Foro

Avatar de Albertomc97
Albertomc97
Mi vida cambió con el ADSL
28-04-2022

Configurar un DNS para el router

Quiero poner una DNS en el router para que filtre todas las páginas webs que he configurado en dicho dns. Si pongo el DNS en un dispositivo si funciona, pero lo que yo quiero es decirle al router que...
Avatar de usuario_retirado
usuario_retirado
29-04-2022
Albertomc97  ha escrito:

Quiero poner una DNS en el router para que filtre todas las páginas webs que he configurado en dicho dns. Si pongo el DNS en un dispositivo si funciona, pero lo que yo quiero es decirle al router que busque en esa DNS, para no tener que configurar equipo por equipo. Es una DNS de cisco, openDNS. 

PD: me meto en 192.168.1.1 y en conf. Avanzada en DNS. He borrado las 2 DNS por defecto y he escrito estas nuevas, he guardado la configuración, pero aun así no sirve… gracias

Mi consejo es cambiar a NextDNS, dispone de filtrado por DNS personalizado (lo puedes usar para bloquear anuncios), nunca falla, es muy potente y muy fácil de configurar.

 

Cuando lo uses, te asignarán un nombre de servidor especial que deberás poner en los dispositivos que quieran que usen NextDNS, hay instrucciones para casi todos los dispositivos

 

¿Usas alguno de los filtros y no puedes visitar el sitio web o usar determinadas apps? Puedes añadir los dominios que quieras a la lista de excepción, así podrás escuchar podcasts de Ivoox sin anuncios (por ejemplo)

 

Soporta DoH (DNS over HTTPS), DoT (DNS over TLS) y DNS estándar (muy útil si usas DNS dinámico como NO-IP) que lo puedes configurar directamente en tu router

 

Windows: Recomiendo el programa YogaDNS

Linux: Dnscrypt-proxy configurado para que inicie el sistema operativo

Smartphone (Android reciente): Utiliza la opción DNS-Over-TLS y te olvidas de configurar DNS manualmente

Navegador: Mediante la opción correspondiente, es simple

 

Dispone de un límite gratuito de 300.000 consultas por mes, pero si lo quieres ilimitado debes pagar menos de 2 euros al mes, al ser un sistema CDN hay servidores en muchos países, incluyendo España

 

https://nextdns.io/

Avatar de Albertomc97
Albertomc97
Mi vida cambió con el ADSL
29-04-2022

Si, uso DNSCrypt en iPhone y iPad que tienen una distribuicion muy parecida a Linux (hay que hacer jailbreak para acceder). Pero insisto, un host no puede comunicarse con el ISP sin pasar por el router, y la gracia está en configurar el router para que me filtre las DNS. De hecho, si se hace bien se pueden filtrar las apps, bloqueando los servidores que usan estas. No se por qué piensa que el filtrado de DNS no sirve y está obsoleto… para una empresa quizá es mejor DoT/DoH pero para una red doméstica va de lujo. Además cisco ofrece protección contra malWare, phishing y otros muchos tipos de ataques gratuitamente con estas DNS. El punto está en saber cuando usar cada protocolo, que no por ser más moderno y seguro es más adecuado…

  • Avatar de Theliel
    Theliel
    Yo probé el VDSL
    29-04-2022

    Buenas Albertomc97 

     

    Creo que el problema radica en que no entiendes bien como funciona DoT/DoH, me temo. Claro que el tráfico pasa por el Router, el problema no es ese. Te pongo un ejemplo simple de como funciona una resolución DNS "estándar" y como sería una con DoT/DoH, repito habilitado por defecto en ya muchos dispositivos:

     

    Escenario de toda la vida:

    1º. El usuario quiere acceder a chicassexys.com desde su movil, abre el navegador lo busca en google y le da el enlace.

    2º. El navegador requiere realizar una resolución DNS para resolver el dominio, la pasa al OS.

    3º. El OS tiene configurado el servidor OpenDNS a través de DHCP, imaginemos que la IP por facilitar es 2.2.2.2. El OS envía a través del protocolo DNS una petición de resolución a dicho servidor, al puerto 53. La petición tiene que ir a Internet, así que el OS la manda al Router.

    4º. El Router PUEDE VER que el dispositivo 192.168.1.2 (por ejemplo) está enviando una resolución DNS hacia el servidor 2.2.2.2, es más, podría hasta interceptarla o registrarla.

    5º. La petición pasa por toda la red del ISP y de cualquier otra red hasta llegar al servidor en cuestión, en todo ese camino cualquiera puede ver dicha petición.

    6º. El servidor 2.2.2.2 responde a la petición con la IP del Host.

     

    Ahora el mismo esquema pero con la diferencia de que el Navegador Web habilita por defecto DoH:

     

    1º. Igual

    2º. Igual, salvo que no pasa la petición DNS al OS, sino al resolver que tenga preconfigurado o configurado manualmente él mismo, pongamos que el servidor destino DoH fuese 1.1.1.1

    3º. Al Usar DoH, el navegador cifra la petición DNS y la envía a 1.1.1.1. Pero a diferencia de antes, y aunque el contenido interno usa el protocolo DNS, el protocolo externo qu elo contiene no es más que una conexión HTTPS estándar.

    4º. El Router NO RECIBE ninguna petición DNS, lo único que recibe de 192.168.1.2 es tráfico HTTPS exactamente igual e indistinguible de cualquier petición Web. No puede saber que va dentro de dicho tráfico, por poder no puede tampoco descartarlo porque filtraría TODO el tráfico HTTPS!! No puede tampoco manipularlo ni extraer el contenido. Simplemente reenvía el tráfico al destino. Nadie entre el origen y el destino puede interceptarlo o saber que hay dentro, solo el origen y el destino.

    5º. El Destino, 1.1.1.1 en este caso recibe la conexión, extrae de dentro la petición DNS, y responde de nuevo de forma cifrada con la resolución

    6º. El Router recibe de nuevo el tráfico HTTPS para el indistinguible, lo envía al dispositivo, y el dispositivo ya tiene la IP y accede a la web.

     

    Así que como ves, da igual que el tráfico pase por el Router, al igual que pasa por la red del ISP y por donde quiera que pueda pasar, no lo pueden interceptar, ni siquiera saben que se están realizando peticiones DNS, mucho menos que resoluciones son.

     

    La única opción para evitar esto es como he dicho configurar a mano cada dispositivo para que NO PUEDAN USAR DOT/DOH, lo que en definitivas implica configurar manualmente cada dispositivo de todos modos, y que el usuario que controla su propio dispositivo no quiera/pueda marcar la opción simple de usar DoH/DoT.

     

    Así que da exactamente igual como configures el Router, ya sea el de Movistar o uno propio, simplemente el Router no puede ver el tráfico. Y si quieres más pruebas de ello, te pongo un ejemplo simple real de esto que hago en mi equipo para que lo veas, donde puedes ver en las capturas el tráfico DNS que circula en cada caso por el Router. En el primer caso usando un resolver sin DoT/DoH, en el segundo usando DoT/DoH:

     

     

    En la imagen lo único editado es mi propia IP pública como es lógico porque estaba capturando en la interfaz de salida directamente. Las resoluciones PTR se puede omitir. Como se puede ver perfectamente la resolución usando DoT (usando un forwarder a ClodFloare) para google.es y la segunda usando el servidor DNS de Movistar. La primera no existe para el Router, a pesar de que la petición es enviada circula y es enviada por el Router hacia CloudFloare. La segunda por otro lado se puede ver perfectamente, tanto el host consultado como la respuesta.

     

    Espero que gráficamente quede más claro como funciona todo esto. Dado que muchos navegadores y OS de dispositivos ya lo usan por defecto, a menos que se manipule directamente cada dispositivo para no usar DoH/DoT, da igual lo que quieras hacer en el Router.

     

    Saludos.

    • Avatar de Albertomc97
      Albertomc97
      Mi vida cambió con el ADSL
      30-04-2022

      Vale ahora entiendo un poco mejor cómo funciona DoH, pero… lo que no entiendo es cómo resuelve el dominio? Es decir, el host tiene que mandar una petición al servidor de google (por ejemplo, si busco algo en google), pero yo he escrito google.com. Entonces, supuestamente se necesita pasar google.com a una IP numérica para poder conectarte al servidor. Esa traducción quien la hace en el caso del protocolo DoH/DoT? 

      • Avatar de Theliel
        Theliel
        Yo probé el VDSL
        30-04-2022

        Buenas Albertomc97 

         

        Ammm.... pues exactamente igual. Da igual que pongas en la dirección del Navegador Google.com o que hagas una búsqueda en Google y le des a un enlace, cada vez que el navegador o el sistema tiene que acceder a cualquier dominio, se lanza una petición DNS. La petición DNS no se envía a la web que estás visitando, se envía al servidor DoT/DoH que se tenga configurado/preconfigurado, y que te aseguro que no será el que tu quieres que sea, a menos repito que vayas equipo a equipo, de navegador en navegador deshabilitando esto, o configurando el que te interese a ti, porque no harán caso de lo que tengas puesto por DHCP, y por ende los filtrados actuales DNS no valen para nada.

  • Avatar de usuario_retirado
    usuario_retirado
    29-04-2022
    Albertomc97  ha escrito:

    Si, uso DNSCrypt en iPhone y iPad que tienen una distribuicion muy parecida a Linux (hay que hacer jailbreak para acceder). Pero insisto, un host no puede comunicarse con el ISP sin pasar por el router, y la gracia está en configurar el router para que me filtre las DNS. De hecho, si se hace bien se pueden filtrar las apps, bloqueando los servidores que usan estas. No se por qué piensa que el filtrado de DNS no sirve y está obsoleto… para una empresa quizá es mejor DoT/DoH pero para una red doméstica va de lujo. Además cisco ofrece protección contra malWare, phishing y otros muchos tipos de ataques gratuitamente con estas DNS. El punto está en saber cuando usar cada protocolo, que no por ser más moderno y seguro es más adecuado…

    Yo probé OpenDNS hace años y en mi caso siempre me dio problemas

    Te recomiendo usar NextDNS por su alta personalización, aunque tengo un navegador alternativo que tiene los servidores DoH de Google o Cloudflare

    Aunque puedas configurar los DNS en el router, tus dispositivos no estarían protegidos fuera de tu red, por lo tanto, tendrías que optar por DoH o DoT