Afvangen DNS requests

[heist_175]

Ik heb al enkele jaren een PiHole draaiend en ben daar prima tevreden over.

Bij de commentaren op Tweakers op de pagina van de meest recente update las ik iets over DNS requests die alsnog rechtstreeks naar een andere DNS-resolver gaan

Nee de Chromecast heeft een vast DNS ingesteld, die kun je helaas niet veranderen. Helaas. In sommige routers kun je wel iets instellen om requests naar een IP (Google DNS) te forwarden naar een ander IP adres. Mijn router ondersteund dat helaas niet, dus geen ervaring mee.

Ik heb het opgelost met een DNAT rule.
Ik heb een Edgerouter4 en die ondersteunt dat.
Helaas kan dat niet bij de meeste routers.
Er blijken zelfs routers te zijn waarbij je niet eens de DNS kan aanpassen.....

Ik begrijp daaruit dat individuele toestellen nog wel zelf naar een andere DNS-server kunnen gaan en daarmee de PiHole omzeilen.
Wat moet ik aanpassen in mijn router (tevens ook modem, Fritzbox 7360), om alle DNS requests op het netwerk langs de PiHole te sturen

[MaT]

De fritzbox heeft 2 DNS instellingen:

1. Internet > Account Information > DNS Server
   Dit is de DNS Server die de Fritzbox zelf gebruikt. Clients die DNS verzoeken naar de fritzbox sturen maken eveneens gebruik van deze servers.
2. Home Network > Network > Network Settings > IPv4 Adresses
   Hier kan je een DNS server instellen die geadverteerd word aan de clients. Ze maken dan rechtstreeks contact met de ingestelde DNS server.

Ik heb beide instellingen laten verwijzen naar mijn pihole. De meeste clients halen zo hun DNS rechtsreeks bij de pihole op. Clients die alsnog de fritzbox gebruiken voor DNS worden eveneens doorverwezen naar de pihole.
Geen van beide instellingen is echter een oplossing voor clients die statische DNS adressen gebruiken en de DNS die geadverteerd word via DHCP negeren. Ik denk niet dat de fritzbox geavanceerd genoeg is om dat op te lossen

[Fentimento]

...

[MaT]

Nu ik eraan denk.. de onlangs verschenen 4.3 versie van pihole kan nu tonen welke toestellen gebruik maken van pihole.
Bij mij staat de chromecast in de lijst, zonder extra aanpassingen aan wat ik eerder zei hierboven. Ik vraag me af of de info op tweakers dan ook wel correct is.

chromecast.jpg

[heist_175]

Bij mij gaat iedereen naar de modem/router, waarna de router naar de PiHole gaat.
In de "Network" sectie van PiHole zie ik dus enkel de Fritzbox staan.

[MaT]

Dat los je normaal op door de 'Local DNS Server' in te stellen op de fritzbox. De tweede instelling in mij eerste post hier ↑

[CCatalyst]

Firewall rule die alles dat niet van de Pi-Hole komt en outbound TCP/UDP/53 gaat redirect naar de Pi-Hole.

Alternatief 8.8.8.8 en 8.8.4.4 (en IPv6 varianten eventueel) blokkeren - bij voorkeur door een RST of ICMP Type 3 te sturen naar de ChromeCast ipv de pakketten gewoon te laten vallen zodat je niet zit te wachten. AFAIK (niet bevestigd door mij) gebruikt ChromeCast dan wel de DHCP DNS servers.

Dit gedrag van ChromeCast en andere toestellen is niet nieuw dus je kan nog veel tips vinden in de Google.

[heist_175]

Dat los je normaal op door de 'Local DNS Server' in te stellen op de fritzbox. De tweede instelling in mij eerste post hier ↑

Dat loste het inderdaad op.
Bedankt .

Firewall rule die alles dat niet van de Pi-Hole komt en outbound TCP/UDP/53 gaat redirect naar de Pi-Hole.
Alternatief 8.8.8.8 en 8.8.4.4 (en IPv6 varianten eventueel) blokkeren - bij voorkeur door een RST of ICMP Type 3 te sturen naar de ChromeCast ipv de pakketten gewoon te laten vallen zodat je niet zit te wachten. AFAIK (niet bevestigd door mij) gebruikt ChromeCast dan wel de DHCP DNS servers.

Die ipv4 regel op 8.8.8.8 en 8.8.4.4 heb ik net toegepast, maar die werkt natuurlijk enkel voor de Chromecast. We gebruiken de Chromecast nauwelijks nog, omdat het "autoplay" algoritme zo brak is als wat. Als de kinderen YouTube via de Chromecast kijken te beginnen bij een aflevering van "The Pink Panther", weet je na 20minuten "autoplay" echt niet waar ze uitkomen. Kodi naar een folder op de NAS is wat dat betreft wel duidelijker.
De "outbound:53" zal robuuster zijn, ik ga eens proberen uit te zoeken of de Fritzbox dat kan en indien niet welk speelgoed ik hoef bij te kopen om dat wel te kunnen.

[jaker]

Bij TomatoUSB firmware heb je onder DHCP/DNS Server de instelling: 'Intercept DNS port '.
Uitleg daarover: 'Any DNS requests/packets sent out to UDP/TCP port 53 are redirected to the internal DNS server. Currently only IPv4 DNS is intercepted.'

[Flippi]

Voor Synology-routers:



Bron:

[heist_175]

Voor de fritzbox heb ik nog niet gevonden hoe ik de DNS kan blokkeren, zodat alle DNS'en naar de router/PiHole gestuurd worden.

Ik heb al Unifi AP's en een controller, dus een USG is dan de logische volgende stap.
https://www.ui.com/unifi-routing/usg/
https://tweakers.net/pricewatch/433346/ ... (usg).html


Maar ik weet niet waar/hoe ik op voorhand kan vinden of en hoe ik dat moet configureren op de USG.

[ITnetadmin]

Als je interesse hebt in iets manuelers, een pfsense kan dat zeker wel.
En mikrotik is wss ook capabel genoeg om zoiets te configgen.

[heist_175]

Als je interesse hebt in iets manuelers, een pfsense kan dat zeker wel.

PFSense draait niet op een RPI, dus dat is niet zo interessant.
Ik ga geen x86 pc 24/7 laten draaien om DNS-requests af te vangen

[DarkV]

En mikrotik is wss ook capabel genoeg om zoiets te configgen.

/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=udp src-address=192.168.0.0/24 to-addresses=x.x.x.x
add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=tcp src-address=192.168.0.0/24 to-addresses=x.x.x.x

[ITnetadmin]

Als je interesse hebt in iets manuelers, een pfsense kan dat zeker wel.

PFSense draait niet op een RPI, dus dat is niet zo interessant.
Ik ga geen x86 pc 24/7 laten draaien om DNS-requests af te vangen

Er zijn redelijk goedkope appliances (aliexpress) om als firewall te gebruiken.
Een goeie firewall is alvast de kern van een beveiligd netwerk.
Als je huidige router het niet of niet goed kan, dan heb je geen goeie