Afvangen DNS requests

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 7668
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 553 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 341 keer

Afvangen DNS requests

Berichtdoor heist_175 » 19 Mei 2019, 15:49

Ik heb al enkele jaren een PiHole draaiend en ben daar prima tevreden over.

Bij de commentaren op Tweakers op de pagina van de meest recente update las ik iets over DNS requests die alsnog rechtstreeks naar een andere DNS-resolver gaan
Nee de Chromecast heeft een vast DNS ingesteld, die kun je helaas niet veranderen. Helaas. In sommige routers kun je wel iets instellen om requests naar een IP (Google DNS) te forwarden naar een ander IP adres. Mijn router ondersteund dat helaas niet, dus geen ervaring mee.

Ik heb het opgelost met een DNAT rule.
Ik heb een Edgerouter4 en die ondersteunt dat.
Helaas kan dat niet bij de meeste routers.
Er blijken zelfs routers te zijn waarbij je niet eens de DNS kan aanpassen.....


Ik begrijp daaruit dat individuele toestellen nog wel zelf naar een andere DNS-server kunnen gaan en daarmee de PiHole omzeilen.
Wat moet ik aanpassen in mijn router (tevens ook modem, Fritzbox 7360), om alle DNS requests op het netwerk langs de PiHole te sturen

Gebruikersavatar
MaT
Elite Poster
Elite Poster
Berichten: 1583
Lid geworden op: 18 Feb 2014
Locatie: Gent
Bedankt: 192 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 143 keer

Re: Afvangen DNS requests

Berichtdoor MaT » 19 Mei 2019, 17:03

De fritzbox heeft 2 DNS instellingen:

  1. Internet > Account Information > DNS Server
    Dit is de DNS Server die de Fritzbox zelf gebruikt. Clients die DNS verzoeken naar de fritzbox sturen maken eveneens gebruik van deze servers.

  2. Home Network > Network > Network Settings > IPv4 Adresses
    Hier kan je een DNS server instellen die geadverteerd word aan de clients. Ze maken dan rechtstreeks contact met de ingestelde DNS server.

Ik heb beide instellingen laten verwijzen naar mijn pihole. De meeste clients halen zo hun DNS rechtsreeks bij de pihole op. Clients die alsnog de fritzbox gebruiken voor DNS worden eveneens doorverwezen naar de pihole.
Geen van beide instellingen is echter een oplossing voor clients die statische DNS adressen gebruiken en de DNS die geadverteerd word via DHCP negeren. Ik denk niet dat de fritzbox geavanceerd genoeg is om dat op te lossen :cry:
-Met name de kosten in verband met de eindapparatuur (modem, settopbox, ...) zouden beperkt kunnen worden, als die toestellen hergebruikt zouden kunnen worden of vrij gekozen worden door de klant- Bron

Fentimento
Member
Member
Berichten: 90
Lid geworden op: 04 Feb 2018
Bedankt: 2 keer
Uitgedeelde bedankjes: 4 keer

Re: Afvangen DNS requests

Berichtdoor Fentimento » 19 Mei 2019, 18:23

...
Laatst gewijzigd door Fentimento op 09 Jun 2019, 11:58, 1 keer totaal gewijzigd.

Gebruikersavatar
MaT
Elite Poster
Elite Poster
Berichten: 1583
Lid geworden op: 18 Feb 2014
Locatie: Gent
Bedankt: 192 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 143 keer

Re: Afvangen DNS requests

Berichtdoor MaT » 19 Mei 2019, 19:06

Nu ik eraan denk.. de onlangs verschenen 4.3 versie van pihole kan nu tonen welke toestellen gebruik maken van pihole.
Bij mij staat de chromecast in de lijst, zonder extra aanpassingen aan wat ik eerder zei hierboven. Ik vraag me af of de info op tweakers dan ook wel correct is.
chromecast.jpg
Je hebt niet voldoende permissies om de bijlagen te bekijken van dit bericht.
-Met name de kosten in verband met de eindapparatuur (modem, settopbox, ...) zouden beperkt kunnen worden, als die toestellen hergebruikt zouden kunnen worden of vrij gekozen worden door de klant- Bron

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 7668
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 553 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 341 keer

Re: Afvangen DNS requests

Berichtdoor heist_175 » 19 Mei 2019, 19:23

Bij mij gaat iedereen naar de modem/router, waarna de router naar de PiHole gaat.
In de "Network" sectie van PiHole zie ik dus enkel de Fritzbox staan.

Gebruikersavatar
MaT
Elite Poster
Elite Poster
Berichten: 1583
Lid geworden op: 18 Feb 2014
Locatie: Gent
Bedankt: 192 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 143 keer

Re: Afvangen DNS requests

Berichtdoor MaT » 19 Mei 2019, 19:32

Dat los je normaal op door de 'Local DNS Server' in te stellen op de fritzbox. De tweede instelling in mij eerste post hier
-Met name de kosten in verband met de eindapparatuur (modem, settopbox, ...) zouden beperkt kunnen worden, als die toestellen hergebruikt zouden kunnen worden of vrij gekozen worden door de klant- Bron

CCatalyst
Elite Poster
Elite Poster
Berichten: 2435
Lid geworden op: 20 Jun 2016
Bedankt: 198 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 10 keer

Re: Afvangen DNS requests

Berichtdoor CCatalyst » 19 Mei 2019, 20:39

Firewall rule die alles dat niet van de Pi-Hole komt en outbound TCP/UDP/53 gaat redirect naar de Pi-Hole.

Alternatief 8.8.8.8 en 8.8.4.4 (en IPv6 varianten eventueel) blokkeren - bij voorkeur door een RST of ICMP Type 3 te sturen naar de ChromeCast ipv de pakketten gewoon te laten vallen zodat je niet zit te wachten. AFAIK (niet bevestigd door mij) gebruikt ChromeCast dan wel de DHCP DNS servers.

Dit gedrag van ChromeCast en andere toestellen is niet nieuw dus je kan nog veel tips vinden in de Google.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 7668
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 553 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 341 keer

Re: Afvangen DNS requests

Berichtdoor heist_175 » 19 Mei 2019, 21:17

MaT schreef:Dat los je normaal op door de 'Local DNS Server' in te stellen op de fritzbox. De tweede instelling in mij eerste post hier

Dat loste het inderdaad op.
Bedankt :).
CCatalyst schreef:Firewall rule die alles dat niet van de Pi-Hole komt en outbound TCP/UDP/53 gaat redirect naar de Pi-Hole.
Alternatief 8.8.8.8 en 8.8.4.4 (en IPv6 varianten eventueel) blokkeren - bij voorkeur door een RST of ICMP Type 3 te sturen naar de ChromeCast ipv de pakketten gewoon te laten vallen zodat je niet zit te wachten. AFAIK (niet bevestigd door mij) gebruikt ChromeCast dan wel de DHCP DNS servers.

Die ipv4 regel op 8.8.8.8 en 8.8.4.4 heb ik net toegepast, maar die werkt natuurlijk enkel voor de Chromecast. We gebruiken de Chromecast nauwelijks nog, omdat het "autoplay" algoritme zo brak is als wat. Als de kinderen YouTube via de Chromecast kijken te beginnen bij een aflevering van "The Pink Panther", weet je na 20minuten "autoplay" echt niet waar ze uitkomen. Kodi naar een folder op de NAS is wat dat betreft wel duidelijker.
De "outbound:53" zal robuuster zijn, ik ga eens proberen uit te zoeken of de Fritzbox dat kan en indien niet welk speelgoed ik hoef bij te kopen om dat wel te kunnen.

Gebruikersavatar
jaker
Elite Poster
Elite Poster
Berichten: 852
Lid geworden op: 20 Sep 2010
Locatie: Meerhout
Bedankt: 74 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 249 keer

Re: Afvangen DNS requests

Berichtdoor jaker » 03 Aug 2019, 13:59

Bij TomatoUSB firmware heb je onder DHCP/DNS Server de instelling: 'Intercept DNS port '.
Uitleg daarover: 'Any DNS requests/packets sent out to UDP/TCP port 53 are redirected to the internal DNS server. Currently only IPv4 DNS is intercepted.'
Internet/TV: Telenet Whoppa
VoIP: Fritzbox 7390 met WeePee/Dellmont
Router: Netgear R7000 met FreshTomato

Flippi
Pro Member
Pro Member
Berichten: 449
Lid geworden op: 26 Jan 2011
Bedankt: 30 keer
Uitgedeelde bedankjes: 64 keer

Re: Afvangen DNS requests

Berichtdoor Flippi » 04 Aug 2019, 01:05


Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 7668
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 553 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 341 keer

Re: Afvangen DNS requests

Berichtdoor heist_175 » 04 Aug 2019, 11:21

Voor de fritzbox heb ik nog niet gevonden hoe ik de DNS kan blokkeren, zodat alle DNS'en naar de router/PiHole gestuurd worden.

Ik heb al Unifi AP's en een controller, dus een USG is dan de logische volgende stap.
https://www.ui.com/unifi-routing/usg/
https://tweakers.net/pricewatch/433346/ ... teway-(usg).html
https://www.amazon.de/dp/B00LV8YZLK

Maar ik weet niet waar/hoe ik op voorhand kan vinden of en hoe ik dat moet configureren op de USG.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7342
Lid geworden op: 28 Jan 2012
Bedankt: 540 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 120 keer

Re: Afvangen DNS requests

Berichtdoor ITnetadmin » 04 Aug 2019, 16:18

Als je interesse hebt in iets manuelers, een pfsense kan dat zeker wel.
En mikrotik is wss ook capabel genoeg om zoiets te configgen.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 7668
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 553 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 341 keer

Re: Afvangen DNS requests

Berichtdoor heist_175 » 08 Aug 2019, 06:52

ITnetadmin schreef:Als je interesse hebt in iets manuelers, een pfsense kan dat zeker wel.

PFSense draait niet op een RPI, dus dat is niet zo interessant.
Ik ga geen x86 pc 24/7 laten draaien om DNS-requests af te vangen :)

DarkV
Pro Member
Pro Member
Berichten: 363
Lid geworden op: 17 Apr 2019
Bedankt: 11 keer
Uitgedeelde bedankjes: 13 keer

Re: Afvangen DNS requests

Berichtdoor DarkV » 08 Aug 2019, 09:02

ITnetadmin schreef:En mikrotik is wss ook capabel genoeg om zoiets te configgen.


/ip firewall nat
add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=udp src-address=192.168.0.0/24 to-addresses=x.x.x.x
add action=dst-nat chain=dstnat disabled=no dst-port=53 protocol=tcp src-address=192.168.0.0/24 to-addresses=x.x.x.x

ITnetadmin
Elite Poster
Elite Poster
Berichten: 7342
Lid geworden op: 28 Jan 2012
Bedankt: 540 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 120 keer

Re: Afvangen DNS requests

Berichtdoor ITnetadmin » 08 Aug 2019, 16:01

heist_175 schreef:
ITnetadmin schreef:Als je interesse hebt in iets manuelers, een pfsense kan dat zeker wel.

PFSense draait niet op een RPI, dus dat is niet zo interessant.
Ik ga geen x86 pc 24/7 laten draaien om DNS-requests af te vangen :)


Er zijn redelijk goedkope appliances (aliexpress) om als firewall te gebruiken.
Een goeie firewall is alvast de kern van een beveiligd netwerk.
Als je huidige router het niet of niet goed kan, dan heb je geen goeie ;-)


Terug naar “Netwerken en Security”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 0 gasten