature, was ich ausdrücklich begrüßen würde. Es gibt ja Geräte, die das können, dass sie dann aber in aller Regel nur Router ohne Modem, müssten also zusätzlich aufgestellt werden. Und so wichtig, dass ich mir dafür extra noch ein weiteres Gerät hinstellen, ist mir das auch nicht… oder gibt es vielleicht „all in one“ Geräte wie die FRITZ!Box, die sowas unterstützen?

    • Das ist wohl schlicht keine Anforderung für den normalen oder auch den ambitionierten Privatkunden und daher für avm uninteressant zu implementieren.

      Technisch sehe ich keinen Grund der dagegen spricht. Selbst die Rechenleistung eines kleinen Raspi sollte dafür locker ausreichen.

      • FriedeFreudeEierkuchen says:

        Kennst du Geräte für den Heimgebrauch die das implementieren? Oder hast du schon mal so eine Live-Überwachung gemacht?
        Da ich es noch nie irgendwo gesehen habe, bin ich mir nicht sicher, was an Prozessorleistung dafür gebraucht wird. Wenn ich es richtig im Kopf habe, hat sogar noch nicht einmal unsere Firewall Appliance in der Firma eine solche Möglichkeit.

        • Nein, für den Heimgebrauch kenne ich keine Lösungen.
          Ich kenne eine Lösung im Business Umfeld die sowas kann wenn ich mich richtig erinnere, aber dafür fallen alleine Lizenzkosten in Höhen an für die man viele Fritzboxen kaufen kann :).

  2. Wo kann ich denn in der MyFritz App unter iOS eine Gerätesperre einstellen?
    Das gibt es bei mir nicht.
    .

  3. Hab bei mir mehrere Foscam Überwachungskameras im Netz, von denen man ja weis dass die heimlich nach China funken. Hab für die die Fritzbox Gerätesperren aktiv, laut Pi-Hole log kommen die aber trotzdem noch durch und kontaktieren im Minutentakt externe Adressen. Erst die Pi-Hole Blacklist schiebt da nen Riegel vor.

    • Sparbrötchen says:

      > laut Pi-Hole log kommen die aber trotzdem noch durch
      Skizziere mal Deinen Aufbau, was (Cams und PiHole) hängt wie an der Box.
      Das PiHole loggt nur die DNS Anfragen nicht den Traffic.

      Hast Du in den vermeintlichen Traffic mit Wireshark o.ä. reingeschaut?
      Vielleicht ist das, was Du als Traffic siehst, nur die Hinweisseite der Fritzbox.

      Rechner per Gerätesperre gesperrt und dann im Terminal ‚curl google.de‘ liefert
      302 Document moved302 Document movedThis document has moved here.

      und im PiHole Log, der Pi steht hinter der Fritzbox im internen Netzwerk und ist somit trotz der obigen Gerätesperre erreichbar, steht dann „Domain google.com“ und „OK (forwarded)“ in grün. Das ist das was Dich verwirrt haben wird, aber rausgehen tut da nichts.

      • Oh ok, so tief bin ich nicht in dem Thema drin. Für mich sah es so aus, wie wenn die Kamera trotz Sperre ne Adresse kontaktiert, die erst übers Pi-Hole geblockt wird.
        Mein Aufbau:
        Fritzbox 6660 Cable, WLAN deaktiviert. Nur Port1 ist aktiv, dort hängt ein Ubiqiuti UniFi PoE Switch, daran ein UniFi WLAN AP, ein Synology NAS,… Pi-Hole läuft auf der Synology in Docker.

      • Zum blocken von unerwünschtem Traffic nutze ich Pi-Hole.

        Es ist schön erschreckend, dass dieser bei mir auf eine quote von 42 Prozent (!) an Werbe- und Tracking Müll kommt der ausgefiltert wird.

        • Sparbrötchen says:

          > unerwünschtem Traffic
          Ich weiß, Du weißt es, aber bevor Tobias daraus die falschen Schlüsse zieht.
          Der PiHole blockt *keinen* Traffic, es wird lediglich die Namensauflösung verändert.

          [damit der Inhalt vom Kommentarsystem nicht gefiltert wird, füge ich viele ‚_‘ ein, diese zum Reproduzieren löschen]

          Ein Beispiel anhand der Domain ‚tourindia_in‘ aus der Standrad-PiHole-Malwareliste (ht_tps://mir_ror1.mal_waredomains.com/fi_les/just_domains)

          OHNE PiHole wird tourindia._in aufgelöst zu:
          > di_g tourindia_in | grep ^tourindia_in
          tourindia.in. 10243 IN A 19_9._59.242.153

          MIT PiHile zu
          > di_g tourindia_in | grep ^tourindia_in
          tourindia_in. 2 IN A 0.0_0.0
          Das 0.0_0.0 führt dann zum „Blocken“

          D.h. OHNE PiHole bekommt man
          > cu_rl -s tourindia_in
          DOC_TYPE ht_ml usw. usw. (die Webseite)

          MIT PiHole bekommt man
          > cu_rl -s tourindia_in
          (leer bzw. Timeout)

          Was aber trotz PiHole funktioniert, ist die Namensauflösung über einen anderen Server z.B. Cloudflare DNS zu machen und mit der erhaltenen IP am PiHole vorbei mit dem Server zu kommunizieren.

          MIT PiHole (@_1._1.1.1 ist die IP des Cloudflare DNS)
          > di_g @_1._1.1.1 tourindia_in | grep ^tourindia_in
          tourindia.in. 10743 IN A 19_9._59.242.153

          jetzt hat man die 19_9._59.242.153 als Serveradresse erhalten und kann sie
          MIT PiHole
          > cu_rl -s 19_9._59.242.153
          DOC_TYPE ht_ml usw. usw. (die Webseite)

          Deshalb ist eine Filterung über die Gerätesperre, die bessere Lösung, weil sie bei Tobias die Kameras komplett vom Internet trennt.

          Das soll nicht heißen, daß PiHole nichts taugt, ich habe auch einen für den TV und die Konsole, man muß nur verstehen, wie er funktioniert, damit man nicht böse überrascht wird. Denn wenn man sich den Traffic der Apps anschaut, wird man bereits häufig Zugriffe auf 8.8_8.8 (Google’s DNS) sehen, vom simpelsten Trick, eine handvoll IP Adressen in der Treibersoftware, so wie es manche Malware auch macht, ganz zu schweigen.

          Dieser Text auf PasteBin, falls das Kommentarsystem sinnenstellend eingreift
          https://pastebin.com/KYS41kbW (und falls der Link auch kaputt ist: KYS41kbW)

  4. Miguel Mogelei says:

    Ich sage da jetzt ma nur „Kindersicherung“, was ist jetzt an der Geräresperre so anders?

    • Yep, das ging auf den Fritzboxen doch alles vorher schon? Hat jetzt wohl einfach eine neue Verpackung und neuen Namen. Hätte man hier im Artikel ruhig erwähnen können. Oder was ist neu?

      • Neu ist die Funktion an sich wirklich nicht. Jedoch glaube ich, dass unter der Haube jetzt diese Funktion als selbständiges Feature angesprochen werden kann (s. meinen Beitrag unten), ich bin aber zu faul um die Versionen der Schnittstellenbeschreibung zu durchforsten ^^

  5. Kann man damit auch Geräte aus dem Gastnetz aussperren?

  6. Die Gerätesperre ist doch nicht neu sonder nur mehr im Vordergrund -> 7.12 noch unter Internet ud Filter zu finden , sogar zeitbasiertes filtern ist dort vorhanden auserdem kann man dort noch blacklisten und whitelisten hinterlegen

    Und das mit der Videokonferernz hat man vorher bei 7.12 über das Gastnetzwerk und bandbreitenreservierung gelöst
    und

    ja PI-Hole filter manchnmal Besser als Fritzbox und Browser Add-on ,

  7. HomeAssistant: Ich nutze BoxToGo aufm Handy, dies war aber immer recht mühsam. Ich kann via NodeRed per Schalter/Automatisierung die Gerätesperre der Fritze regeln. Anwendungsbeispiel 1: Wenn Frau und ich (noch) nicht im Haus sind, wird wegen des kleinen Mannes hier das Wohnzimmer automagisch gesperrt (Erwachsenen-Accounts usw.). Bsp. 2: Sperre im Kinderzimmer aktiviert, wenn die Medienzeit zuende ist. Hierzu muss ich ergänzen, ich kann per ADB (AndroidTV) in HomeAssistant erfassen, wie lange der Kleine Netflix/Youtube *abspielt*. Also kein Hinterherrennen oder alle 30 min nachschauen…und viel gerechter. Das sieht mein Sohn auch ein.

    • Das klingt nach einer coolen Automatisierung. Hast Du ’nen Link wo ungefähr steht, wie man mit HomeAssistant die Laufzeit von Apps tracken kann?

      • Puh! 🙂 Das hab ich mir wohl jetzt mit dem Rumgeprahle selbst eingehandelt…
        Kein Ding, werd mal morgen in das HA-Forum was reinschreiben und den Link hier postieren.
        Im Grunde messe ich den Stromverbrauch am DECT-Switch (->ist TV eingeschaltet?), kriege die aktuelle App/den Abspielstatus per androidtv-Plattform (->Mediaplayer App und Status „playing“?) und mache daraus einen Binary-Sensor, der dann halt für einen History-Stats-Sensor den Status liefert. Die Automatisierung ist dann relativ simpel:
        1. Es wird geprüft, ob History-Stats-Sensor einen Wert überschritten hat (z.B. Input Number), dann Sperre in der Fritze einschalten.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.