Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: NoxNox 06. 10. 2020, 16:16:37
-
Je mozne vytvorit na 1 routeru 2 WiFi site, kazda s jinou DNS? Jedna sit by provozovala klasicky "necenzurovany" internet, druha "omezeny" filtrovany pres Pi-hole. V nastaveni bezneho routeru jsem tuto moznost nenasel, ve screenshotech nastaveni Turrisu taky ne, Mikrotik to mozna v te zaplave nastaveni ma, ale nemam tuseni kde.
Neprovozuje tu nahodou nekdo neco takoveho? Zatim me jako nejjednodussi reseni napada pouzit 2 routery.
-
https://www.google.com/search?q=openwrt+guest+wifi+netowrk&ie=utf-8&oe=utf-8
-
Člověk se občas nestačí divit, co za ptákoviny někdo požaduje... :D
-
Obecně to lze, záleží na routeru a dalších faktorech.
Druhá věc je, že je to víceméně k ničemu - spousta práce, přinese to nové problémy, otravuje to uživatele a přínos je zanedbatelný. Jakmile se ještě víc ujme DNS over HTTPS, tak to bude k ničemu úplně.
-
Jenda: Diky, OpenWRT me nenapadl. Dle jejich webu tam existuje polozka Use custom DNS servers.
LukePole: Lidi vymysli veci... jinak tohle je proto, ze BFU si spadnuty Pi-hole nenahodi, tak aby v pripade problemu furt alespon nejaky internet fungoval. Plus je jednodussi nekomu rict at se pripoji k jine WiFi siti nez mu vysvetlovat jak prenastavi si DNS.
-
Pi-hole k čemu? Blokování reklam? To lze udělat nějakým uBlock, AdBlock apod. Nebo blokování domén? To každý stejně nějak obejde, když bude chtít. Takže u mě je to ptákovina a jak někdo napsal, přínos zanedbatelný :)
-
Řekl bych že to co popisuješ je tzv. síť pro hosty a pak dokonfigurovat DNS pro ní. Minimálně v Turrisu je síť pro hosty standardně, ale pro DNS konfiguraci musíš jít přes Luci rozhraní.
-
Pi-hole k čemu? Blokování reklam? To lze udělat nějakým uBlock, AdBlock apod.
Což jsou rozšíření konkrétního browseru, kam se musí instalovat ve všech instancích (pokud to vůbec jde), udržovat, nefunguje to in-app etc. Pi-hole je řešení trochu obecnější povahy (i když kompletní https inspekce protočená přes icap server je mnohem lepší. A zrovna v tomhle případě nechcete aby přes to šla i guest vlan, třeba kvůli nutnosti importu CAcertu)
Nebo blokování domén? To každý stejně nějak obejde, když bude chtít. Takže u mě je to ptákovina a jak někdo napsal, přínos zanedbatelný :)
Ne, není to Váš use-case. Ptákovina vypadá úplně jinak ;-)
LukePole: Lidi vymysli veci... jinak tohle je proto, ze BFU si spadnuty Pi-hole nenahodi, tak aby v pripade problemu furt alespon nejaky internet fungoval. Plus je jednodussi nekomu rict at se pripoji k jine WiFi siti nez mu vysvetlovat jak prenastavi si DNS.
Možná bych se zaměřil na to proč padá a pokud už spadne, jak to udělat, aby se detekovala chyba a nahodil se automaticky. Je to SW problém? většina služeb se dá nějak monitorovat a v případě chyby restartnout apod. Je to HW problém? To se řešilo úspěšně už před 30 lety - spousta BBS měla něco jako HW reset, v nouzi klidně pomocí druhého PC které mělo dvířka CDROM nasměrovaná proti resetu, od té doby vznikla mnohem sofistikovanější řešení... Nebo tam dejte ty maliny s pihole dvě, do DHCP dejte dva DNS servery a když jedna spadne, tak to pojede přes druhou.
-
J ouda: Pi-hole mi zatim prestala jit jen jednou, restart nepomohl, musel jsem vyndat a vratit pametovou kartu. Provozuji to na RPi 4B, ktera je ve skrince, kde se na ni nesaha, takze mozna otresy, jinak me pricina nenapada. Az bude oficialne fungovat bootovani z USB, tak to zkusim predelat. Ten HW reset BBS me pobavil, inu uz tenkrat byli lide vynalezavi. Druhe RPi zatim nemam, ale taky je to alternativa, byt drazsi (routeru tu mam nekolik, ale RPi jen jednu). Jinak dekuji.
-
@NoxNox
No vidíte, problém jste popsal. Dá se řešit dvěma způsoby: a) přijít na příčinu (např. vadný hardware), b) redundancí.
Podle mě redundance není cesta, protože nemáte vyřešené, aby se to samo napravilo. Problém trochu odsunete, ale projeví se stejně, jen později.
Už jsem to psal výše. Nezapomeňte, že prohlížeče víc směřují k používání DNS-over-HTTPS a z hlaviček provozu zmizí čitelní SNI. Takže v dohledné době filtrování na úrovni DNS bude úplně k ničemu a inspekci na úrovni HTTPS taky neprovedete. Nedával bych proto takovému řešení moc energie, než ho doladíte, tak úplně skončí.
-
Je mozne vytvorit na 1 routeru 2 WiFi site, kazda s jinou DNS?
...ve screenshotech nastaveni Turrisu taky ne...
jo, jde to i na Turrisu/openWRT, i na mikrotiku. Je to v nastavení DHCP serveru.
-
BFU si spadnuty Pi-hole nenahodi, tak aby v pripade problemu furt alespon nejaky internet fungoval
Tak v DHCP přiřazuj 2 DNS. Pi-hole a nějaký veřejný nebo router.
Požadavek se na OpenWRT vyřeší jednoduše tím, že se interfacu guest WiFi nastaví DNS.
-
Tak si nastav primární DNS to tvoje PiHole a na svých zařízeních si ho nastav natvrdo na nějaké jiné a máš to :) hostovaná zařízení dostanou přiřazené to PiHole a když budeš chtít tak si to na svém změníš :)
-
Pi-hole k čemu? Blokování reklam? To lze udělat nějakým uBlock, AdBlock apod.
Což jsou rozšíření konkrétního browseru, kam se musí instalovat ve všech instancích (pokud to vůbec jde), udržovat, nefunguje to in-app etc. Pi-hole je řešení trochu obecnější povahy (i když kompletní https inspekce protočená přes icap server je mnohem lepší. A zrovna v tomhle případě nechcete aby přes to šla i guest vlan, třeba kvůli nutnosti importu CAcertu)
Co takhle zkusit adblock přímo na routeru - plnohodnotnný je docela nenažraný bumbrlíček, ale adblock-simple funguje dobře.
-
Už jsem to psal výše. Nezapomeňte, že prohlížeče víc směřují k používání DNS-over-HTTPS a z hlaviček provozu zmizí čitelní SNI. Takže v dohledné době filtrování na úrovni DNS bude úplně k ničemu a inspekci na úrovni HTTPS taky neprovedete. Nedával bych proto takovému řešení moc energie, než ho doladíte, tak úplně skončí.
Tak a přesně proto se DoH vyřazuje v takových řešeních na prvním místě (a nikdo si to nedovolí ve finále obejít protože korporace a firemní sítě), a přesně proto je třeba doplnit https inspekci (lépe řečeno modifikaci) aby to fungovalo rozumně.
-
Tak a přesně proto se DoH vyřazuje v takových řešeních na prvním místě (a nikdo si to nedovolí ve finále obejít protože korporace a firemní sítě), a přesně proto je třeba doplnit https inspekci (lépe řečeno modifikaci) aby to fungovalo rozumně.
Což Vám bude taky brzy k prdu, až se nedostanete k informaci ze SNI. Pak už zbude jen proxy server a přetloukat certifikáty interními (což zase nemají všechny aplikace v lásce).
-
Co takhle zkusit adblock přímo na routeru - plnohodnotnný je docela nenažraný bumbrlíček, ale adblock-simple funguje dobře.
To je jak tak rychle koukám snad to samé, nějaká forma ip firewallu + úprava DNS.
Někde to funguje, ale je spousta stránek nebo aplikací, kdy narazíte na limity. Třeba inline image (to bez rozbalení https nevyřešíte), reklama na stejném hostu jako užitečná data, nebo když malware obsahuje část nutné funkcionality takže abyste všechno nerozbil, musíte klientům dodat desinfikovanou stránku.
-
Což Vám bude taky brzy k prdu, až se nedostanete k informaci ze SNI. Pak už zbude jen proxy server a přetloukat certifikáty interními (což zase nemají všechny aplikace v lásce).
Přečtěte si prosím ještě jednou na co odpovídáte, o žádném SNI tu není řeč. A pak si přečtěte třeba tohle https://support.mozilla.org/en-US/kb/canary-domain-use-application-dnsnet
ad certificate pining - v tomto případě věřím v moc volného trhu. Banky se obvykle dávají do whitelistu, a zbytek - hádejte kdo si lajsne od své úžasné aplikace odříznout nudící se korporátní zaměstnance kteří se tam přes ten jejich websense prostě nedostanou.
(mimochodem, nechcete politiku a propagaci DoH řešit v samostatném vlákně?)
Edit: Navíc si račte uvědomit, že je diskuse jak to chápu "jak ve své síti plošně vyřešit blokování reklam/malware" - tady bych viděl vypnutí všech nesmyslů které vznikly s jasným business modelem "ať můžu uživatele šmírovat jen já a nikdo další" jako první věc.
-
(mimochodem, nechcete politiku a propagaci DoH řešit v samostatném vlákně?)
Můžeme.
Hlavní moje sdělení bylo, že filtrovat na úrovni DNS požadavků je nevhodné a neúčinné. Běžnému uživateli to zkomplikuje život, virus nebo šťouravého uživatele to nezastaví. A podle popisu leží problém jinde - v tom, že padá něco, co by mělo běžet.
-
Miroslav Šilhavý: Asi to casem skutecne skonci, ale mel jsem tu jedno RPi volne a cetl o Pi-hole, tak zkousim, co vse je a neni mozne. Nepracuji v IT, tohle je konicek. Existuje neco ucinnejsiho nez blokovani pomoci DNS, co lze pouzit i v domacim prostredi?
Jose D: Diky.
Bugsa: Ja ma za to, ze kdyz zadam druhou DNS, tak co Pi-hole zablokuje, to druha DNS zase pusti a nebude to fungovat.
-
Existuje neco ucinnejsiho nez blokovani pomoci DNS, co lze pouzit i v domacim prostredi?
Podle toho, co řešíe. Pokud jde o Vaše domácí počítače, tedy stroje, kde můžete něco nainstalovat, spravovat a domluvit se s členy domácnosti, pak je účinnější nějaký blokovač do prohlížeče.
Pokud potřebujete chránit síť bez ohledu na to, co uživatel natropí, pak bych zatím využil reverzní proxy, která dokáže blokovat i HTTPS požadavky. Je to ale odvislé od SNI, na které se taky nedá 100% spolehnout.
A pokud potřebujete ještě vyšší ochranu a zároveň máte přístup k počítačům, pak to řešit přes nastavení proxy serveru a pinování certifikátů (tj. proxy server důvěřuje CA, které má povolené, ale dovnitř do sítě užívá svůj interní certifikát).
Vše záleží na očekáváních a tom, kolik času tomu chcete dát.
Osobně bych dál než do ad blockeru nešel (a i ten způsobuje tu a tam problémy).
-
Jde mi o beznou domaci sit = router, pocitace, notebooky, mobily. V prve rade moje vlastni, v druhe rade kdybych to nekdy zarizoval nekomu jinemu, lehce pokrocilejsimu uzivatele alespon trochu dbajicimu na bezpecnost. Melo by to chranit proti malware, otravnym reklamam a telemetrii-stalkingu.
Z tohoto duvodu je blokovac do prohlizece nedostatecny, neb nektere weby detekuji prave tyto blokovace a navic to neresi ostatni programy nebo veci typu televize pripojena k internetu.
Plus by to mel zvladnou zaridit i clovek, ktery se IT nezivi a ma to jako konicka. Bohuzel nemam pristup k jikomu, kdo se necim podobnym zivi nebo se v tom vyzna, protoze realna zkusenost je vzdycky lepsi nez 100 navodu z internetu.
-
Rozumím.
Ty zkušenosti jste zde obdržel. To, co očekáváte, naplnit nelze a jsou k tomu různé technické důvody, ne neschopnost či neochota. Pokud Vás před tím odrazuji, tak jen kvůli tomu, abyste neztrácel životní čas nad věcí, kterou by spousta lidí ocenila a nikdo neumí pořádně vyřešit.
-
I zkusenost, ze vyfukovanim tabakoveho koure do vody zlato nevznika, musel nekdo ucinit. Takze dekuji vsem pritomnym za pomoc, alespon ted vim, kde jsou limity. Pi-hole necham bezet, dokud to bude alepson trochu fungovat a pak se uvidi.
-
Jde mi o beznou domaci sit = router, pocitace, notebooky, mobily. V prve rade moje vlastni, v druhe rade kdybych to nekdy zarizoval nekomu jinemu, lehce pokrocilejsimu uzivatele alespon trochu dbajicimu na bezpecnost. Melo by to chranit proti malware, otravnym reklamam a telemetrii-stalkingu.
Z tohoto duvodu je blokovac do prohlizece nedostatecny, neb nektere weby detekuji prave tyto blokovace a navic to neresi ostatni programy nebo veci typu televize pripojena k internetu.
Plus by to mel zvladnou zaridit i clovek, ktery se IT nezivi a ma to jako konicka. Bohuzel nemam pristup k jikomu, kdo se necim podobnym zivi nebo se v tom vyzna, protoze realna zkusenost je vzdycky lepsi nez 100 navodu z internetu.
Ten adblok co jsem myslel já je na routeru, dá se doinstalovat do normální instalace openwrt a funguje nejen na weby, ale i na různé hry a aplikace i smarttv - co nedává je YouTube. Jinak nevím, že by nějakou stránku/aplikaci vysloveně rozbil - co samozřejmě ale nefunguje jsou třeba odměny za sledování reklamy v duolingu. Ale aplikace jako taková v pohodě funguje
-
I zkusenost, ze vyfukovanim tabakoveho koure do vody zlato nevznika, musel nekdo ucinit. Takze dekuji vsem pritomnym za pomoc, alespon ted vim, kde jsou limity.
Nechápu, vždyť řešení je hned v první odpovědi. Vytvoříš druhou wifi síť, pustíš pro ni druhý dnsmasq, a nastavíš mu jiný rozsah IP adres a jiné DNS.
-
KoalaM: Aha, Adblock na Openwrt, coz podle me bude podobne jako Pi-hole na Turrisu, coz by take malo jit provozovat.
Jenda: To bylo spis mysleno na to, ze si v budoucnu budou aplikace pouzivat vlastni DNS.