OPNsense Forum
International Forums => German - Deutsch => Topic started by: mr.sarge on March 09, 2023, 11:06:16 am
-
Hallo,
mein Sohn fängt so langsam an sich mit dem Internet näher zu beschäftigen. Nun möchte ich einen Kinderschutz im Internet realisieren, hierfür würde sich evtl. die OPNSense anbieten anstatt auf dem Rechner irgend eine App.
Kann mir jemand einen Tip geben was hierfür in Kombination mit OPNSense gut funktioniert bzw. welche Erfahrungen ihr damit gemacht habt? z.B. AdGuard Home, Zenarmor usw.
Habe die OPNSense bisher nur als reine Firewall mit VPN-Zugriff laufen, ohne Plugins
viele Grüße,
Sarge
-
Ich nutze AdGuard auf der Sense gegen Werbung, Tracking, ... sind im Endeffekt ja nur andere Filterlisten, die man dann anwendet, das funktioniert primstens, bedarf aber auch ein paar Änderungen an der Firewall selbst, damit nichts an dem Filter vorbeigeht (hardcoded DNS / DOH, DOT bzw. auch selbst eingestellte DNS, falls der Bengel auf die Idee kommt ;) ).
Ich habe früher nur die Geräte dorthin umgeleitet, auf die die Filter angewendet werden sollten, da meine Frau unbedingt Werbung sehen will, musste ich sie ausschließen. Heute wird alles zu AdGuard geleitet, für meine Frau (nur ihr Handy) wende ich dort keine Werbefilter an, sondern nur Malwarefilter.
Um relativ sicher zu sein, dass die Filter nicht durch Änderung der IP oder der MAC / des Geräts übergangen werden können, müsstet ihr die Kindersicherung entsprechend auf alles anwenden und die Geräte ausschließen, die nicht gefiltert werden sollen. Das geht in AGH recht easy mit ein paar Klicks, je nachdem wie umfangreich man das Drumherum (verwendete Filterlisten und upstream Server mit eventuellen Filtern) gestrickt ist.
-
So spontan fallen mir zwei Möglichkeiten ein:
- AdGuard auf der OPNSense installieren und entsprechende Filterlisten eintragen
- UnBound auf der OPNSense nutzen und dort entsprechende Filterlisten eintragen.
Ich würde die Geräte der Kinder noch in ein Extra VLAN mit WLAN packen und nur dann dort die Filter nutzen.
Wobei Unbound und vor allem AdGuard dne großen Vorteil haben, den ganzen Werbemüll wegzublocken, das möchte ich nicht missen.
Alternativ aber aufwendiger:
- PiHole im Netz installieren, der kann noch mehr, z.b. Gerätegruppen verwalten für die dann unterschiedlichen Filterlisten aktiviert werden können, also z.b. für die Kinder mehr filtern als für Eltern.
-
Danke für die Input! ADGuard schau ich mir auf jeden Fall genauer an.
Unser Sohn verwendet zur Zeit ein (altes) iPad, erhält demnächst aber zusätzlich ein Windows Notebook (Schule). Der Filter muss deshalb auf jeden Fall geräteübergreifend eingestellt werden, für uns als Eltern werde ich wahrscheinlich den Filter etwas lockerer konfigurieren.
Grüße Sarge
-
Wenn du unterschiedliche Geräte-Gruppen ( Kind, Eltern, usw. ) einrichten willst, ist das aufwendiger, da würde sich auch PiHole anbieten, der aber nicht auf der OPNSense läuft, sondern ein eigenen Rechner benötigt ( RaspberryPi reicht für zuhause locker aus )
AdGuard kann keine Gerätegruppen, da werden alle System gleich behandelt und eben alle Filterlisten angewendet - Vorteil weniger Aufwand, lässt sich recht leicht auf er OPNSense installieren und konfigurieren.
Für Unbound gilt das selbe, der kann auch keine Gerätegruppen ( soweit mir bekannt ).
Mein Tip, so habe ich es bei einem Bekannten auch gemacht:
- extra VLAN's + WLAN's für die Kinder und Gäste der Kinder und die haben entsprechende entsprechende Regeln auf den PiHole bekommen.
- die anderen VLAN's + WLAN's haben haben einen weiteren PiHole bekommen der dann "eltertaugliche" Filter hat.
Die PiHole laufen als Linux-Container auf einem Proxmox-server, kosten somit fast nichts an Resourcen
-
Dass in AGH alle gleich behandelt werden ist so nicht korrekt. Man kann zwar keine Gruppen bilden, aber jeder Client kann separat behandelt werden. S.o., ein Client bekommt andere Filter und auch andere Upstreamserver, allerdings kann man afaik die Filterlisten nicht selektieren (lediglich die in AGH integrierten Filter). Hier kann aber halt auch allein durch die zugewiesenen Upstreamserver viel bewirkt werden.
-
Ich nutze UnBound und bin damit eigentlich ganz zufrieden.
Nur ist es unter UnBound eigentlich möglich auch eigene Blocklisten einzutragen?
Da habe ich leider noch keine Möglichkeit gefunden, nur die Listen die angeboten werden.
-
bedarf aber auch ein paar Änderungen an der Firewall selbst, damit nichts an dem Filter vorbeigeht (hardcoded DNS / DOH, DOT bzw. auch selbst eingestellte DNS, falls der Bengel auf die Idee kommt ;) ).
Ich habe früher nur die Geräte dorthin umgeleitet, auf die die Filter angewendet werden sollten, da meine Frau unbedingt Werbung sehen will, musste ich sie ausschließen. Heute wird alles zu AdGuard geleitet, für meine Frau (nur ihr Handy) wende ich dort keine Werbefilter an, sondern nur Malwarefilter.
Hallo! würde es im Prinzip genau so handhaben. Filter für die Kinder (das möglichst sicher) und Ausschluss von bestimmten Geräten da auch meine bessere Hälfte anscheinend die Werbung sehen will (warum auch immer :-)). Kannst du mir noch ein paar Tips geben wir du die "DNS-Problematik" gelöst hast bzw. welche Kombination du einsetzt und Manipulationen zu verhinden? Da muss ich mich erst noch schlau machen ...
danke und Grüße,
Sarge
-
Ich nutze ja keinen Kinderschutz, würde aber prinzipiell so vorgehen:
- DNS (Port 53) per Weiterleitung auf die Sense (AdGuard) umleiten.
- DoT (Port 853) blockieren und DoH (Port 443 mit Filterlisten) ebenfalls blockieren (dadurch bleibt DoH aber leider ein Schlupfloch).
- AGH mit Filter für Kinder als Standard für alle konfigurieren. (A)
- Bestimmte Geräte davon auf IP-Basis ausschließen und ggf. andere Filter verwenden; diesen Geräten statische IPs per DHCP zuweisen. (B) Deine Frau bekommt dann halt nur Malware Filter (zB) und Du Malware, Werbung und Tracking Filter.
Gepflegt werden müssen dabei nur die IPs von Dir und Deiner Frau. Dabei ist mit Android und IPv6 leider Vorsicht geboten, da (viele) Android Geräte sehr oft ihre UUID und damit IPv6 ändern (unabhängig von den Privacy Extensions). Somit würden bei euch durch eine Änderung zunächst auch die Kinderregeln greifen, da aber blockiert wird, wird Andoid es mit v4 versuchen und das funktioniert dann ja... wenn vielleicht auch etwas verzögert.
(A) stellt sicher, dass selbst wenn die Kids ihre IP ändern (absichtlich oder versehentlich), weiterhin die entsprechenden Filter aktiv sind.
(B) stellt sicher, dass die Kids sich nicht eine (gerade unbenutzte) IP zuweisen, der alles erlaubt ist.
Das ist beides eventuell etwas drüber, aber ich weiß ja nicht wie die Kids drauf sind ;)
Hier habe ich mal was Allgemeines dazu geschrieben:
https://www.heimnetz.de/anleitungen/firewall/opnsense/opnsense-dns-anfragen-an-eigenen-resolver-umleiten/
-
Hallo tiermutter,
vielen Dank für die Erklärung und die Infos! Das hilft mir auf jeden Fall weiter in die richtige Richtung zu gehen ...
-
@Tiermutter,
bin gerade dabei mich bei ADGuard einzuarbeiten. Grundsätzlich läuft es schon mal mit NAT-Portforwarding DNS auf Port 53530 (ADGuard).
Darf ich fragen wie du ADGuard in Kombination Unbound DNS konfiguriert hast? Sprich Upstream- und Bootstrap-DNS Server ...
mfg,
-
- UnBound auf der OPNSense nutzen und dort entsprechende Filterlisten eintragen.
Ist es eigentlich möglich neue Filterlisten in unbound hinzuzufügen oder ist das nur auf die schon vorhandene FilterListen beschränkt?