Chromecast DHCP DNS server

[JUD]

Ik heb een chromecast UHD in mijn thuis netwerk. Geen problemen mee gehad zolang ik standaard apps gebruikte om te streamen.

Probleem is nu dat wanneer ik vanaf mijn interne NAS ga streamen naar de chromecast ik een error krijg "ongeldig certificaat, stel de synology app in om http te gebruiken). Wanneer ik dat doe krijg ik dezelfde error.

Echter ik vermoed dat het probleem is dat ik internal DNS gebruik voor mijn NAS (met een geldig let's encrypt certificaat). Maar volgens mij gebruikt de Chromecast dus niet de DNS server die ik via DHCP adverteer. Gevolg de chromecast kan de FQDN van mijn NAS niet resolven en geeft foutief de pagina dat er geen geldig SSL certificaat is.

Ik zou nu op mijn Mikrotik router kunnen proberen om alle traffic op de DNS poort te redirecten naar het IP van mijn mijn DNS server maar deze meer geavanceerde setup vermijd ik liever. Heeft er iemand weet van een setting op de Chromecast die ervoor kan zorgen dat de juiste DNS server gebruikt wordt?

[ITnetadmin]

Klopt. Chromecasts negeren aangeboden DNS settings en gebruiken hardcoded de google DNS servers (8.8.8.8 enzo).

Volgens wat ik zo direct terugvind kan je op de chromecast zelf niks doen en ga je moeten zijn requests redirecten.
Ik hoop dat hij met normale DNS of DoT werkt, want DoH is bijna niet te onderscheppen.

https://old.reddit.com/r/pihole/comment ... ed_google/

[JUD]

Klopt. Chromecasts negeren aangeboden DNS settings en gebruiken hardcoded de google DNS servers (8.8.8.8 enzo).

En geen eenvoudigere oplossingen dan traffic het routeren?

[ITnetadmin]

Nee, je gaat de DNS traffiek moeten onderscheppen op een of andere manier.

Probeer dit ns.
https://www.techilife.com/bypassing-chr ... oogle-dns/

Edit: future proofing de info van deze link:
Men geeft instructies om in de router de outgoing IPs 8.8.8.8 en 8.8.4.4 (de google DNS servers op IPv4) te blokkeren.
Aangezien gewone routers geen outgoing firewall hebben die dat kan, wordt een static route techniek gebruikt om die IPs te routen naar het interne IP adres van de router zelf.

[butskristof]

Ik dwong dat hier af met een uitgaande firewall: er zijn twee PiHole DNS-servers die requests naar poort 53 (DNS) en 853 (DoT) mogen maken. Voor àlle andere clients wordt traffic naar die poorten gedropt.
Als je Chromecast z'n hardcoded DNS niet kan bereiken gaat die automatisch over op degene die in je DHCP staat. De Chromecast is hier ondertussen vervangen, maar ik meen me wel te herinneren dat uiteindelijk die requests in m'n PiHole logs zichtbaar waren.

Met DoH en de daarbij horende settings in Chrome (en andere browsers) gaat het wel steeds moeilijker worden om dit soort truken te blijven toepassen...

[heist_175]

DoH is maar 1 update verwijderd van introductie. Ik bedoel maar: Google weet heus wel dat er filters ingesteld kunnen worden. Als het hen zou storen, hadden ze DoH toch al ingevoerd?

Misschien ben ik niet slim genoeg, maar ik snap uw probleem eigenlijk niet, ik heb een gelijkaardige setup en heb uw probleem niet?
- PiHole als DNS voor alles, geen block op hardcoded DNS
- DNS door de Fritzbox (niet de PiHole)
- content op de NAS (een low-consumption W11)
- Chromecast TV met Kodi

Ik krijg nergens een foutmelding?

[butskristof]

Ik krijg nergens een foutmelding?

In jouw opstelling benader je de NAS waarschijnlijk op IP adres vai Kodi? Voor zo ver ik kan volgen heeft de OP geen CCTV, maar een Chromecast UHD en probeert hij dus te casten vanaf een ander apparaat.

Daarmee wordt er naar de Chromecast een URL gestuurd waarvan hij content kan streamen. Aangezien de OP z'n NAS benadert op het 'source' toestel met een (interne) domeinnaam en HTTPS met geldig Let's Encrypt certificaat, zal dat ook zijn wat doorgestuurd wordt naar de Chromecast. De DNS record om de interne domeinnaam te resolven naar het IP van de NAS bestaat enkel op de interne DNS server.
Als de Chromecast vervolgens een andere DNS server gebruikt die de domeinnaam niet kan resolven naar het interne NAS IP, krijg je inderdaad dit probleem.

[JUD]

Ik krijg nergens een foutmelding?

In jouw opstelling benader je de NAS waarschijnlijk op IP adres vai Kodi? Voor zo ver ik kan volgen heeft de OP geen CCTV, maar een Chromecast UHD en probeert hij dus te casten vanaf een ander apparaat.

Daarmee wordt er naar de Chromecast een URL gestuurd waarvan hij content kan streamen. Aangezien de OP z'n NAS benadert op het 'source' toestel met een (interne) domeinnaam en HTTPS met geldig Let's Encrypt certificaat, zal dat ook zijn wat doorgestuurd wordt naar de Chromecast. De DNS record om de interne domeinnaam te resolven naar het IP van de NAS bestaat enkel op de interne DNS server.
Als de Chromecast vervolgens een andere DNS server gebruikt die de domeinnaam niet kan resolven naar het interne NAS IP, krijg je inderdaad dit probleem.

Klopt. Denk dat ik wanneer tijd heb dan maar eens een firewall rule toe zal voegen dat de Chromecast uhd geen DNS request mag sturen naar servers niet in mijn home network.

[butskristof]

Een andere mogelijkheid is natuurlijk om in de "source app" je NAS via IP en http te benaderen, als het toch allemaal binnen je lokale netwerk blijft maakt nu ook weer niet zò veel uit. Misschien kan je daarmee al verder als interim-oplossing, alles met HTTPS en certificaat is netter natuurlijk

[JUD]

Net ook wel nog volgende oplossing gevonden. Om de block iets vollediger te maken kan ik daar dus een lijst van alle DNS servers gaan onderhouden. Zowel reguliere 8.8.8.8 en dergelijke als DNS over HTTPS.

https://forum.mikrotik.com/viewtopic.php?t=173792

[Sinna]

Je kan ook alle uitgaande DNS-requests (poort 53 en 853) redirecten naar je interne DNS. Dan hoef je geen lijstjes bij te houden.

[ITnetadmin]

Klopt. Denk dat ik wanneer tijd heb dan maar eens een firewall rule toe zal voegen dat de Chromecast uhd geen DNS request mag sturen naar servers niet in mijn home network.

Samengevat:
Je kan het niet op de chromecast zelf aanpassen, dus je gaat zijn DNS requests moeten blokkeren of redirecten (hopelijk dat hij replies van een ander IP aanvaardt).
Voor gewone DNS traffiek kan je gewoon outgoing port 53 blocken.
Voor DoT (DNS over TLS) block je port 853.
Voor DoH (DNS over HTTPS; port 443) is er geen simpele oplossing, want die camoufleert zich als https webtraffiek.

[devilkin]

Ik gebruik een Doh blocklists, blokkeer DoT en DNS outgoing.

Alle dns traffiek naar andere servers dan de mijne wordt geredirect en genat zodat de bron denkt dat het de juiste server is. Zorgt er voor dat sommige dingen (zoals een chrome cast) niet te lang blijft herproberen...

Sent from my SM-S908B using Tapatalk

[JUD]

Heb net eens geprobeerd om de DNS naar mijn adguard te natten. En dat werkte bij het casten vanaf mijn GSM. Vanaf een andere gsm echter het oude probleem. Zeer bizar gezien ik wel nieuwe DNS queries zag verschijnen naar het domein van m'n NAS in mijn Adguard.