1. Donations
    1. Jetzt Spenden :-)
  2. Forum
    1. Discord Server
    2. Unifi - Shop
    3. Unifi - EOL
    4. Unifi - Firmware
  3. Letzte Einträge
  4. Lexicon
  5. Marketplace
    1. Terms Of Condition
    2. Reviews
  6. Gallery
    1. Albums
  7. Members
    1. Recent Activities
    2. Users Online
    3. Staff
    4. Search Members
  • Login
  • Register
  • Search
Shell / SSH - Tutorials
  • Everywhere
  • Shell / SSH - Tutorials
  • Pages
  • Gallery
  • Forum
  • Lexikon
  • Marketplace Item
  • More Options
Ubiquiti-Networks-Forum.de
  1. ubiquiti - Deutsches Fan Forum
  2. Lexicon
  3. Shell / SSH - Tutorials

AD Blocker / Werbeblocker / Content blocker für UnifiOs - HOW IT WORKS

  • gierig
  • October 31, 2022 at 10:28 PM
  • April 19, 2025 at 1:04 AM
  • 12,138 times viewed
  • 10 comments
  • Ad Blocker / DNS System nei Unfi.. Leicht veraltet.

    Was wollen wir?
    AD-Blocker / Content Filter / Encrypted DNS besser kennenlernen und verstehen wie es zusammenhängt und funktioniert.


    Warum wollen wir das?
    Die DNS Funktionen zu benutzen ist recht einfach und wird in den meisten Fällen und für die meisten Anwender auch einfach so funktionieren. Freunde und Hobbyisten der Paketorientierten Vermittlung von Informationen mittels Ethernet, können aber mit den Informationen Ihr eigenes Netzwerk ggf. besser planen und Umsetzen.

    Hier gibt es dazu für das Thema DNS eine Aufschlüsselung und Hintergründe.


    Und wie geht das genau?
    Vorweg:
    Der Artikel ist mit Hilfe einer UDM-SE unter UniFIOS 4.2.8 und Network 9.1.116 entstanden. Beide sind zur Zeit early access und damit "Beta". Ubiquiti verändert immer mal wieder ihren DNS Ansatz und ändert "unter der Haube" auch mal grundlegende Mechaniken. Das Ergebnis nach außen ist aber mehr oder minder konstant. Wo es sinnvoll ist versuche ich darauf hinzuweisen.

    Irgendwelche manuellen Firewall Einstellungen die die Kommunikation verhindern
    finden hier keine Beachtung und liegen in den sachkundigen Händen des
    Anwenders.


    Ohne ALLES:
    Auf UniFiOS läuft ein dnsmasq Server (https://thekelleys.org.uk/dnsmasq/doc.html), der sowohl als DNS- als auch als DHCP- Server fungiert. Als DNS Server liefert er lokale IP-Adressen zurück, die aus den individuellen Client Einstellungen (Client Devices → Settings → Local DNS Record), den globalen DNS Einträgen (Einstellungen → Routing → DNS), oder aus den DHCP Server Informationen bestehen. Alle nicht lokal auflösbaren Anfragen werden automatisch an die im WAN-Interface konfigurierten DNS-Server weitergeleitet. Unabhängig davon ob diese manuell eingetragen wurden oder dynamisch über DHCP bzw. PPPoE bezogen werden. Soweit also mehr oder minder das gleiche verhalten wie jeder andere Router. dnsmasq gilt dabei als stabil und wird auch von vielen anderen Herstellern standardmäßig benutzt.


    Encrypted DNS (ehemals DNS-Shild):
    Für Encrypted DNS kommt der dnscrypt-proxy (https://github.com/DNSCrypt/dnscrypt-proxy) vom Dnscrypt Projekt zum Einsatz. Sobald dieser eingeschaltet ist werden die DNS Server vom WAN Interface komplett ignoriert und die DNS Anfragen vom DNSMasq stattdessen auf den dnscrypt-proxy weitergeleitet. Dieser verschlüsselt dann die Anfrage und schickt sie an die eingestellten DNS Server. Aktuell wird Encrypted für ALLE Vlans global verwendet wenn aktiviert. Unter https://raw.githubusercontent.com/DNSCrypt/dnscr…ic-resolvers.md sind alle aktuellen Server aufgelistet und wenn vorhanden mit ein paar Informationen und Links zu den Betreibern angereichert. Es gibt hier hier durchaus auch DNS Server die bereits AD/SPAM/ADULT Filter mitbringen.


    AD Blocker:
    In den Security Einstellungen lässt sich für jedes VLAN ein AD-Blocker aktivieren. Der DNS Traffic von jeweiligen VLAN wird dann über interne Firewall Regeln auf einen eigenen DNS Server umgeleitet. Der aus der Docker Welt bekannte CoreDNS (https://coredns.io) lauscht dafür auf auf 127.0.01 (localhost) bzw. 2001:db8:1000::1/128 (nicht öffentlich iP, aus dem DOKU Bereich, auch auf "Localhost" gebunden) auf Port 1053 und nimmt für das VLAN dann alle DNS Anfragen an. Er führt dazu die Lokalen DNS Namen in einer Whitelist und die AD liste (/usr/share/ubios-udapi-server/utm/ads.list) in einer Blocklist . Gültige Domains werden dann wie gewohnt zu dem Lokalen dnsmasq weitergeleitet.

    Wichtig zu wissen ist hierbei das sobald eine DNS Anfrage den Router erreicht diese umgebogen wird. Egal was am Client als DNS eingetragen ist. Damit kann von einem Client nicht mal eben ein andere DNS benutzt werden der nicht im gleichen VLAN liegt. Für alle die z.B einen ADGuard oder PIHole betreiben wollen ist das wohl Elementar drauf zu achten und ggf. auf den UniFi eignen AD Blocker zu verzichten.


    History:
    In früheren Versionen war die Blocklist auch über dnsmasq realisiert, dazu lief pro Vlan eine eigener dnsmasq Instanz in einem virtuellen IP Raum (LIUNX Names Space, 203.0.113.0/24, 2001:db8::/32 IP sind nicht öffentlich, sind eigentlich für Doku Zwecke reserviert).


    Reporting:
    In früheren Versionen nicht mehr als ein "X Anfragen wurden geblockt
    spuckt die Flow Ansicht in "Insights" nun mehr Informationen aus.
    Und da gibt es auch in den Deteils gleich die Möglichekit eine
    Domain wieder zu erlauben. (Sie erscheinen dann normal in den Firewall Rules auf)


    Content Filter:
    In den Netzwerkeinstellungen kann ein Content Filter eingeschaltet werden. Dieser kommt in den Stufen "Family" und "Work". Analog zum AD Blocker wird hier auch wieder für das VLAN der Traffic über den CoreDNS mittels Iptables umgeleitet. Die Anfragen gehen dann allerdings nach EXTERN zu den DNS Servern von https://cleanbrowsing.org. Der Family Filter nennt sich dann dort auch "Family Filter", der Work Filter heißt dort dann "Adult Filter"

    Family FilterBlocks access to all adult, pornographic and explicit sites. It also blocks proxy and VPN domains that are used to bypass the filters. Mixed content sites (like Reddit) are also blocked. Google, Bing and Youtube are set to the Safe Mode. Malicious and Phishing domains are blocked. (e.g., family-filter-dns.cleanbrowsing.org, 185.228.168.168)
    Adult FilterBlocks access to all adult, pornographic and explicit sites. It does not block proxy or VPNs, nor mixed-content sites. Sites like Reddit are allowed. Google and Bing are set to the Safe Mode. Malicious and Phishing domains are blocked. (e.g., adult-filter-dns.cleanbrowsing.org, 185.228.168.10)


    Wichtig!
    Auch mit mit Encrypted DNS werden die Anfragen unverschlüsselt
    zu cleanbrowsing weitergeleitet, hier wird das Encrypted DNS bisher umgangen.


    Noch nen DNS
    Auf allen Interfaces läuft auf Port 20201 noch eine zweite dnsmasq Instanz.
    mit einer ähnlichen Config wie der der "normale" DNS. Der DNS wird aber
    offensichtlich nur in bestimmten fällen angesteuert. Das schaut für mich
    mach WanFailover aus die ich aber nicht weiter Untersuchen kann da ich
    Simpel wie es ist kein zweiten Internet Anschluss habe :-) So weit siehst aber danach aus
    im falle eines WAN Ausfall localen DNS Traffic noch zu ermöglichen.
    bzw. testen zu können.


    zu guter letzt
    AD wie auch Contentfilter werden nur aus den aktivierten localen VLANs wirksam. Das bedeutet vor allem das Anfragen ans DNS von
    VPN Verbindungen diese auch auch IMMER unterlaufen. Die VPN Netze sind nicht Auswählbar und finden auch in den Configs files
    keine Beachtung.

    • dns
    • AD
    • adblocker
    • Quote

Share

  • Previous entry #Sonstiges | Template / Vorlage für WIKI-Einträge
  • Next entry Alte Geräte/Clients aus der Datenbank löschen

Comments 10

gierig
April 15, 2025 at 2:24 PM
  • Report Content

Alles neu macht der April...

nun neu mir SecurityDNS und den letzen Änderungen seitens UI.

nicx
March 22, 2024 at 1:43 PM
  • Report Content

gierig danke für die Übersicht... das habe ich gesucht :)

Eine Ergänzungsfrage: Funktioniert das ganze noch wenn man die Option "DNS Shield" auf "Auto" stellt? Beim Ad-Blocking steht ja in der Infobox explizit drin, dass das Ad-Blocking nicht mehr funktionieren würde bei Einsatz eines verschlüsselten DNS.

Oder bewirkt die Option nur, das DNS Anfragen von der UDM ins Internet verschlüsselt sind, die internen Anfragen aber nach wie vor unverschlüsselt und damit auch das Ad-Blocking weiterhin funktioniert?

gierig
March 22, 2024 at 2:02 PM
  • Report Content

Das " dass das Ad-Blocking nicht mehr funktionieren würde bei Einsatz eines verschlüsselten DNS.“ bezieht sich darauf wenn dein CLIENT selber

Verschlüsselte DNS anfragen macht. Also nicht Normales DNS auf UDP/TCP 53.

Unifi biegt ja nur diese Traffic um (weil nur sie bei dem wissen kann das das wohl DNS ist)

DNS Shield funktioniert auch mit dem AD Blocker. Hier wird wenn Unifi Fertig ist

halt die DNS anfrage nicht an den im WAN eingetragenen (oder bei Content Filter an die

komischen externen) weitergeleitet, sondern halt zum DNS over HTTPS den du da eingestellt hast.

nicx
March 22, 2024 at 2:57 PM
  • Report Content

ok, danke. d.h. ein client kann nach wie vor alles umgehen, wenn er selbst verschlüsselte dns anfragen macht. aber eben auch nur dann. zum gluck brauchen meine kids noch ein wenig bis sie das hinbekommen :D

gierig
February 3, 2023 at 4:01 PM
  • Report Content

Update:

Whitelist Möglichkeiten mit 3.0.16 und 7.4 reingenommen..

opensec
May 24, 2023 at 10:24 AM
  • Report Content

Kann das sein, dass das in der aktuellen Version mit der Whitelist nicht klappt?

gierig
May 25, 2023 at 10:45 AM
  • Report Content

Was denn „Aktuelle“ bei dir ?

Unser OS 3.1.8 und Network 7.4.156

funktioniert noch alles...

gierig
November 3, 2022 at 9:22 AM
  • Report Content

UPDATE:


Content Filter in der Geschmacksrichtung WORD und Family nutzen die gleiche Technik

leiten aber im gründe einfach nur nach extern zu einen sperrigsten Anbieter...

Ich habe es mit reingenommen

Grendelbox
November 2, 2022 at 8:55 AM
  • Report Content

Sehr informativ ! Danke dafür ! :thumbup:8)

gierig
November 3, 2022 at 9:28 AM
  • Report Content

Danke, nun mit Update :-)

  • Changelog
  • PDF

Auswählen:

Gültige Software-Version
Keine Firmware-Relevanz!
UniFi Network 9.0.x

Categories

  1. Basics 63
  2. Controller - Tutorials (Einsteiger) 13
  3. Controller - Tutorials (Fortgeschritten) 30
  4. Shell / SSH - Tutorials 38
  1. Privacy Policy
  2. Legal Notice
Lexicon 7.1.12, developed by www.viecode.com
Powered by WoltLab Suite™ 6.1.11
STIL © WOLTLABSTILE.DE