Wifi de invitados con DNS en red local

Hola edunet.

Comprobamos que has dado como solución aceptada al hilo. Por nuestra parte, vamos a proceder a cerrarlo. Te agracemos que hayas contactado con nosotros. Para cualquier otras duda o consulta ya sabes donde encontrarnos. 

Volvemos a agradecer a Theliel su aportación y colaboración.

Un saludo. 

Carmen

Buenas edunet 

Me temo que actualmente la única opción real y segura de poder aplicar cualquier tipo de filtrado es a nivel de dispositivo. Algunos navegadores Web tienen mecanismos para que un Router o una "entidad" intermedia deshabilite DoH automáticamente en ellos, pero no es algo que vayas a encontrar así como así en el mercado. DoT por otro lado puede bloquearse simplemente bloqueando el puerto 853, pero DoH no, su tráfico es indistinguible a cualquier petición HTTPS, con lo que no se puede evitar.

Además, es solo cuestión de tiempo que los sistemas operativos y sobre todo los navegadores lo habiliten por defecto. De ahí a que lleve ya años diciendo que mi recomendación personal para cualquier tipo de control parental, y que por cierto creo que es esencial en niños pequeños, pasa por hacer control por dispositivo. De lo contrario es posible incluso que se lo estén saltando sin que lo sepas. Desde cualquier actualización del sistema o del navegador, o que hacen clic en la casilla correcta o...

Y ya lo he dicho otras veces, esto no es una pena, al contrario, es una enorme suerte que tenemos que exista DoH/DoT. Vale, desde el punto de vista de un padre preocupado lo comprendo, pero desde la perspectiva del 99% de la población mundial implica privacidad, de lo contrario CUALQUIERA (empezando por el ISP) puede saber que dominios visitas, dado que las peticiones DNS no tiene ningún tipo de cifrado ni de historias.

Muchas gracias por la respuesta. 

Entiendo lo que comentas de que los protocolos de DNS seguros o incluso que los niños acaben cambiando el DNS en sus dispositivos (lo acabarán sabiendo hacer) pueden hacer inservible el filtrado DNS de pi-hole. Pero ¿Conoces alguna alternativa sencilla y centralizada para evitar conexiones a sitios que los padres queramos evitar o trackers de publicidad? 

Al final  creo que he conseguido hacerlo funcionar todo con una nueva configuración del servidor DHCP para que las conexiones de la red de invitados tenga un rango de Ips diferente y que su servidor DNS sea Open DNS familia. 

Un saludo y muchas gracias. 

Buenas edunet 

Sí, debe de ser el aislamiento de red, el cual por lo general se pude también deshabilitar cuando se habilita la segunda red WIFI. Ello entra en una paradoja un poco peculiar.

Por lo general cuando alguien quiere usar una red de invitados precisamente lo que quiere es independizarla de la red, por ende se requiere el aislamiento. Este escenario tiene sentido, imagina una red WIFI secundaria para amigos o para el público o lo que sea, y se quiere preservar la seguridad. Lo que no suele ser habitual es querer tener una red secundaria WIFI de invitados pero que pueda accede y comunicarse de igual modo entre el resto de dispositivos, puesto que para eso no creas la red de invitado, usas la red principal, y te quitas además de sobrecarga en el Router.

Por último y no menos importante, los filtrados DNS a día de hoy tienen también poco sentido, y cada vez menos. Actualmente todos los Sistemas operativos modernos, así como todos los navegadores modernos usan DoT/DoH, habilitado por defecto o no, dependiendo del OS y el navegador y/o el fabricante. Y esto es importante, porque con el uso de DoT/DoH da igual todo el pihole que uses, no podrás bloquear ni filtrar nada. Y aquellos dispositivos que por defecto no lo tienen habilitado, el usuario puede hacer simplemente un clic para activarlo, haciendo desde ese momento que no puedas tener ni idea de que se visita ni se deja de visitar.

Saludos.