Fritz!Box en afdwingen interne DNS

Sinna · 01 nov 2021, 11:48

Nu ik op mijn Scarlet Trio-lijn de BBox3 heb kunnen vervangen door een Fritz!Box 7490 (hier op het forum gekocht), wil ik mijn thuisnetwerk wat vereenvoudigen.

Ik kan op die Fritz! een lokale DNS-server definiëren voor het Home Network, maar blijkbaar niet afdwingen dat enkel die DNS-server gebruikt mag worden.

Ik heb gemerkt dat Android-devices vaak de voorgestelde DNS-server 'per ongeluk' negeert en Google DNS gebruikt.
Is er een manier om die requests alsnog richting mijn AGH / Pi-Hole te duwen zonder extra apparatuur?
Op pfSense en OpenWRT kan je een gerichte NAT rule definiëren waarbij die requests transparant geredirect worden, maar op de Fritz! lijkt mij dat niet mogelijk, of zie ik iets over het hoofd?

Tijdens mijn zoektocht hiernaar kwam ik op Blocking Public DNS: Fritz!Box Router terecht. Daar wordt voorgesteld om twee IPv4-routes in te stellen zodat verkeer naar GoogleDNS (8.8.8.8 en 8.8.4.4) via het IP-adres van de Fritz!Box zelf gerouteerd worden. Die constructie werkt, maar verhindert niet dat er eventueel andere DNS-servers gebruikt worden.

Ordon · 01 nov 2021, 13:57

Is dit een oplossing?

Change DNS server in Android directly

Je kan dat per WIFI netwerk aanpassen.

johcla · 01 nov 2021, 14:04

Je kan bij Android privé-DNS gebruiken en dat laten verwijzen naar je AdGuard Home setup.
Dan wordt dit altijd gebruikt, ook bij 4G-verbindingen.

Zelf ben ik al een tijdje overgestapt naar NextDNS, dan heb je helemaal geen apparatuur nodig.

Sinna · 02 nov 2021, 17:25

Ik heb zelf een oplossing gevonden via Parental Controls:

als je daar een nieuw Access Profile aanmaakt met Everything except surfing and mail als Blocked Application en
je hebt een interne DNS-server ingesteld bij Home Network > Network > Network Settings > IP Addresses > IPv4 Settings > Local DNS Server,

dan verplicht je het gebruik van de interne DNS-server aangezien de externe niet meer bereikbaar is.

Als Everything except surfing and mail te restrictief is, dan kan je DNS als Blocked Application instellen (53/tcp en 53/udp).

Deze oplossing vangt geen DNS-over-HTTPS (DoH) af, maar DNS als Blocked Application kan je wel uitbreiden zodat DNS-over-TLS (DoT, 853/tcp) wel afgevangen wordt.

Sinna · 11 nov 2021, 11:32

Een kleine aanvulling: ik heb een AdGuard Home intern draaien op een access point herflasht met OpenWRT.
Die AdGuard kent echter de hostnaam fritz.box niet out-of-the-box, ook niet als daar de Fritz!Box als Private DNS Server opgegeven wordt. Hierdoor werkt bv. de captive portal niet. Door op de OpenWRT fritz.box op te nemen in de lokale hosts file (/etc/hosts) is dat probleem verholpen.

Sinna · 20 nov 2021, 12:03

Correctie/aanvulling op voorgaand bericht:

Het volstaat inderdaad om fritz.box in de lokale hosts file op te nemen, maar hiermee worden andere toestellen in het lokale netwerk niet herkend.
Door in Adguard Home de lijst van Upstream DNS Servers uit te breiden met

Code: Selecteer alles

[/fritz.box/]**IP-adres-van-de-FritzBox**

is het euvel verholpen en mag de lijn in /etc/hosts geschrapt.

20 nov 2021, 15:20

Sorry.
Je kan geen specifieke DNS meer afdwingen, toch niet 100%.
Zelfs als je uitgaande port 53 gaat blokkeren, is er tegenwoordig DoH, ofte DNS over HTTPS.
En dat camoufleert DNS verkeer alsof het HTTPS verkeer is op port 443.
Vele toestellen en programmas worden daar langzaamaan mee uitgerust, het zit zelfs al standaard in browsers zoals Firefox (hoewel het nog uit staat by default).
En ja, dit is zorgwekkend voor ITers die hun netwerk onder controle willen houden.
Maar DoH is speciaal gemaakt om "anti-censuur" te werken, dus exact om niet detecteerbaar te zijn.

Verder: ja, google toestellen (bv chromecast) zijn hardcoded op google DNS.
Gelukkig gebruiken die nog normale DNS, en volstaat het om outgoing port 53 toe te gooien.

Een lapmiddel is om de IP adressen van gekende DNS servers (google, opendns, etc) manueel te blocken voor alle outgoing traffic.

20 nov 2021, 15:39

Hier thuis doe ik het volgende:

* redirect DNS (UDP + TCP 53) naar mijn eigen DNS, uitgaand geblokkeerd.
* blokkering op DNS over TLS (TCP/853)
* blokkering van DoH hosts via blocklist - https://github.com/jpgpi250/piholemanual

Je gaat er altijd wel missen, maar is toch al een redelijk vangnet

Sinna · 20 nov 2021, 17:34

ITnetadmin schreef:Een lapmiddel is om de IP adressen van gekende DNS servers (google, opendns, etc) manueel te blocken voor alle outgoing traffic.

Met de instructies op Blocking Public DNS: Fritz!Box Router zou je dit kunnen bereiken, maar je loopt inderdaad steeds achter de feiten aan.
AdGuard lijkt een lijst van bekende DNS-servers (incl. DoH en DoT) bij te houden, zie Known DNS Providers | AdGuard Knowledgebase.

devilkin schreef:Hier thuis doe ik het volgende:

* redirect DNS (UDP + TCP 53) naar mijn eigen DNS, uitgaand geblokkeerd.
* blokkering op DNS over TLS (TCP/853)
* blokkering van DoH hosts via blocklist - https://github.com/jpgpi250/piholemanual

Je gaat er altijd wel missen, maar is toch al een redelijk vangnet

De eerste twee punten zijn dus al in voege, zie eerdere reacties in deze draad.