ComputerBase Menü
Aktuelles

Aufklärung unifi DNS

H

hansstegherr

Gast
Hallo,
nachdem ich mich mit der Internet/Netzwerk Sicherheit beschäftigt habe und keinen Durchblick bekomme, wende ich mich hier an professionelle Hilfe. Nach lesen diverser "Kuketz Blog" mach ich mich vielleicht auch nur verrückt? Nach den Weiterleitungen der DNS an Halunken wie google, facebook usw. lese ich kann man dem ein Ende setzen durch einen DNS Server "dismail oder digitalcourage" oder ähnliches. Wie und was ich dagegen tun kann bleibt mir mit meinen Kenntnissen ein Rätsel. Vielleicht kann mir ja hier auf einfache Weise jemand helfen.
Mein Netzwerkaufbau:
Modem von einem regionalen Anbieter (der, nach lesen der Datenschutzerklärung, alles weiterleitet an google, facebook usw) .
Danach kommt mein unifi usg, unifi switch für die Lan Geräte, und 2 Ubiquiti AC/AP pro welche ausreichen um momentan eine größere Wohnung zu versorgen. Wieder mal Dank ans Forum für den Tipp. Das funktioniert alles einwandfrei. Ein Netzwerk für mich und eines für Gäste. Brauch mr nicht drüber reden.
Gearbeitet wird mit einer Linux Distribution, kleines Mac Notebook, Tablett und Smartphones, das übliche im Haushalt.
Kann man zentral am usg oder der Benutzeroberfläche des controllers die DNS ändern oder wie einstellen oder was auch immer. Ich habe keine Ahnung was ich da tun soll, ob überhaupt, ob ich hier nur Mist verzapfe.....
Ein paar Antworten mich auf den rechten Weg zu bringen wären hilfreich und würden mich freuen. Auch wenn es Beschimpfungen sind. :hammer_alt:
 
Der im Netzwerk zu verwendene DNS-Server wird den Clients per DHCP mitgeteilt.

Ändere die Einstellung, dann nutzen deine Clients etwas anderes.
ABER: Niemand kann es verhindern, dass die Clients auch andere DNS-Server nutzen.

Die Frage ist: Was erhoffst du dir davon? Was denkst du denn, was mit deinen Daten passiert?
DNS ist nur dafür zuständig, dem anzufragenden Client z.B. beim Aufruf einer Webseite die zugehörige IP-Adresse mitzuteilen.

Wenn du also aufrufst: https://www.amazon.com/Ich+will+ganz+diskret+etwas+kaufen/Modell1

Dann wird "amazon.com" an den DNS geschickt, und der antwortet mit einer IP.
Was du kaufst/die URL geht NICHT an den DNS.
 
  • Gefällt mir
Reaktionen: hansstegherr und MetalForLive
Servus,

du kannst den DNS am Client in den Netzwerkeinstellungen (gilt dann nur für das Gerät) oder am Router ändern.
Wenn du am Router den DNS änderst und von dort aus mit DHCP die IP´s verteilst, nehmen alle Geräte welche eine IP vom Router bekommen den dort eingetragenen DNS.
 
  • Gefällt mir
Reaktionen: hansstegherr
Sephe schrieb:
ABER: Niemand kann es verhindern, dass die Clients auch andere DNS-Server nutzen.
Zum Vergrößern anklicken....
Port 53 auf der Firewall zunageln wirkt.
hansstegherr schrieb:
Kann man zentral am usg oder der Benutzeroberfläche des controllers die DNS ändern oder wie einstellen oder was auch immer.
Zum Vergrößern anklicken....
die clients benutzen üblicherweise den Router als DNS Server. Der Router wiederrum verwendet den DNS Server des Internetanbieters.
Auf der USG solltest du den externen DNS Server, bei dem die USG anfrägt, manuell einstellen können auf was auch immer du willst.
 
  • Gefällt mir
Reaktionen: RalphS und hansstegherr
Auch Servus,
der Router ist dann wohl mein unifi usg?? Der bezieht ja vom Anbieter Modem die Adresse? Auf das Modem selbst kann ich ja nicht zugreifen. Oder mach ich das auf der unifi Controller Oberfläche. Auf
 
hansstegherr schrieb:
Auch Servus,
der Router ist dann wohl mein unifi usg?? Der bezieht ja vom Anbieter Modem die Adresse? Auf das Modem selbst kann ich ja nicht zugreifen. Oder mach ich das auf der unifi Controller Oberfläche. Auf
Zum Vergrößern anklicken....

Servus ;)

Wahrscheinlich meinst du mit Adresse die öffentliche IP seitens Provider ?

Wer übernimmt denn die Rolle vom DHCP ? Hier kannst du normalerweise auch konfigurieren welcher DNS verteilt werden soll. Ich denke das sollte dann in dem Unifi Gateway sein (kann es dir aber nicht genau sagen da ich so ein Unifi Gateway noch nie in der Hand hatte :) ).

LG
 
Zuletzt bearbeitet:
h00bi schrieb:
Port 53 auf der Firewall zunageln wirkt.
Zum Vergrößern anklicken....

das DNSoverHTTPS nicht vergessen sonst kannst du das auch wieder aushebeln :)
 
Also mit einem "Standardrouter" des Anbieters ist das nicht möglich?
 
Benji18 schrieb:
das DNSoverHTTPS nicht vergessen sonst kannst du das auch wieder aushebeln :)
Zum Vergrößern anklicken....
Das meinte ich mit - man kann nicht verhindern, dass die clients eigene nutzen. DNSoverHTTPS ist der Port 53 nämlich herzlich egal.
 
@Sephe
das kann man auch "einschränken" bzw. blockieren zu einem gewissen grad
 
also da oben kann ich jetzt nicht mehr mitreden. Ich habe versucht auf dem usg die DNS aadresse zu ändern und nach einem Test auf Standard bei https://www.dnsleaktest.com/
hat das auch geklappt. Beim zweiten mal war wieder meine alte DNS Adresse angegeben.
Naja wie auch immer, so einfach ist es doch nicht. Trotzdem Danke mal an alle.
 
Obwohl ich die IP von Dismal genutzt habe, kommt das hierbei raus:
802654


Wie darf ich das verstehen?
 
Du kannst im USG bis zu vier verschiedene DNS hinterlegen, und die sollten dann auch greifen. Einstellungen > Netzwerke, da dein Netzwerk bearbeiten und unter DHCP-Nameserver auf manuell und deine gewünschten Server in der entsprechenden Reihenfolge eintragen.
 
  • Gefällt mir
Reaktionen: VoAlgdH und hansstegherr
Ich höre immer DHCP.

Kompletter Käse. Die Clients kriegen einen DNS und das ist der, der in der Nähe steht. Entweder ist einer dediziert eingerichtet oder es ist der Router.

Wie bereits angesprochen kann von dort an der Firewall gesagt werden:
DENY tcp OR udp FROM <mynet> TO ANY PORT 53
ALLOW tcp OR udp FROM <mynet> TO <mydns> PORT 53

am besten auf einer dedizierten Kiste, weil dann auch keine Malware oder sowas diese Einstellungen verändern kann.


Der nächstliegende DNS, also der eigene dedizierte ODER der Router, wird dann konfiguriert, wie DIESER dann auflösen soll.

MEHRERE DNS als Alternativen heißen in 99% der Fälle, der erste wird gefragt, und NUR der erste. Fällt der aus oder ist nicht erreichbar, der zweite. Fällt der auch aus, der dritte. Und so weiter. Einen Round Robin gibt es im Normalfall NICHT.


Mit diesem Schwachfug DNS-over-HTTPS hatte ich bisher Gottseidank noch nix zu tun, würde aber an der Stelle wahrscheinlich eine Firewall mit Packet Inspection anstrengen und die dann auf entsprechenden Inhalt filtern lassen. Aber ich hab mir die zugehörigen RFC auch noch nicht angeschaut; möglicherweise gibt's da passendere Optionen, zB indem man konkrete Zertifikate für Untrusted erklärt oder was weiß ich. Da wissen andere als ich definitiv mehr.



NIEMALS einen öffentlichen DNS direkt an die Clients geben.
 
mannmannmann. Okay vielen Dank. Nur was soll ich jetzt damit anfangen?
Am besten so lassen wie es ist. dann schenk ich mir das mit der oder den DNS. Puh
Ergänzung ()

flo222 schrieb:
Du kannst im USG bis zu vier verschiedene DNS hinterlegen, und die sollten dann auch greifen. Einstellungen > Netzwerke, da dein Netzwerk bearbeiten und unter DHCP-Nameserver auf manuell und deine gewünschten Server in der entsprechenden Reihenfolge eintragen.
Zum Vergrößern anklicken....
Ergänzung ()

Sorry habe auf zitieren. Auf alle Fälle bin ich auf den Vorgang von Floh222 eingegangen und das passt. DNS greift auf meinen gewünschten Server.
Vielen Dank für die Diskussion.
Mist bin zu wenig hier, und immer das gleiche Dilemma, wie schließe ich das Thema?
 
Zuletzt bearbeitet von einem Moderator:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Dino93
Welchen DNS eintragen um gegen DNS-Sperren vorzugehen?
2
Antworten
34
Aufrufe
3.022
User007
User007
F
Neustrukturierung Heimnetzwerk mit Unifi
Antworten
18
Aufrufe
2.174
h00bi
h00bi
E
Managed Switch keine DNS-Auflösung?
Antworten
10
Aufrufe
2.448
Joe Dalton
Joe Dalton
F
Probleme mit Unbound DNS
Antworten
7
Aufrufe
2.866
mercury
mercury
M
Homeserver über VPN provider
2
Antworten
21
Aufrufe
1.233
chrigu
chrigu
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz