Vielen herzlichen Dank Marco1 für Deine Bemühungen, ich versuche mein Vorhaben nochmal zu beschreiben, ohne gleich auf Technologien bzw. Umsetzungsmöglichkeiten zu spekulieren.
Ich möchte mein lokales Netzwerk (kabelgebundenes LAN) so konfigurieren, dass niemand ohne Erlaubnis (Kennwort) ein Netzwerkkabel an Steckdose anschließen und Internet nutzen kann. Sollte es jemand tun, soll er keinen Zugriff ins Internet und auf vorhandene Geräte im LAN bekommen. Leider ist für das lokale Netzwerk weder eine Verschlüsselung, ein Kennwortschutz noch eine Liste der erlaubten Geräte vorgesehen (basierend auf der MAC-Adresse der Netzwerkadapter).
Zum Vergleich: eine ähnliche Umsetzung für WLAN (Funknetz) Geräte ist immer gegeben, da WLAN kennwortgeschützt und verschlüsselt ist (WPA2/WPA3), zudem kann die Verfügbarkeit des WLANs auf einzelne Hardwareadressen der Netzwerkadapter eingeschränkt werden.
Gibt es etwas Ähnliches auch für kabelgebundene Geräte? Leider kommt kein VPN in Frage, da viele Geräte wie Überwachungskameras keine VPN-Verbindungen kennen. Ich brauche „etwas“, vermutlich eine Firewall ähnliche Struktur, die jeglichen Zugriff aufs Netz verweigert und ihn erst erlaubt, wenn ein Kennwort eingegeben wurde. (Um Updates und Ausnahmen werde ich mich später kümmern.)
Ich habe bei verschiedenen Firmen und Bildungseinrichtungen eine derart konfigurierte Umgebung gesehen, die meinen Anforderungen entsprechen würde. Dort wurde ein Proxy-Server verwendet, welcher eine Fehlermeldung anzeigte, anstatt die entsprechende Seite anzuzeigen, wenn aufs Internet zugegriffen wurde, z.B. https://startpage.com/ , die Meldung lautete ungefähr so: „konfiguriere den SOCKS 5 Proxy zuerst“.
Bei mir sind (zum Glück) überall Netzwerksteckdosen verfügbar (für RJ-45 Stecker), welche perfekte Internetqualität überall garantieren. Es fehlt leider nur noch ein Schutz für die praktisch öffentlich zugänglichen Stecker in der Garage, Keller, Terrasse.
Aktuell muss ich zum Switch laufen und das Kabel einstecken und später herausziehen, wenn eine Netzwerksteckdose verwendet werden soll. Das vergesse ich auch gelegentlich. Zudem muss ich daheim sein um den Zugang (temporär) zu erlauben. Ich stelle das Internet gerne meinem Schwager und Nachbarn zur Verfügung, z.B. wenn eine Überwachungskamera angeschlossen oder eine Online-Fahrzeugdiagnose durchgeführt werden soll.
Problematisch wird es, wenn ein Fremder sich einfach einklinkt und eventuell etwas Illegales verübt! Das würde auf meine Kappe gehen, da meine Internetadresse verwendet wird. Ganz zu schweigen von der nicht vorhandenen LAN-Sicherheit.
Nachtrag:
Nun zu dem Vorschlag die Fritz!Box Profile zu nutzen: die einzelnen Seiten zu sperren oder zu erlauben, würde sich nur auf TCP/IP Port 80 und 443 beziehen. Aber der Tipp Profile zu nutzen war echt Gold wert, es war eine richtig gute Idee. Danke dafür! Mir gelang es auf ähnliche Weise sogar alles zu sperren. Mit Fritz!Box lässt sich tatsächlich eine White-List auf Umwegen realisieren, indem der Zugang für das Standardprofil komplett deaktiviert wird und für die bekannten Geräte im Netz ein anderes Profil (Uneingeschränkt) gewählt wird.
Sollte ich mal nicht daheim sein, kann ich immer noch angerufen werden und über die Fritz!Box Fernsteuerung (über das Internet) das unbekannte Gerät einem Onlline-Profil ohne Einschränkung zuordnen. Idealerweise wäre ein Passwortschutz gewesen, aber diese Lösung ist ein großer Sprung nach vorne. Vielen Dank dafür!
Gruß TH
