Wi-Fi síť pro hosty s jinou DNS

Wi-Fi síť pro hosty s jinou DNS
« kdy: 06. 10. 2020, 16:16:37 »
Je mozne vytvorit na 1 routeru 2 WiFi site, kazda s jinou DNS? Jedna sit by provozovala klasicky "necenzurovany" internet, druha "omezeny" filtrovany pres Pi-hole. V nastaveni bezneho routeru jsem tuto moznost nenasel, ve screenshotech nastaveni Turrisu taky ne, Mikrotik to mozna v te zaplave nastaveni ma, ale nemam tuseni kde.
Neprovozuje tu nahodou nekdo neco takoveho? Zatim me jako nejjednodussi reseni napada pouzit 2 routery.
« Poslední změna: 06. 10. 2020, 16:49:04 od Petr Krčmář »



Re:WiFi sit pro hosty s jinou DNS
« Odpověď #2 kdy: 06. 10. 2020, 16:36:15 »
Člověk se občas nestačí divit, co za ptákoviny někdo požaduje... :D

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #3 kdy: 06. 10. 2020, 16:56:06 »
Obecně to lze, záleží na routeru a dalších faktorech.
Druhá věc je, že je to víceméně k ničemu - spousta práce, přinese to nové problémy, otravuje to uživatele a přínos je zanedbatelný. Jakmile se ještě víc ujme DNS over HTTPS, tak to bude k ničemu úplně.

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #4 kdy: 06. 10. 2020, 16:57:57 »
Jenda: Diky, OpenWRT me nenapadl. Dle jejich webu tam existuje polozka Use custom DNS servers.

LukePole: Lidi vymysli veci... jinak tohle je proto, ze BFU si spadnuty Pi-hole nenahodi, tak aby v pripade problemu furt alespon nejaky internet fungoval. Plus je jednodussi nekomu rict at se pripoji k jine WiFi siti nez mu vysvetlovat jak prenastavi si DNS.


Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #5 kdy: 06. 10. 2020, 17:41:34 »
Pi-hole k čemu? Blokování reklam? To lze udělat nějakým uBlock, AdBlock apod. Nebo blokování domén? To každý stejně nějak obejde, když bude chtít. Takže u mě je to ptákovina a jak někdo napsal, přínos zanedbatelný :)

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #6 kdy: 06. 10. 2020, 21:52:51 »
Řekl bych že to co popisuješ je tzv. síť pro hosty a pak dokonfigurovat DNS pro ní. Minimálně v Turrisu je síť pro hosty standardně, ale pro DNS konfiguraci musíš jít přes Luci rozhraní.

jouda2

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #7 kdy: 07. 10. 2020, 03:02:54 »
Pi-hole k čemu? Blokování reklam? To lze udělat nějakým uBlock, AdBlock apod.
Což jsou rozšíření konkrétního browseru, kam se musí instalovat ve všech instancích (pokud to vůbec jde), udržovat, nefunguje to in-app etc. Pi-hole je řešení trochu obecnější povahy (i když kompletní https inspekce protočená přes icap server je mnohem lepší. A zrovna v tomhle případě nechcete aby přes to šla i guest vlan, třeba kvůli nutnosti importu CAcertu)
Citace
Nebo blokování domén? To každý stejně nějak obejde, když bude chtít. Takže u mě je to ptákovina a jak někdo napsal, přínos zanedbatelný :)
Ne, není to Váš use-case. Ptákovina vypadá úplně jinak ;-)

Citace: NoxNox
LukePole: Lidi vymysli veci... jinak tohle je proto, ze BFU si spadnuty Pi-hole nenahodi, tak aby v pripade problemu furt alespon nejaky internet fungoval. Plus je jednodussi nekomu rict at se pripoji k jine WiFi siti nez mu vysvetlovat jak prenastavi si DNS.
Možná bych se zaměřil na to proč padá a pokud už spadne, jak to udělat, aby se detekovala chyba a nahodil se automaticky. Je to SW problém? většina služeb se dá nějak monitorovat a v případě chyby restartnout apod. Je to HW problém? To se řešilo úspěšně už před 30 lety - spousta BBS měla něco jako HW reset, v nouzi klidně pomocí druhého PC které mělo dvířka CDROM nasměrovaná proti resetu, od té doby vznikla mnohem sofistikovanější řešení... Nebo tam dejte ty maliny s pihole dvě, do DHCP dejte dva DNS servery a když jedna spadne, tak to pojede přes druhou.

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #8 kdy: 07. 10. 2020, 09:19:47 »
J ouda: Pi-hole mi zatim prestala jit jen jednou, restart nepomohl, musel jsem vyndat a vratit pametovou kartu. Provozuji to na RPi 4B, ktera je ve skrince, kde se na ni nesaha, takze mozna otresy, jinak me pricina nenapada. Az bude oficialne fungovat bootovani z USB, tak to zkusim predelat. Ten HW reset BBS me pobavil, inu uz tenkrat byli lide vynalezavi. Druhe RPi zatim nemam, ale taky je to alternativa, byt drazsi (routeru tu mam nekolik, ale RPi jen jednu). Jinak dekuji.

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #9 kdy: 07. 10. 2020, 09:54:09 »
@NoxNox

No vidíte, problém jste popsal. Dá se řešit dvěma způsoby: a) přijít na příčinu (např. vadný hardware), b) redundancí.
Podle mě redundance není cesta, protože nemáte vyřešené, aby se to samo napravilo. Problém trochu odsunete, ale projeví se stejně, jen později.

Už jsem to psal výše. Nezapomeňte, že prohlížeče víc směřují k používání DNS-over-HTTPS a z hlaviček provozu zmizí čitelní SNI. Takže v dohledné době filtrování na úrovni DNS bude úplně k ničemu a inspekci na úrovni HTTPS taky neprovedete. Nedával bych proto takovému řešení moc energie, než ho doladíte, tak úplně skončí.

Jose D

  • *****
  • 889
    • Zobrazit profil
Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #10 kdy: 07. 10. 2020, 10:03:59 »
Je mozne vytvorit na 1 routeru 2 WiFi site, kazda s jinou DNS?
...ve screenshotech nastaveni Turrisu taky ne...
jo, jde to i na Turrisu/openWRT, i na mikrotiku. Je to v nastavení DHCP serveru.

Bugsa

  • ***
  • 126
    • Zobrazit profil
    • E-mail
Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #11 kdy: 07. 10. 2020, 10:30:32 »
BFU si spadnuty Pi-hole nenahodi, tak aby v pripade problemu furt alespon nejaky internet fungoval

Tak v DHCP přiřazuj 2 DNS. Pi-hole a nějaký veřejný nebo router.

Požadavek se na OpenWRT vyřeší jednoduše tím, že se interfacu guest WiFi nastaví DNS.

Molex1

  • ***
  • 217
    • Zobrazit profil
    • E-mail
Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #12 kdy: 07. 10. 2020, 10:59:17 »
Tak si nastav primární DNS to tvoje PiHole a na svých zařízeních si ho nastav natvrdo na nějaké jiné a máš to :) hostovaná zařízení dostanou přiřazené to PiHole a když budeš chtít tak si to na svém změníš :)

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #13 kdy: 07. 10. 2020, 11:16:47 »
Pi-hole k čemu? Blokování reklam? To lze udělat nějakým uBlock, AdBlock apod.
Což jsou rozšíření konkrétního browseru, kam se musí instalovat ve všech instancích (pokud to vůbec jde), udržovat, nefunguje to in-app etc. Pi-hole je řešení trochu obecnější povahy (i když kompletní https inspekce protočená přes icap server je mnohem lepší. A zrovna v tomhle případě nechcete aby přes to šla i guest vlan, třeba kvůli nutnosti importu CAcertu)

Co takhle zkusit adblock přímo na routeru - plnohodnotnný je docela nenažraný bumbrlíček, ale adblock-simple funguje dobře.

jouda2

Re:Wi-Fi síť pro hosty s jinou DNS
« Odpověď #14 kdy: 07. 10. 2020, 11:57:53 »
Už jsem to psal výše. Nezapomeňte, že prohlížeče víc směřují k používání DNS-over-HTTPS a z hlaviček provozu zmizí čitelní SNI. Takže v dohledné době filtrování na úrovni DNS bude úplně k ničemu a inspekci na úrovni HTTPS taky neprovedete. Nedával bych proto takovému řešení moc energie, než ho doladíte, tak úplně skončí.
Tak a přesně proto se DoH vyřazuje v takových řešeních na prvním místě (a nikdo si to nedovolí ve finále obejít protože korporace a firemní sítě), a přesně proto je třeba doplnit https inspekci (lépe řečeno modifikaci) aby to fungovalo rozumně.