» Poradna » Počítačové sítě

Mikrotik-Pihole-DNS technicke otazky

 |   |  Macintosh OS X AppleMAC-Safari 5.0

Ahojte, rochodil som si contajner s pihole na MT.Mam 2 VLAN oddelene FW, pracovnu, sukromu, maju aj inu VLAN ID.Vsetko je Ok, len som sa docital, ze pihole nepodporuje DoH, DoT.Viem zhruba o co sa jedna ale nepoznam uplne technicke detaily.1/ Vidi niekto druhy v mojej sieti moje DNS dotazy?2/ Vidi ich provider?3/ Na MT sa da vo volbe k DNS pridat certifikat, chcem ale vyuzivat pihole.Pomoze mi to v tomto pripade?4/ ak by som si tam dal miesto adresy philo, server 8.8.8.8 tak ak nepridam certifikat, tak opat otazka 1+2

Mohlo by vás také zajímat

Odpovědi na otázku

avatar
 | Microsoft Windows 10 Firefox 125.0

To zalezi na tom, co (jaky program) posila ty DNS dotazy.Pokud je to prohlizec se zapnutym DoH, tak vidi jen bezne DNS dotazy na CloudFlare a ostatni dotazy jsou uz schovane v beznych HTTPS pozadavcich na servery CloudFlare (nebo jineho DoH DNS poskytovatele, treba Google). To plati jak pro jina zarizeni v tve siti, tak pro tveho providera.Pokud DNS dotaz zasle jiny bezny program (treba jen OS), ktery (zatim) nepodporuje DoH, tak je ten dotaz videt jak v siti tak u ISP. Ale realne to stejne nic neznamena, tvuj provoz je na 99% podobny provozu ostatnich uzivatelu Internetu (ano, vcetne toho porna

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Chcem vsetky dotazy na port 53 presmerovat na DNS v MT kde je zadefinovana ako DNS server adresa A/ pihole B/ Google / CF bez C/ alebo s certifikatom. Preto ma zaujima kto co bude vidiet ci tie moje dotazy moze odchytit zamestnavatel v mojej sieti, pripadne provider.To co si ty spomenul Google, CF, to asi plati len vtedy ak sa pouzije DNS zadefinovane v mobile alebo v prehliadaci? Tj ak nevyuzijem DNS server od MT, ci?

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 125.0

Jak by do tve site videl zamestnavatel?Plati co jsem napsal - prohlizec (a cokoli jineho) s nakonfigurovanym DoH neposila DNS dotazy pres port 53 (s vyjimkou dotazu na servery poskytovatele DoH), zbytek bude fungovat tak jak si predstavujes.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Praca z domu

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 125.0

Pak zalezi na tom, co se skryva pod pojmem "praca z domu". To muze byt cokoli od "pripojuju se do prace pres TeamViewer" az po "bez VPN se notebook nedostane na sit a veskery muj sitovy provoz jde pres sit zamestnavatele".

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

sluzobny NTB s VPN.Len nerozumiem, co potom znamena pihole nepodruje DoH, DoT?Ak to ide cez broswer, ten posle dotaz na DNS zadefinovane na routery (adresa pihole servera v mojej sieti=contajner v MT), tak je to v mojej sieti vsetko sifrovane?Skryte pred ostanym zariadeniami v sieti?

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Microsoft Windows 10 Firefox 125.0

Pokud browser pouziva DoH, tak vubec neposila klasicke DNS pozadavky pres system DNS na portu 53. Proste se spoji pres sifrovany HTTPS kanal s poskytovatelem DoH (typicky CloudFlare) a posle mu pozadavek "posli mi IP adresy pro wikipedia.org"). A to kompletne obejde jak pihole, tak i vsechny DNS servery tveho poskytovatele nebo treba Google.Ale pokud mas VPN do prace, tak je to cele akademicka debata - notebook zamestnavatele muze mit spousty dalsich zpusobu, jak monitorovat provoz. Zalezi na tom, jestli na nem bez VPN vubec funguje pristup k Internettu (na bezne prochazeni). Pokud ne, resis uplne zbytecnou otazku.

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Tak som v pihole nastavil DNS 1.1.1.1.https://developers.cloudflare.com/1.1.1.1/check/A je to 1.1.1.1 ale bez DoH, DoT (otazne odkial, ci uz v mojej sieti alebo az smerom von)https://ibb.co/ysX0zzg

Souhlasím  |  Nesouhlasím  |  Odpovědět
avatar
 | Android Chrome 124.0

Odpověd ti byla v podstatě již zodpovězena, ale nepřemýšlel jsi jakož to "alternativně" na místo Pi-Hole zkusit AdguardHome který by mohl být v jistém směru vhodnejší https://github.com/AdguardTeam/AdGuard Home ? ,, obzvlášť jde-li ti o standart RFC7858 /8484 (DNS over HTTPS/TLS).

Souhlasím  |  Nesouhlasím  |  Odpovědět
 |   |  Macintosh OS X AppleMAC-Safari 5.0

Ahoj, rozmyslal, hned ako som sa v diskusii pri rieseni problemov s nastavenim docital,, ze nepodpoje DoH ani DoT na rozdiel od AG.

Souhlasím  |  Nesouhlasím  |  Odpovědět

Související témata: VLAN