Routing-Problem: zwei Geräte im gleichen WLAN mit unterschiedlichen Routen

[viragomann]

Meine größte Sorge sind tatsächlich eigenmächtige Browser und DoH. Ich denke, die habe ich mit meinem Setup ganz gut im Griff.

Wenn du hier vielleicht einen Link zu einem Thread hättest, wo du das DoH Blocking erklärt hast, wäre ich dankbar.

Ich komme von pfSense. Da macht das der pfBlocker, den wohl fast jeder Überläufer erst mal vermisst.

[Patrick M. Hausen]

Meine größte Sorge sind tatsächlich eigenmächtige Browser und DoH. Ich denke, die habe ich mit meinem Setup ganz gut im Griff.

Wenn du hier vielleicht einen Link zu einem Thread hättest, wo du das DoH Blocking erklärt hast, wäre ich dankbar.

Ich komme von pfSense. Da macht das der pfBlocker, den wohl fast jeder Überläufer erst mal vermisst.

Ich blocke ausgehendes DNS (UDP/TCP 53) und DoT (UDP/TCP 853) per Firewall-Regel und gebe allen Clients meinen AdGuard Home auf der OPNsense als Resolver. Letzteres per Portforwarding von LAN address:53 nach 127.0.0.1:53530. Funktioniert prima, primary DNS bleibt damit der Unbound, und in Server-Netzen, wo ich nicht filtern will, ist der auch der Resolver.

In AGH habe ich dann eine Blocklist für DoH-Server abonniert. Da DoH immer erst mal ein konventioneller Lookup vorausgeht, ist das das Beste, was man m.E. tun kann.

[viragomann]

Okay, danke!

Adguard heißt hier das Zauberwort. Das habe ich noch nicht probiert. Habe da Hemmung, einen Kommerziellen Anbieter ins Spiel zu bringen.
Das Blocken der Ports mache ich soweit.

[Patrick M. Hausen]

AdGuard Home - open source.

[viragomann]

Wusste ich nicht.
Bin noch zu neu hier...

[Patrick M. Hausen]

Github:
https://github.com/AdguardTeam/AdGuardHome

Zum Installieren auf OPNsense dieses Repo einbinden:
https://www.routerperformance.net/opnsense-repo/

[Sylvan86]

In AGH habe ich dann eine Blocklist für DoH-Server abonniert. Da DoH immer erst mal ein konventioneller Lookup vorausgeht, ist das das Beste, was man m.E. tun kann.

Zur Ergänzung, wenn man noch eins drauf setzen möchte (auch aus meiner Sicht, sollte bereits das Blocken auf Domain-Ebene reichen): Es gibt zusätzlich zu den Blocklisten der DoH-Domains auch Listen mit IP-Adressen dieser Server (z.B. von HaGeZi oder DibDot aus dem OpenWRT-Umfeld).

Diese kann man dann einfach als Alias abonnieren und in den Firewall-Regeln verwenden.
Ein denkbares Problem wäre, dass auf den Servern auch noch andere Dienste laufen, welche man dann natürlich nicht mehr erreichen könnte. Aber in der Regel sind diese Server DoH-only.

Es gibt IoT Geräte, die haben eine DNS IP fix eingebrannt. Erreichen sie diese nicht, versagen sie den Dienst.

Ich weiß, solche Geräte hat man nicht, aber man weiß das erst nach dem vermeintlich günstigen Kauf und dann möchte man ein Lösung.

Du könntest noch anstatt DNS-Anfragen, welche nicht an deinen eigenen DNS-Dienst gehen, zu blocken diese Anfragen stattdessen umschreiben.
Sprich: Jegliches Paket aus dem LAN auf Port 53 was nicht an deinen Adblock-DNS-Server gerichtet ist, umleiten auf eben diesen.
Die Clients erhalten dann die Antwort nicht von dem Server den sie im Sinn hatten.
Aber Anfragen Richtung z.b. 8.8.8.8 kommen mit einer Antwort zurück.
Auf die Art erreichen die Clients ihren gewünschten Server scheinbar und sollten zufrieden sein, solange sie nicht die Authentizität des Servers anderweitig prüfen.