Hallo
ich möchte für die Kids bei mir zuhause ein AdGuard oder PiHole ins netz einbinden.
Reicht es da ein vlan einzurichten und dort den dns(ip des pihole oder guard) ein zurichten?
oder muss ich da noch was beachten?
DNS für ausgewählte user ändern
-
- Cloud Key
- Cloud Key 2
- Frage
- USG
- offen
- michael4358
Es gibt 11 Antworten in diesem Thema, welches 5.818 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.
-
Moin michael4358 ,
ja, so habe ich es bei mir aus gelöst.
Du solltest aber vielleicht auch noch das WLAN-Passwort für "Dein" WLAN ändern, damit es nicht missbraucht werden kann - je nach Interesse der Kids, Deine Einstellung zu umgehen.
Zusätzlich müsstest Du aber - um sicher zu sein - dafür sorgen, dass DNS-Anfragen (UDP-Port 53) nach außen nicht möglich sind. Ich meine, dass defcon das schon mal beschrieben hatte - siehe wiki. Diese Anfragen müsstest Du auch auf Deine Lösung (AdGuard oder pi-hole) umleiten.
Viel Erfolg bei der Umsetzung.
-
Ich würde sogar einen Schritt weiter gehen, lege dne PiHole für alle an.
Wenn ich sehe, was der bei mir jeden Tag an Domain-Schrott rausfilter, würde ich nicht drauf verzichten wollen.
Der PiHole bietet zudem die Möglichkeit, Clients in Gruppen zu packen und denen nach noch extra Filterlisten zuzuweisen.
-
Alles anzeigen
Moin michael4358 ,
ja, so habe ich es bei mir aus gelöst.
Du solltest aber vielleicht auch noch das WLAN-Passwort für "Dein" WLAN ändern, damit es nicht missbraucht werden kann - je nach Interesse der Kids, Deine Einstellung zu umgehen.
Zusätzlich müsstest Du aber - um sicher zu sein - dafür sorgen, dass DNS-Anfragen (UDP-Port 53) nach außen nicht möglich sind. Ich meine, dass defcon das schon mal beschrieben hatte - siehe wiki. Diese Anfragen müsstest Du auch auf Deine Lösung (AdGuard oder pi-hole) umleiten.
Viel Erfolg bei der Umsetzung.
Hallo
Danke für die Antwort!
Das mit dem wlan kann ich nicht ganz nachvollziehen…kannst du das erläutern?
-
Ich würde sogar einen Schritt weiter gehen, lege dne PiHole für alle an.
Wenn ich sehe, was der bei mir jeden Tag an Domain-Schrott rausfilter, würde ich nicht drauf verzichten wollen.
Der PiHole bietet zudem die Möglichkeit, Clients in Gruppen zu packen und denen nach noch extra Filterlisten zuzuweisen.
Also eher als AdGuard dann?!
-
Ich würde sogar einen Schritt weiter gehen, lege dne PiHole für alle an.
Wenn ich sehe, was der bei mir jeden Tag an Domain-Schrott rausfilter, würde ich nicht drauf verzichten wollen.
Der PiHole bietet zudem die Möglichkeit, Clients in Gruppen zu packen und denen nach noch extra Filterlisten zuzuweisen.
Das kann ich auch nur empfehlen.
Hallo
Danke für die Antwort!
Das mit dem wlan kann ich nicht ganz nachvollziehen…kannst du das erläutern?
Angenommen, Du "strahlst" ein WLAN für alle aus (WLAN-Michael, ohne Beschränkung) und möchtest nun, dass Deine Kids ihr eigenes bekommen (WLAN-Michael-Kids, AdGuarded / pi-holed), dann solltest Du das Passwort von WLAN-Michael ändern, damit Deine Kids nicht einfach zurückkommen und dann ohne weiteren Schutz surfen.
-
Ich kenne deine Kids und deren Skill nicht, aber einen PiHole als DNS zu umgehen ist "erste Klasse Bastelkurs".
Um so etwas sicherer zu machen ist schon etwas mehr notwendig:
- eig. VLAN mit entsprechenden Routings über die FW
- 802.1x
- DNS Protection
- undundund...
-
Die Frage ist atm nur ob AdGuard oder Pi-hole..
Ich habe Pihole und AdGuard am laufen. Pihole finde ich vom Umfang her besser ja, aber in AdGuard kannst du sehr einfach, quasi via 1-Klick einige Dienste sperren, wie TikTok, SnapChat, Facebook, usw.. daher werde ich für die Kinder ein eigenes WLAN erstellen und dort den AdGuard als DNS eintragen.
Um so etwas sicherer zu machen ist schon etwas mehr notwendig:
- eig. VLAN mit entsprechenden Routings über die FW
- 802.1x
- DNS Protection
- undundund.
Hast du dafür evtl. Beispiele, wie ich solches einrichten könnte?
Grüße,
Luk
-
Hallo,
wenn schon ein eigenes WLAN für die zu "überwachende" Gruppe (Kids
)besteht, dann sollte es sich dabei auch gleich um ein eigenes VLAN handeln. bei dem Thema 802.1x (RADIUS) bin ich auch noch nicht ganz bewandert, aber das Thema DNS Protection ist - meine ich - ein Teil eines wiki-Artikels: DNS Traffic immer an PiHole umleiten (Advanced: PiHole mit DoT+DNSSEC oder DoH und Firewall-Regeln by EJ).Das undundund ist natürlich in Abhängigkeit des Skills praktisch beliebig zu erweitern, könnte aber im ersten Moment so reichen.
Niemend hindert einen daran AdGuard und pi-hole zu betreiben. Ich würde z.B. pi-hole für alle Clients empfehlen. Falls dieser für einzelne Hosts keine Anwendung finden soll, dann kann man mittlerweile sehr schön Gruppen im pi-hole bilden und die Regeln darauf anwenden.
AdGuard selbst wird ja auch einen DNS-Server brauchen, falls dort nicht schon welche hinterlegt sind. Ich würde auch hier den / die / das pi-hole aus dem heimischen LAN konfigurieren, dann aber keine weiteren Regeln anwenden, um dem AdGuard selbst nicht in die Suppe zu spucken.
Da ich AdGuard selbst nicht einsetze oder gar konfiguriert habe sind das o.g. nur Gedanken zu dem Thema.
-
ein Teil eines wiki-Artikels: DNS Traffic immer an PiHole umleiten
Danke dir. Da ich eine Dream Machine besitze, meinst du wird es ebenfalls funktionieren? Im Artikel steht der Hinweis
Dieses Tutorial ist nur für das USG-Pro4 oder für das USG-3PDanke und Grüße,
Luk
-
Alles anzeigen
Danke dir. Da ich eine Dream Machine besitze, meinst du wird es ebenfalls funktionieren? Im Artikel steht der Hinweis
Dieses Tutorial ist nur für das USG-Pro4 oder für das USG-3PDanke und Grüße,
Luk
Da hast Du leider recht, aber der TE hat nach eigenen Angaben ein USG und könnte das nutzen.
Du bist dabei leider raus. Ich kann mich nur zum USG äußern.
