Parental Control centralizzato su linea FTTH 10Gb: limitazioni orarie "a ticket" e ge

[Prof.Sassaroli]

Ciao a tutti, sto cercando di strutturare un sistema di Parental Control casalingo che sia solido e, soprattutto, gestibile in modo centralizzato.
Non mi spaventa mettere le mani su riga di comando o Docker, ma sto incontrando alcuni limiti strutturali con l'attuale setup.
L'obiettivo principale è gestire l'accesso a siti e app specifiche (es. YouTube, TikTok, Gaming) con un tetto orario globale (es. max 1 ora al giorno per dispositivo). Una volta scaduto il tempo, vorrei che apparisse una schermata di blocco che permetta l'inserimento di una password o un ticket di sblocco per concedere tempo extra (stile sistema "Ticket" dei FRITZ!Box).
Vorrei poter differenziare i profili (es. restrizioni pesanti sui tablet dei figli, filtri minimi o assenti sulla Smart TV e sui miei PC).
Ho una linea FTTH 10Gb con router TIM Sagemcom.
Il router TIM è chiuso. Non permette una gestione avanzata dei DNS o profili utente evoluti, né tantomeno l'installazione di software di terze parti.
So che NextDNS o AdGuard Home possono bloccare i domini per orario, ma non possono gestire il "conto alla rovescia" dei minuti di utilizzo effettivo né mostrare una pagina di sblocco con password una volta terminato il tempo.
Sto valutando l'acquisto di hardware dedicato da tenere acceso 24/7 nell'armadio rack/di rete, possibilmente a basso consumo:
1. Raspberry Pi 4 (2GB) è una soluzione economica e flessibile su cui far girare AdGuard Home in Docker. Dubbi sulla durata della MicroSD e sulla scalabilità.
2. NAS QNAP (es. TS-133) invece mi permetterebbe di unire la parte Media Center alla parte Parental Control tramite Container Station (Docker), garantendo più stabilità rispetto al Raspberry.
3. Router in cascata (es. FRITZ!Box) di cui mi attira la gestione nativa dei ticket, ma temo che mettendo un FRITZ! in cascata al router TIM perderei i benefici della linea 10Gb sui miei dispositivi principali (per via del limite delle porte WAN/LAN a 1Gb o 2.5Gb dei modelli commerciali) e comunque è anche una soluzione costosa.

Esiste un modo per implementare una gestione "a tempo con password" (Captive Portal o simili) direttamente sul NAS o sul Raspberry che sia efficace? O sono costretto a utilizzare soluzioni lato client perdendo la centralizzazione?
Accetto suggerimenti anche su software specifici o configurazioni Docker che mi sono sfuggite.
Grazie in anticipo per il supporto!

[Kaya]

Magari vado fuori tema ma.. se invece di lavorare sulla rete lavori lato APP ?
Banalmente con la gestione di microsoft e family link di android sui dispositivi (o app di terze parti pensate proprio per questo)

ma non so se è la soluzione che serve a te..

[Pierzucchi]

Filtrare il DNS non è un metodo sicurissimo. Dipende dal livello informatico di chi devi bloccare.
Potresti utilizzare un router con a bordo OpenWrt + captive portal + AdGuard Home.
La butto lì perchè non l'ho mai provato il captive portal di OpenWrt