Fórum Root.cz
Hlavní témata => Sítě => Téma založeno: kvas 16. 04. 2021, 08:54:06
-
Ahoj, poradite mi prosim ako dosiahnut tento stav?
Domacnost ma niekolko Win/Lin/Android zariadeni. Chcem aby vsetky zariadenia komunikovali s okolitym svetom\internetom vyhradne cez proxy branu. Nieco podobne som zazil v praci, bezne sa to tak nastavuje v korporatoch, ale neviem presne co mam googlit. Kludne budu stacit len protokoly HTTP/HTTPS.
Motivacia: nastavit blohovanie reklamy na jednom mieste.
-
To je zbytečně komplikované řešení zahrnující inspekci provozu HTTPS. Ta sice možná je, ale je potřeba do všech zařízení nainstalovat kořenové certifikáty vlastní autority a je s tím dost práce.
Mnohem jednodušší je nainstalovat si v síti vlastní DNS (třeba Unbound (https://www.root.cz/clanky/unbound-dns-resolver-s-podporou-dnssec-za-dve-minuty/)) a blokovat nechtěné domény. Je to snadné na konfiguraci, nezatěžuje to nijak ten server a není třeba zasahovat do klientů.
-
super, dakujem za tip, to ma nenapadlo, ale asi to bude este lepsie ako planovane riesenie.
Mohli by ste mi este zjednodusene popisat architekturu tohoto riesenia?
1) mam doma router
2) za nim (v internej sieti) bude asi potrebna nejaka "krabicka/raspberry/miniPC", kde bude bezat DNS server
3) ako vynutit pouzivanie mojho DNS servera na klientovi? aktualne nic nenastavujem, predpokladam, ze sa pouzivaju DNS servery od Telekomu.
-
Umi ten router nastavovat firewall pravidla? Jestli ne, tak to nevynutite. Maximalne to nastavite pres dhcp, ale kdokoli si to muze zmenit.
-
Jak píše kolega, nastaví se to v DHCP serveru v routeru. Z toho berou klienti informace o síti, včetně DNS resolverů, které mají používat. Takže se jim automaticky nastaví třeba 192.168.1.100, kde běží to Raspberry a je to.
Uživatelé si to samozřejmě můžou v konfiguraci změnit, ale tohle nemá být bezpečnostní řešení, ale blokační. Nepředpokládám, že si manželka, děti a tchyně na návštěvě budou měnit DNS resolver, aby viděli nechtěné domény.
-
je to ZTE Speedport Entry 2i od telekomu. firewall pravidla predpokladam dokaze, ked je na nom pozne nastavit port forwarding. a ma to aj nastavenie DHCP - aktualne to smeruje sam na seba (192.168.1.1)
ale priznam sa, torchu sa v tom zacinam stracat: na zaciatku sme sa bavili o vlastnom DNS a teraz sa bavime o DHCP.
pre istotu:
DNS resolvuje domeny na ip adresy
DHCP prideluje IP adresy klientom
ako to spolu suvisi?
mam tu zalozku DDNS - ale tam sa nastavuju nejaki predvoleni poskytovatelia + nejake provider URL a ziadna moznost ako "own DNS" tu nie je.
este raz som si precital petrovu odpoved (nejdem mazat text hore): takze ja okrem DNS potrebujem aj vlastny DHCP server. v rootri potom nastavim IP adresu DHCP servera na tu skatulku a tym zaroven poviem rootru, ze tam je aj moj vlastny DNS? to sa mi zda divne, ale nemam s tym skusenosti, takze je mozne, ze to tak funguje.
-
je to ZTE Speedport Entry 2i od telekomu. firewall pravidla predpokladam dokaze, ked je na nom pozne nastavit port forwarding. a ma to aj nastavenie DHCP - aktualne to smeruje sam na seba (192.168.1.1)
ale priznam sa, torchu sa v tom zacinam stracat: na zaciatku sme sa bavili o vlastnom DNS a teraz sa bavime o DHCP.
pre istotu:
DNS resolvuje domeny na ip adresy
DHCP prideluje IP adresy klientom
ako to spolu suvisi?
mam tu zalozku DDNS - ale tam sa nastavuju nejaki predvoleni poskytovatelia + nejake provider URL a ziadna moznost ako "own DNS" tu nie je.
este raz som si precital petrovu odpoved (nejdem mazat text hore): takze ja okrem DNS potrebujem aj vlastny DHCP server. v rootri potom nastavim IP adresu DHCP servera na tu skatulku a tym zaroven poviem rootru, ze tam je aj moj vlastny DNS? to sa mi zda divne, ale nemam s tym skusenosti, takze je mozne, ze to tak funguje.
DHCP nepřiděluje stanici jen IP, taky options - v základu adresy dns serverů a defaultní brány.
Ale je možné že ten router to neumí jinak než natvrdo a tak tu volbu nevidíte.
-
Bude vám stačit jen to vlastni DNS - používám https://adguard.com/cs/adguard-home/overview.html k plné spokojenosti na orangepi (raspberry pi).
Pokud váš router neumí měnit options pro DHCP, můžete se na jeho schopnosti vyignorovat a DHCP v něm vypnout úplně - ten adguard má v sobě i DHCP server.
-
super, dakujem za tip, to ma nenapadlo, ale asi to bude este lepsie ako planovane riesenie.
Mohli by ste mi este zjednodusene popisat architekturu tohoto riesenia?
1) mam doma router
2) za nim (v internej sieti) bude asi potrebna nejaka "krabicka/raspberry/miniPC", kde bude bezat DNS server
3) ako vynutit pouzivanie mojho DNS servera na klientovi? aktualne nic nenastavujem, predpokladam, ze sa pouzivaju DNS servery od Telekomu.
Na widlích nemusíte brát adresu dns serveru z dhcp, i když máte vlastní IP z DHCP, ale pak ji musíte nastavit všude ručně na vlastnostech adapteru, což je z bláta do louže.
-
vacsinou su to Linux/Android zariadenia, takze riesenie len pre Win je pre mna nezaujimave. rovnako sa mi zda, ze ten adguard nebezi na linuxe - opat nevhodne.
prepokladajme ze:
1) router neumoznuje nastavit vlastny DNS
2) router umoznuje nastavit vlastny DHCP server
riesenie by teda bolo:
1) v krabicke rozbehnut DHCP + DNS
2) v routri nastavat IP adresu DHCP servera na tu krabicku, ktora bude mat zamozrejme staticku IP adresu
3) nasledne pride svokra na navstevu, pripoji sa telefonom do siete a automaticky sa jej nastavi vsetko tak, ze sa jej niektore domeny/reklamne nebudu zobrazovat (budu zakazane na tom DNS) = toto je ciel, samozrejme, ak uzna za vhodne, ze ich chce vidiet, tak si moze nastavit vlastny DNS, ako pise petr dole
je to tak spravne? ospravedlnujem sa za "navtrdlost", chyba mi ten high level pohlad/architektura - tie detaily dole som uz schopny si dohladat.
-
... nainstalovat si v síti vlastní DNS ...
A nebude se náhodou vlastní DNS ignorovat kvůli DoH? Zatím, pokud vím, není DoH zapnuté by default (chrome, ff), ale usilovně se o to snaží. Pak by stejně byl nutný zásah do klientů (jim to povypínat). Proxy by byla jistota i do budoucna. Ideálně obojí, proxy i vlastní DNS.
-
k tej proxy som sa chcel vratit:
zatial sa mi toto riesenie s DNS/DHCP nezda jednoduchsie ako s tou proxy, rozvediem ako som to myslel s tou proxy.
ja som nechcel na tej proxy nechcel filtrovat HTTPS. chcel som tam iba do /etc/hosts nastavit sadu domen, ktore by sa resolvovali na 127.0.0.1 (ako to mam teraz na mojom pc) a tym padom by boli zablokovane aj na klientoch - aspon predpokladam, ze to tak funguje.
-
Pokud v prohlížeči nakonfigurujete HTTP/HTTPS proxy, půjde provoz přes ní a i HTTPS můžete filtrovat na úrovni domén – i při HTTPS komunikaci přes proxy posílá prohlížeč proxy příkaz k navázání spojení s cílovým serverem, takže tam můžete přístup k doméně zablokovat.
Hromadně nastavit proxy pro celou síť je možné. Používá se k tomu protokol WPAD – prohlížeči je možné dát vědět přes DHCP nebo přes DNS, jaký proxy server má využívat. Ale závisí to na tom, že je v prohlížeči zapnuté automatické použití proxy serveru (což je snad ve všech prohlížečích výchozí nastavení). Vizte např. článek proxy auto-config (https://en.wikipedia.org/wiki/Proxy_auto-config) na Wikipedii.
-
Verze s DNS a DHCP je mnohem jednodušší. DHCP není třeba instalovat, to už máte a v síti může být stejně jen jeden server. Tomu stačí změnit konfiguraci, aby předával info uživatelům, že DNS je teď jinde.
Na tom „jinde“ se nastaví DNS resolver, což je jednoduchá akce. V jeho konfiguraci se pak vyjmenují výjimky na zóny, které se budou odbavovat lokálně a budou prázdné. Je to jednoduché, používám to tak na blokování některých domén v síti. Na internetu se dají najít hotové seznamy domén rozesílajících reklamy. Stačí hledat „unbound adblock“.
-
Verze s DNS a DHCP je mnohem jednodušší. DHCP není třeba instalovat, to už máte a v síti může být stejně jen jeden server. Tomu stačí změnit konfiguraci, aby předával info uživatelům, že DNS je teď jinde.
Na tom „jinde“ se nastaví DNS resolver, což je jednoduchá akce. V jeho konfiguraci se pak vyjmenují výjimky na zóny, které se budou odbavovat lokálně a budou prázdné. Je to jednoduché, používám to tak na blokování některých domén v síti. Na internetu se dají najít hotové seznamy domén rozesílajících reklamy. Stačí hledat „unbound adblock“.
pocitovo mi to pride ako jednoduchsie riesenie, ale ako som spominal, na tom rootri zrejme nie je mozne zmenit info, kde sa nachadza DNS server a tym padom musim asi rozbehnut okrem DNS aj vlastny DHCP.
"Tomu stačí změnit konfiguraci, aby předával info uživatelům, že DNS je teď jinde." - toto je kamen urazu, nenasiel som v konfiguracii routra moznost, kde to zmenit.
-
Moc se s tím se**te.
Dle příspěvků asi úplně zběhlým v administraci serverů nejste. Pak nejjednodušším řešením v poměru výkon/námaha je pouze nastavení serveru DNS (v routeru), který to udělá za vás. Zrovna včera jsem tu uváděl https://adhole.org/ (https://adhole.org/). K tomu je vhodné pro jistotu na firewallu zablokovat adresy profláklých serverů DNS jako 4 osmičky atd., ale není to nutné.
V případě, že byste chtěl blokovat i něco navíc, už budete muset Pi-hole nainstalovat a donastavit. Dodatečná filtrace dle IP se taky hodí (ale už je to víc práce).
-
Moc se s tím se**te.
Dle příspěvků asi úplně zběhlým v administraci serverů nejste.
plne s vami suhlasim. ale ako pisem dole, tomu routru asi nie je mozne nastavit vlastny DNS.
nasiel som inu diskusiu, kde to tiez riesili.
https://linuxos.sk/forum/24221/
este ma napadlo: na telekomackom routri vypnut wifi, a zan pridat moj vlastny a ten si uz mozem nastavit ako potrebujem do zblaznenia:)
-
Pokud nelze nastavit vlastní DNS servery, tak dalším řešením je ve firewallu veškeré requesty z LAN na portu 53 forwardovat na IP a port vlastního DNS serveru, což může být to raspberry s pihole. Případně DHCP na routeru úplně vypnout a používat to integrované v pihole.
-
zial port forwarding sa tu da nastavit len smerom WAN - > LAN
-
Ahoj, poradite mi prosim ako dosiahnut tento stav?
Ano, takhle to doma mám. Ale v jedné větě, pokud se ptáte jak toho dosáhnout, tak to nechcete (s výjímkou DNS blacklistů, ty jsou snadné a celkem účinné, ale nepokryjí všechno).
Protože zjistíte, že inspekce https u těch odolnějších stránek nestačí, protože reklamu mají třeba jako inline obrázek, nebo přes random URI etc. Takže potřebujete nějak modifikovat i obsah a to individuálně a manuálně.
Takže ano, co je potřeba aby to chodilo:
DNS (kam dáváte blacklisty - bind, ...)
Vlastní CA - naimportovat cert do zařízení
Connection profily (iPhone) / nastavit ručně? (Android)
StrongSWAN (IPSec VPN aby přes to šly mobily i mimo WiFi)
squid s ssl-bumping
vlastní ICAP server v oblíbeném jazyce kde řešíte stránky hodné manuální pozornosti
spoustu času si s tím hrát
Jo a blokovat všechny DoH providery.
-
V tom vasem routeru v zalozce "WAN" by melo jit nastavit DNS ip (manual DNS on) -> tam kdyz nastavite 46.4.165.226 (nemecka ip pro adhole.org), tak by vas router a klienti ve vasi siti meli resolvit pres adhole.
To by melo makat i na tech nejhloupejsich zarizenich
DHCP na vasem routeru posila jako DNS ip samu sebe (ip na lan rozhrani toho routeru) a "vnitrne" ten pozadavek pak prehodi na ten adhole v nemecku.
-
Vynutit dns :netreba zadahovat do hostu, Dhcp jim pridelu tvoji dns, muze bezet i v routru.
Hrozi ale ze si nastavi dns sam, nebo nejaka aplikace , posledni dobou browsery maji moznoat brat dns pod sebe.
Takze zakazat porty port 53. Mimo dst tveho routru. To same u 853(DoT). To same u 443 (DoH). Hle... Problem , to nerozlisis. Ledaze bys jeste blokoval zname dns 8888, 1111 atd. to ale zabihame uz hodne daleko, sli by toho navymylet vic, transparent proxy 53, inspekce SNI. Stejne kdo chce, tak si to nejak cestu najde. Takze se staci jen zamerit na bezne pripady, coz bohate staci ta blokace 53 a 853.
Dal nastavit vseljaky canary zaznamY jako use-application-dns.net, tak nejak.
Ta inspekce SNi by me zajimala. Jak to bere vykon, stoji to za to, da se to obejit sifrovanym sni a nebo zakryvanim sni (sni www.google.cz funguje s Host:blabla.appspot.com), kdyz nsm uvedene vyse?
BtW: proc kdy a jak se prejmenovalo pihole na adhole? Zrovna kdyz jsem mel pocit ze to zacina technologicky byt zajimave (FTL)?
-
Metoda hosts souboru na nevyhodu, ze neumi*.neco.com , bez toho je to jako kopat vykop lopatou misto bagru. To umi prave az dns server.
Uprimne https proxy + certifikaty mi prijde moc pracne. Takze cjinak centralne to nepujde, musel by se do kazeho browseru dat ublock origin, ktery do hhtps vidi
Ja mam vyhodu ze rourer je je openwrt, tedy linux a ne nejaky priskrceny zabugovany rozhrani tplink
-
Stejne kdo chce, tak si to nejak cestu najde.
Ano, stačí Tor browser.
BtW: proc kdy a jak se prejmenovalo pihole na adhole? Zrovna kdyz jsem mel pocit ze to zacina technologicky byt zajimave (FTL)?
Adhole je jen dobrovolníkem provozujícím zdarma pro blaho lidstva filtrující server DNS, s Pi-hole, pokud vím, nemá nic společného. Používá vlastní blokovací seznamy (anglicky afroamericanlists).
-
V tom vasem routeru v zalozce "WAN" by melo jit nastavit DNS ip (manual DNS on) -> tam kdyz nastavite 46.4.165.226 (nemecka ip pro adhole.org), tak by vas router a klienti ve vasi siti meli resolvit pres adhole.
To by melo makat i na tech nejhloupejsich zarizenich
DHCP na vasem routeru posila jako DNS ip samu sebe (ip na lan rozhrani toho routeru) a "vnitrne" ten pozadavek pak prehodi na ten adhole v nemecku.
Short & sweet !
-
V tom vasem routeru v zalozce "WAN" by melo jit nastavit DNS ip (manual DNS on)
fakt sa to tam neda nastavit, preklikal som cele webadmin rozhranie:( jedine, co sa da nastavit je DDNS. je tam na vyber z 6 pevnych providerov (DtDNS, DynDNS, No-IP, easyDNS, freedns, TZO) a to je vsetko ohladom konfiguracie DNS.
-
V tom vasem routeru v zalozce "WAN" by melo jit nastavit DNS ip (manual DNS on)
fakt sa to tam neda nastavit, preklikal som cele webadmin rozhranie:( jedine, co sa da nastavit je DDNS. je tam na vyber z 6 pevnych providerov (DtDNS, DynDNS, No-IP, easyDNS, freedns, TZO) a to je vsetko ohladom konfiguracie DNS.
Ne, to jsou 2 různé věci i když se točí kolem pojmu DNS. Něco jako hodinky a holinky, oboje končí na inky.
-
fakt sa to tam neda nastavit...
Ty Kurde, tak v dokumentaci https://www.telekom.sk/documents/10179/594525/U%C5%BE%C3%ADvatelsk%C3%BD+manu%C3%A1l+ZTE+II.pdf/97e87a6c-e6b2-44df-9adc-fcadf2ba0d3e (https://www.telekom.sk/documents/10179/594525/U%C5%BE%C3%ADvatelsk%C3%BD+manu%C3%A1l+ZTE+II.pdf/97e87a6c-e6b2-44df-9adc-fcadf2ba0d3e) to fakt není. To není s*áč, to je supers*áč.
V návodu se píše něco o bridge - když by se to podařilo zapnout, tak by se za to dal připojit nějaký rozumný router, jinak je to vhodné tak do popelnice.
-
fakt sa to tam neda nastavit...
Ty Kurde, tak v dokumentaci https://www.telekom.sk/documents/10179/594525/U%C5%BE%C3%ADvatelsk%C3%BD+manu%C3%A1l+ZTE+II.pdf/97e87a6c-e6b2-44df-9adc-fcadf2ba0d3e (https://www.telekom.sk/documents/10179/594525/U%C5%BE%C3%ADvatelsk%C3%BD+manu%C3%A1l+ZTE+II.pdf/97e87a6c-e6b2-44df-9adc-fcadf2ba0d3e) to fakt není. To není s*áč, to je supers*áč.
V návodu se píše něco o bridge - když by se to podařilo zapnout, tak by se za to dal připojit nějaký rozumný router, jinak je to vhodné tak do popelnice.
Mám podobného s*áče- Compal od UPC. Ale říkal jsem si , jestli by nestačilo jen vypnout DHCP a pichnout do site nejakou krabicku s DHCP, co umi options. Nechce se mi totiz vzdavat wifi z compalu tim ze ho prepnu do bridge.
-
Možná by bylo dobré udělat nějaký průzkum, co za routery používají domácnosti. Že by to byl takový pohled do reality... 802.11n, invalida-funkcionalita, 100Mbps, stáří 8 let, aktualizace 2 roky po zakoupení nejpozději a, rom-0, bezpečnostní chyby, náhodné záseky...