Browser kann AdGuard Home umgehen, wie verhindern?
Hallo,
ich habe AdGuard Home auf einen rasp laufen, soweit funktioniert alles.
Das Problem ist wenn ich zb in chrome oder Edge die DNS ändere (windows) umgeht dieser AdGuard. Wie kann ich das verhindern ?
3 Antworten
Das Problem ist wenn ich zb in chrome oder Edge die DNS ändere (windows) umgeht dieser AdGuard. Wie kann ich das verhindern ?
Mit der Fritz!Box hast du tatsächlich eher limitierende Möglichkeiten. Prinzipiell müsstest du Anfragen an externe DNS-Server blockieren, dabei können jedoch auch abweichende Ports genutzt werden. Die Frage ist deshalb immer, wie einschränkend du sein willst.
Mit mächtigeren Lösungen kannst du auch festlegen, dass ausgehender Traffic mit den bekannten Ziel-Ports an einen anderen Server (wie dein lokales AdGuard) und optionalerweise anderen Port umgeleitet wird.
Neben DNS und DNS over TLS, die beide einen dedizierten Port nehmen, gibt es aber auch DNS over HTTPS. Dieses nutzt den gleichen Port die normaler HTTPS-Traffic - wenn du diesen einschränkst, beeinträchtigst du normales Surfen.
Warum sollen die Möglichkeiten da limitiert sein bei einer Fritzbox?
Weil eine Fritzbox eben eher für den 08/15-Kunden gedacht ist. Du kannst den DNS-Server, der per DHCP propagiert wird, festlegen, aber eben sonst nicht grandios den Traffic verändern ...
Du kannst ja nicht einmal eigene DNS-Einträge/DNS-Overrides für den Resolver einstellen
Der DNS ist eine Information, den Du mit den Netzwerkeinstellung von Deinem DHCP erhältst.
Ja, das meine ich aber auch nicht mit der Antwort.
Also stell Deinen AdGuard als den primären DNS auf der Box ein, wo soll da jetzt die Limitierung sein?
Ich kann bei mir beispielsweise sagen, dass jeglicher (ausgehende) Traffic an Port 53 auf ein bestimmtes Ziel umgeleitet wird, wie auch schon in der ursprünglichen Antwort geschrieben
Auch wenn also jemand z.B. Google's DNS-Server in den Einstellungen festgelegt hat, wird der Traffic auf mein angegebenes Ziel weitergeleitet
Und natürlich brauchst Du externe DNS, weil AdGuard holt die Infos ja auch erst einmal von nem Upstream-DNS.
Ja, aber du könntest nur zulassen, dass DEIN Resolver nach außen funkt. Jeder Client im Netzwerk muss dann durch deinen Resolver gehen
Also du hast eine Umleitung von Port 53 eingerichtet? Die dann wieder auf den ad Guard verweist? Kannst du mir sagen wie ich das hinbekomme?
Port Forwarding für ausgehende Verbindungen. Nutze halt keine Fritzbox, sondern OPNsense.
Aber wie gesagt, nur bei DNS (53) und DNS over TLS (853) ist das prinzipiell problemlos möglich - mit DNS over HTTPS würdest du das normale Surfen beeinträchtigen, wenn du keine Package Inspection nutzt
Okay und wie sieht da der Aufbau aus? Sry so fit bin ich da noch nicht😂 https gibts keine Möglichkeit?
Okay und wie sieht da der Aufbau aus?
Auf was genaubezieht sich das? Hardware? Wie man das softwareseitig löst?
https gibts keine Möglichkeit?
Doch, gibt es. Hab ich doch auch erwähnt. Ich zitiere mich selbst:
mit DNS over HTTPS würdest du das normale Surfen beeinträchtigen, wenn du keine Package Inspection nutzt
Das würde voraussetzen, dass auf JEDEM Client ein Zertifikat installiert wird. Jeder Traffic wird entschlüsselt, analysiert, gefiltert, neu verschlüsselt und "ins Netz" geschickt
Der AdGuard (rasp) ist als dns Server in der Fritzbox eingetragen. In AdGuard sind dann die DNS Server eingetragen. Ich meinte wie ich das Software oder Hardware technisch lösen kann. Das mit den Zertifikaten hört sich gut an. Muss ich also eine package Inspektion installieren (auf jeden Client der nötig ist und ein Zertifikat dafür installieren ? . Sry darin bin ich nicht so fit aber das hört sich für mich soweit gut an .
Der AdGuard (rasp) ist als dns Server in der Fritzbox eingetragen. In AdGuard sind dann die DNS Server eingetragen.
Soweit korrekt, somit wird jedem Client per DHCP dein Adguard als DNS-Server mitgeteilt. Verhindert jedoch nicht, dass Clients andere Server nutzen
Ich meinte wie ich das Software oder Hardware technisch lösen kann.
Wie gesagt: OPNsense. Klassisch aufsetzen mit WAN ("das Internet") hinter einem Modem, LAN für die Clients und eventuell noch einem weiteren Netzwerk für Server wie dein Pi.
Dann erstellt du Port Forwarding-Regeln, die für alle Anfragen aus LAN auf entsprechende Ports das Ziel umschreiben
Kannst auch die OPNsense hinter die Fritzbox stellen und die Clients per OPNsense anbinden. Ist halt eine Router-Kaskade mit doppeltem NAT
Das mit den Zertifikaten hört sich gut an. Muss ich also eine package Inspektion installieren (auf jeden Client der nötig ist und ein Zertifikat dafür installieren ?
Nein, die Inspection machst du nicht am Client. Das passiert auf dem Gateway. Die Frage ist, ob du das wirklich so umsetzen willst - für ein privates Netzwerk ist das stark Overkill und du musst wissen, was du tust - ist halt auch ein Sicherheitsrisiko
Okay danke , mal schauen wie ich das umsetzten kann .
Was ist deiner Meinung am sinnvollsten? Das mit opnsence?
Die hattps Filterung lassen, evtl gibt es ja in Windows ne Option das zu Unterbinden mal schauen
Was ist deiner Meinung am sinnvollsten?
Am sinnvollsten wäre es, dem Nutzer die Wahl zu lassen und ihn nicht einzuschränken.
Warum MUSS denn jeder unbedingt deinen Adguard nutzen? Lass dem Nutzer die Wahl - er bekommt ihn zwar per DHCP standardmäßig mitgeteilt, aber wenn er es nicht möchte (oder gar etwas dadurch ungewollt blockiert wird), sollte er immer noch auf einen anderen DNS-Server wie von Google oder Cloudflare wechseln dürfen
Ich weiß ja nicht was du für Geräte zuhause hast. Aber ich könnte mir vorstellen das du in der Firewall DNS nach Extern verbietest. Somit kann man am Client DNS einstellen wie man will, mit dem Ergebnis das es nicht funktioniert.
Das ganze läuft über eine fritzbox, hier habe ich als dns Server den rasp angegeben. Ich habe Konsolen, tv, Computer, Tablets usw zu Hause also eigentlich eine Menge.
Also du meinst on der Firewall (Fritzbox) DNS extern verbieten richtig? So wäre es perfekt wenn man im Client DNS Einstellen kann was man will aber immer auf AdGuard kommt
Nein die Fritzbox ist keine Firewall nur ein Router. Ich nutze z.b. die kostenlos Sophos Firewall. Da benötigt aber Hardware wo das drauf läuft.
Die hier z.b. https://utm-shop.de/firewall/sophos/sophos-sg/sg135/hardware-appliance/1535/sophos-sg-135-security-appliance-sg135
Schau mal ob es für den Raspi auch Firewalls als Software Lösung gibt. Raspi hat aber nur ein Netzwerkanschluss wenn ich richtig informiert bin.
Kann man das auch über die fritzbox regeln? Habe mal was gelesen mit port sperren (53).
So das alle Geräte gezwungen sind ad GUARD zu nehmen egal was am Client eingestellt wurde
Hast du das denn nach 15 Tagen mittlerweile versucht? Falls ja, was war das Ergebnis? Falls nein, warum nicht, bevor du die Frage wiederholt hast?
Was versucht? Eine Lösung hab ich bisher leider noch nicht. Ich weiß nicht wie ich das mit der Firewall Realisieren soll bzw was auf dem Raspberry läuft
Das versucht, was in deiner eigenen Antwort (die ich kommentiert habe) steht: Port 53 geschlossen.
Ich weis nicht wie ich das in der Fritzbox machen kann, es ist auch mal was gestanden das man anfragen von port 53 umleiten kann aber ich weis nicht wie
Kannst du bspw. hier nachlesen und ggf. auch die richtige Fritzbox dort oben rechts auswählen. Einfach mal versuchen, vielleicht funktioniert das für dich schon.
Okay schau ich mir an aber doh is ja deswegen trotzdem möglich oder ?
Alternativ musst du das an den Geräten selbst tun. In den Gruppenrichtlinien-Einstellungen von Windows sollte das möglich sein, dass du den Zugang zu Netzwerkeinstellungen verbietest.
Linux sollte auch so etwas haben, aber da kenne ich mich gerade nicht so aus.
Was PC betrifft: Das würde dann zusätzlich voraussetzen, dass die Nutzer keine Admin Rechte haben.
Bei Handys dürfte es etwas schwieriger sein. Da bräuchtest du dann wahrscheinlich eine App, die das machen kann. Den Zugang zu der App etc. müsstest du dann auch anderen Nutzern verbieten durch Pin oder sonst was.
Ja so einen Beitrag hab ich auch gesehen der über Gruppenrichtlinien verbietet aber da hab ich keinen Eintrag gefunden . Geht anscheinend nur über verwaltet.
Am Handy geht es da ich hier die app Guard app nutze , und da kann man einstellen an der Browser dns was man will nutzt nichts . So sollte es halt am Windows Rechner über AdGuard home auch sein
Warum sollen die Möglichkeiten da limitiert sein bei einer Fritzbox? Der DNS ist eine Information, den Du mit den Netzwerkeinstellung von Deinem DHCP erhältst. Also stell Deinen AdGuard als den primären DNS auf der Box ein, wo soll da jetzt die Limitierung sein?
Und natürlich brauchst Du externe DNS, weil AdGuard holt die Infos ja auch erst einmal von nem Upstream-DNS.