επιλογή dns server

[skel]

καλησπέρα παιδια,

θα ήθελα μια βοήθεια στην επιλογή dns server για οικιακή χρήση

αρχικά σκεφτόμουν την αγορά raspberry pi 4 + pi hole για block ads περισσότερο και self study με το hardware

σκέφτομαι όμως και την επιλογή του mikrotik μιας και έχει περισσότερες δυνατότητες γενικότερα

θα ήθελα όμως να γίνετε έλεγχος του traffic σε ένα log, block ads

σε περίπτωση που μπορώ να τα κανω αυτά και με ένα mikrotik σε ποιο μοντέλο να πάω ?

modem έχω του παρόχου λογο voip technicolor tg788v v3 + ένα AP tp link archer d7 μόνο για wifi

ευχαριστω !

[K1m0n]

Ο local dns server/proxy του microtik out-of-the-box μόνο στοιχειώδεις δυνατότητες έχει.
Μπορεί να στηθεί για add-blocking με σχετικά scripts
(βασικά σχεδόν τα πάντα μπορούν να γίνουν με τα σχετικά scripts...),
αλλά ποιος θα συντηρεί/ελέγχει/διορθώνει τα scripts είναι ένα θέμα.

Το pi-hole απ'την άλλη είναι πολύ πιο consumer-friendly για ad-blocking,
και θα παίξει χωρίς να σε παιδέψει ιδιαίτερα,
οπότε αν απλώς θέλεις dns-based ad-blocking είναι καλύτερη επιλογή.

[skel]

Ο local dns server/proxy του microtik out-of-the-box μόνο στοιχειώδεις δυνατότητες έχει.
Μπορεί να στηθεί για add-blocking με σχετικά scripts
(βασικά σχεδόν τα πάντα μπορούν να γίνουν με τα σχετικά scripts...),
αλλά ποιος θα συντηρεί/ελέγχει/διορθώνει τα scripts είναι ένα θέμα.

Το pi-hole απ'την άλλη είναι πολύ πιο consumer-friendly για ad-blocking,
και θα παίξει χωρίς να σε παιδέψει ιδιαίτερα,
οπότε αν απλώς θέλεις dns-based ad-blocking είναι καλύτερη επιλογή.

μερικοί μου εχουν αναφέρει πως υπάρχουν κάποια custom list που μπλοκαρει τα ads, δεν γνωρίζω να γίνονται εισαωγή στο firewall μεσω κάποιο rule

με το raspberry θα μπορώ να έχω και κααγραφή traffic ? γενικά αν μπορώ να επεκτείνω τις δυαντότητες πέρα από το pi hole

[K1m0n]

Για το mikrotik υπάρχουν όντως custom lists,
το πόσο καλά δουλεύουν και ποιός θα συντηρεί τα scripts όπως σου είπα είναι ένα θέμα.
Άμα έχεις όρεξη δοκίμασε το, έτσι κι αλλιώς τα tik φτηνά είναι.
Εγώ την τελευταία φορά που το δοκίμασα δεν ενθουσιάστηκα.

Το pi-hole καταγράφει ότι έχει να κάνει με dns requests.
Αυτά ξέρει/"βλέπει", αυτά καταγράφει.
Το τί έκανε ο client στο lan με την απάντηση που πήρε/δεν-πήρε από το pi/dns δεν έχει τρόπο να το ξέρει.
Δεν έχει τρόπο να καταγράψει λοιπό traffic εφόσον το traffic αυτό δεν περνάει από το pi.

Αν θες καταγραφή traffic ψάχνεις για firewall.

[skel]

Για το mikrotik υπάρχουν όντως custom lists,
το πόσο καλά δουλεύουν και ποιός θα συντηρεί τα scripts όπως σου είπα είναι ένα θέμα.
Άμα έχεις όρεξη δοκίμασε το, έτσι κι αλλιώς τα tik φτηνά είναι.
Εγώ την τελευταία φορά που το δοκίμασα δεν ενθουσιάστηκα.

Το pi-hole καταγράφει ότι έχει να κάνει με dns requests.
Αυτά ξέρει/"βλέπει", αυτά καταγράφει.
Το τί έκανε ο client στο lan με την απάντηση που πήρε/δεν-πήρε από το pi/dns δεν έχει τρόπο να το ξέρει.
Δεν έχει τρόπο να καταγράψει λοιπό traffic εφόσον το traffic αυτό δεν περνάει από το pi.

Αν θες καταγραφή traffic ψάχνεις για firewall.

όπως εγκαθιστάτε το Pi hole δεν υπάρχει κάτι παρόμοιο για network traffic ?

διαφορετικά ας πάω mikrotik αν και θα είναι η πρώτη μου επαφή

[K1m0n]

όπως εγκαθιστάτε το Pi hole δεν υπάρχει κάτι παρόμοιο για network traffic ?

διαφορετικά ας πάω mikrotik αν και θα είναι η πρώτη μου επαφή

Υπάρχουν πολλά πράγματα για network traffic,
αλλά είτε εγκαθιστώνται στο router/firewall,
είτε το router/firewall στέλνει ένα αντίγραφο του traffic στην σχετική συσκευή για επιθεώρηση/ανάλυση/reporting.
Και γενικά το pi δεν κάνει για τέτοιες δουλειές.

Πάμε αναλυτικά:

Έχεις 2 διακριτά/δίκτυα/χώρους/έννοιες.
#1: lan, το προσωπικό σου δίκτυο στο σπίτι.
#2: wan (wide area network), βασικά το internet, και ότι άλλο εκτός lan.

Σχηματικά:
[WAN/internet (a billion hosts)] ---> [isp] --->xdsl---> [dsl modem/router] ---> [switch] ---> [lan host #1] + [Lan host #2] + [whatever lan host #ν (pi?)]

Αυτό που συνδέει τα 2 δίκτυα (lan + wan) είναι το router που κάθεται ανάμεσα τους.
Στα οικιακά δίκτυα, τυπικά είναι το cpe του isp, δυνητικά μπορεί να είναι και άλλος εξοπλισμός.
Ο κόμβος λοιπόν που περνάει όλο το traffic είναι το router.
Αν θες logs/reporting/etc εκεί θα το κάνεις.
Ότι και να εγκαταστήσεις στο pi που θα είναι σε μία άκρη του lan σου με ip πχ 191.168.1.2,
δεν θα έχει ιδέα για την κίνηση από/πρός τους υπόλοιπους hosts του subnet γιατί απλούστατα η σχετική κίνηση δεν περνάει από αυτό.
Το pi θα μπορούσε μια χαρά να σου κρατήσει logs για το traffic που είχε το ίδιο με άλλους hosts, αλλά μέχρι εκεί.

Για τα mikrotik έχει υπόψιν:
Αν θες reporting του τύπου:
"η συσκευή τάδε με local ip δείνα, μπήκε την τάδε ώρα στα τάδε sites και χρησιμοποίησε τις χψ υπηρεσίες", δεν σου κάνει
Για routing και L3 firewalling μια χαρά είναι.

[netblues]

pfsense με pfblockerng. και λιγο διαβασμα. Κανει ακριβώς αυτό που ζητας. dnsbl + ip firewalling, με feed απο διαφορες λιστες.

[skel]

το pi εφόσον θα είναι dns server δεν θα γνωρίζει το τι ζητάει κάθε client ?

δεν εννοώ με βάση mac ανα request αλλά γενικά σαν σύνολο όπως κάνει το opendns που έχω ένα γενικό log ανά ημέρα

εκτός αν το router/firewall στέλνει ένα αντίγραφο του traffic στο opendns

ξέρω ότι με το pi έχω περιορισμένες δυνατότητες αλλά παρατηρώ ότι με το pi hole θα είναι λίγο αυτοματοποιημένα τα φίλτρα

στο mikrotik πρέπει να κάνω εισαγωγές και να ενημερώνονται, αν είναι όμως υπόθεση 4-5 κλικ και είναι μια διαδικασία απλή θα μπορούσε να γίνει

[netblues]

υπάρχουν διαφορα καλουδια που μπορει να κολλήσεις τα οποια ρωτανε τη γκοοκλη για dns, αγνοωντας την υπαρξητου pihole

[kiriakk]

είχα mikrotik, ακόμη και να το στήσεις σαν ένα βασικό router παρόχου, όσον αφορά ασφάλεια, θέλει ψάξιμο,
φοβερά μηχανάκια για την τιμή τους και το hardware αλλά θα ρίξεις πολύ διάβασμα και δουλειά
και ότι κάνει ένα firewall δύσκολα έως απίθανο να πετύχεις

τώρα έχω Sophos XG,
κόψιμο διαφημίσεων, sites, applications (πχ μπορεί να σου κόψει μόνο videos από FB), VPN server κλπ με λίγα (πολύ λίγα) κλικς μόνο

[K1m0n]

το pi εφόσον θα είναι dns server δεν θα γνωρίζει το τι ζητάει κάθε client ?

δεν εννοώ με βάση mac ανα request αλλά γενικά σαν σύνολο όπως κάνει το opendns που έχω ένα γενικό log ανά ημέρα

εκτός αν το router/firewall στέλνει ένα αντίγραφο του traffic στο opendns

ξέρω ότι με το pi έχω περιορισμένες δυνατότητες αλλά παρατηρώ ότι με το pi hole θα είναι λίγο αυτοματοποιημένα τα φίλτρα

στο mikrotik πρέπει να κάνω εισαγωγές και να ενημερώνονται, αν είναι όμως υπόθεση 4-5 κλικ και είναι μια διαδικασία απλή θα μπορούσε να γίνει

Με το hole έχεις αναλυτικά τα logs των dns requests.
Που κατά 90% είναι θόρυβος βέβαια, αλλά χρήσιμο είναι.
Το τί έκανε ο x host με την απάντηση που πήρε/δεν πήρε δεν το ξέρεις.
Αν σου φτάνει το παραπάνω, ok μια χαρά.

Έχε επίσης υπόψιν ότι το hole θα κόψει όντως πολλές διαφημίσεις,
σε καμία περίπτωση όλες.
Πολλές εφαρμογές έχουν hard-coded πού θα κάνουν request
(αυτό λύνεται αν μπορείς να κάνεις έναν κανόνα στο router να κάνει redirect στο hole),
και όσο περνάει ο καιρός, πολλές εφαρμογές κάνουν encrypted requests εκεί που γουστάρουν
(οπότε, ή κόβεις το πρωτόκολλο, ή παίρνεις ένα L7 firewall).

Έχε επίσης υπόψιν, ότι μέχρι να κάνεις fine tune το hole
επίσης θα χρειαστεί να ασχοληθείς και να ψάχνεις τι url θα επιτρέπεις στην whitelist,
γιατί με τις default ρυθμίσεις/φίλτρα πολλά πράγματα δεν θα σου παίζουν.

Επίσης, ίσως ήταν απλούστερο για σένα να δεις κάποια από τις σχετικές υπηρεσίες dns (opendns/adguard/whatever).

Παρεμπιπτόντως, πολύ καλό στο να κόβει ads είναι και το sophos utm (που έχει free άδεια για οικιακή χρήση),
και έχει και όσο reporting τραβάει η ψυχή σου.

[macro]

Ειχα εχω και θα εχω μονο μικροτικ. Αν το βαλεις μια φορα σου δινει τοσες πολλες δυνατοτητες που δε νομιζω οτι θα ξανασχοληθεις με τπτ αλλο. Οσων αφορα τωρα το θεμα σου μπορεις απλα να δηλωσεις καποιον ετοιμο dns server που κανει για σενα ολα αυτα που ζητας και καθαρισες.

[BlueChris]

υπάρχουν διαφορα καλουδια που μπορει να κολλήσεις τα οποια ρωτανε τη γκοοκλη για dns, αγνοωντας την υπαρξητου pihole

Εγώ σπίτι με το untangle κάνω redirect τα dns queries στο pihole και μόνο αυτό επιτρέπεται να κάνει dns queries προς τα έξω. Επίσης το έχω στημένο με dnssec πλέον.

Νομίζω και με mikrotik το κάνεις αυτό εύκολα.

[K1m0n]

Εγώ σπίτι με το untangle κάνω redirect τα dns queries στο pihole και μόνο αυτό επιτρέπεται να κάνει dns queries προς τα έξω. Επίσης το έχω στημένο με dnssec πλέον.

Νομίζω και με mikrotik το κάνεις αυτό εύκολα.

Γίνεται με το mikrotik (βασικά με όποιο l3 router),
κάνεις έναν κανόνα "redirect input chain port 53 tcp/udt to host x" (όπου host x = hole)
και όλο το dns traffic θα πάει στο hole.
Γεγονός είναι ότι θα πιάσει τα πολλά.
Δεν θα πιάσει ότι είναι encrypted (κακόβουλο ή όχι),
και δεν θα πιάσει το quic.

Απορία:
Το untangle νομίζω έχει ad-blocker.
Γιατί προτίμησες το hole?

[BlueChris]

Γίνεται με το mikrotik (βασικά με όποιο l3 router),
κάνεις έναν κανόνα "redirect input chain port 53 tcp/udt to host x" (όπου host x = hole)
και όλο το dns traffic θα πάει στο hole.
Γεγονός είναι ότι θα πιάσει τα πολλά.
Δεν θα πιάσει ότι είναι encrypted (κακόβουλο ή όχι),
και δεν θα πιάσει το quic.

Απορία:
Το untangle νομίζω έχει ad-blocker.
Γιατί προτίμησες το hole?

Είναι παιδικό το adblocker του και πακέτο να κάνεις add custom λίστες ή οτιδήποτε γιατί τα θέλει σε json format για import με συγκεκριμένο τρόπο.
Το pihole είναι πολύ εύκολο.

Να συμπληρώσω στον παραπάνω κανόνα που λες για το mikrotik πρέπει να κάνεις με κάποιο τρόπο except το ip του pihole αλλιώς πέφτεις σε ατέρμονο loop.