N.a.v. sticky onderwerp - Adblocker via DNS (Handleiding)

[Babylonia]

N.a.v. sticky onderwerp - Adblocker via DNS (Handleiding).
(Buiten moderatoren betreft het een gesloten onderwerp).

https://www.synology-forum.nl/dns-server/adblocker-via-dns-(handleiding)/msg335442/#msg335442

Heb wat vragen en opmerkingen m.b.t. dat onderwerp.

Zelf maak ik géén gebruik van het DNS-pakket op een NAS of Synology router (waarbij je een vergelijkbaar DNS-pakket kunt installeren).
Maar gebruik wel alternatieve DNS-server instellingen in mijn Synology router die op malware en advertenties (zouden) filteren.
(Naast aanvullende extra advertentie "domein" blokkeringen, die ik in mijn router heb ingesteld in het  "Safe Access" menu).
Waarbij de functionaliteit  "in mijn situatie"  eigenlijk maar "half" werkt, afhankelijk van OS, software en web-browsers.

Omdat de basis handleiding die  @Briolet  heeft geschreven al van jaren terug is.
Vraag ik me af of latere algemene "internet" ontwikkelingen in gebruik van bepaalde functies, daarin nu nog voorzien ??
En bij gebruik van het DNS-pakket de  "halve functionaliteit"  die ikzelf ervaar, daarbij wel goed functioneert?

Overigens de verwijzingen naar het  Engelstalige forum  van het eerste bericht zijn daarin niet meer actief.
Dus de scripts zijn niet meer voorhanden (als dat nog relevant is?).

Bij het eerste bericht vanuit 2018, lijkt de beschrijving enkel nog betrekking te hebben op IPv4 DNS instellingen.
Bij het vervolg bericht "nu"  2025, in ieder geval ook IPv6 DNS instellingen.

Die  "halve functionaliteit"  die ikzelf ervaar heeft naar ik vermoed betrekking op nieuwere tegenwoordige functies:

• DNS-over-HTTPS  (DoH)  -  de functie die ik gebruik, en welke in een Synology router is geïmplementeerd.

En aanverwant mogelijk ook (?):

• DNS-over-TLS   -  (DoT)
• DNS-over-QUIC
• DNSCrypt, IPv4
• DNSCrypt, IPv6

Elke tegenwoordige web-browser heeft een eigen (standaard)  DNS-over-HTTPS (DoH)  of  DNS-over-TLS  functie.
Waarbij alternatieve DNS instellingen in routers worden genegeerd / gepasseerd.
Men moet in de instellingen van web-browsers zelf duiken, om die  DoH  functies uit te schakelen.
Of daarbij een alternatieve  DNS server  in te vullen.

Maar ongeacht of ik wel of géén alternatieve  DoH  functies instel, in mijn router, of in een web-browser zelf.
Lijkt dat voor "Windows" althans weinig of géén effect te hebben op allerlei  "advertenties" binnen de verschillende websites.
En maak ik alsnog gebruik van allerlei extra blokkering extensies / plug-ins om het een of ander beter te kunnen filteren.

Opvallend daarbij is wel dat de door mij gebruikte alternatieve  DNS server,  en DoH instellingen (AdGuard),
wel volledig goed functioneren voor apps geïnstalleerd onder bijv. het Android OS (versie 15) van smartphone, en Android TV.

Gebruik bijv. al jarenlang de free Spotify versie, zonder geconfronteerd te worden door visuele-  alsook audio advertenties.
Ook apps als Buienradar, weer apps etc. onder Android, zijn allemaal advertentieloos.

Met betrekking tot:

Maar voor hen die het veel simpeler willen doen zijn er tegenwoordig ook gratis versies van DNS servers die deze blokkeringen doen.

Een nieuwe is "DNS4EU"

Voor wat betreft de  "DoH"  instelling van die Europese DNS server, werkt die functie niet met een Synology router.
Zie daarvoor het Engelstalige Synology forum:  https://community.synology.com/enu/forum/2/post/190328?reply=526817
Onderste reactie van het onderwerp.

Waar je de  DoH  DNS instelling in een Synology router instelt, kun je terugvinden in een reactie hoger bij hetzelfde onderwerp.

Bij het testen met   DNS over HTTPS   --->  de instelling voor "DNS4EU":    https://noads.joindns4.eu/dns-query   is negatief.

Of die fout is gelegen bij   "DNS4EU"  zelf, of een fout / beperking van de Synology  DoH  functie,
is mij niet geheel duidelijk uit het bericht op het Engelstalige forum.  (Zou ik eens bij Synology Support kunnen  aankaarten).

Veel  DoH  instellingen die ik heb geprobeerd vanuit een lijst van allerlei alternatieve DNS servers, werken niet.
Maar veel juist ook weer wel.                            https://adguard-dns.io/kb/general/dns-providers/
Ikzelf gebruik de  DoH  instelling van Adguard:   https://dns.adguard-dns.com/dns-query

Ben benieuwd in hoeverre je ervaringen m.b.t.  DoH  functies bij een NAS DNS-pakket voorzien?

[Briolet]

Wat IPv6 betreft werkt dit ook gewoon omdat de DNS server gewoon domeinnamen blokkeert.

DoH is complexer omdat dit eigenlijk de reguliere DNS servers die via DHCP doorgegeven worden frustreert. Als een bedrijf een eigen intranet gebruikt via een eigen DNS server, wordt hat hele intranet genegeerd. Firefox heeft daar een oplossing voor bedacht door bedrijven een speciaal domein aan hun DNS server toe te laten voegen.  (Link firefox)

Ik heb dat in 2019 ook toegevoegd aan mijn DNS server en dat werkte toen perfect. Als een gebruiker DoH instelt in firefox, dan worden die DoH instellingen toch genegeerd en gaat het verkeer alsnog via de locale DNS server.  In 2019 werd dit als een tijdelijke patch gepresenteerd in afwachting van een definitieve oplossing. Ik zie dat Mozilla de handleiding in 2022 een update gegeven heeft en de opmerking dat dit tijdelijk is, is nu geschrapt. Dus neem ik aan dat dit nog steeds werkt en de definitieve oplossing is.
In 2019 heb ik dit uitgebreid getest en kon een gebruiker niet de lokale DNS server bypassen door gebruik van DoH.

In hoeverre Chrome ook dit protocol overgenomen heeft, weet ik niet. Maar als je de DNS server zelf als adblokker wilt gebruiken, kun je er altijd zelf voor zorgen dat de browser geen DoH gebruikt, maar via de eigen dns server gaat.

--

Wat betreft de oude scripts op het engelse forum, is het gemis geen probleem. Het zijn alleen de oorspronkelijke scripts waarvan het toch al niet de bedoeling was om zelf te gebruiken.

[Babylonia]

Wat IPv6 betreft werkt dit ook gewoon omdat de DNS server gewoon domeinnamen blokkeert.

Ik vraag me af of dit zo wel werkt?   Het hangt er maar net vanaf welke opgave aan DNS je gebruikt met wat er wordt ingezet.

Opgave van   IPv4 adressen  van DNS-servers, hebben alleen betrekking op IPv4
Vandaar ook  IPv6 adressen  van DNS-servers, om "extra" in te stellen en te gebruiken.

Alleen als je  "domein-naam"  van DNS-server adressen kunt ingeven, is het transparant zowel  IPv4 als IPv6

Beveiligingen  en  DoH:
Voor wat betreft beveiligingen en  DoH  instellingen van web-browsers, is er inmiddels toch veel ontwikkeling.
Wat verder gaat dan de laatste verwijzingen die je hebt beschreven.  Ben er nog eens wat verder op ingedoken.

Naast typische voorkeuren, die de ene of andere web-browser heeft.
Zijn er juist ook opvallende overeenkomsten in meer "vrije keus" aan mogelijkheden om in te stellen voor verschillende browsers.
Daar zit onderling niet zoveel verschil meer in.   Mogelijk opgelegd door Europese wetgeving om daarin te voorzien??

(Enkele) instellingen binnen Firefox:

                       


Google Chrome   en   Microsoft Edge   voor wat betreft DoH

     


Wat is dan verstandig om in te zetten?
Alles via een eigen DNS-server laten lopen, en instellingen voor  DoH  uitzetten voor web-browsers?
Met tegenwoordig toch veel gebruik van laptops / tablets e.d. heb je weinig aan "uitzetten" van die DoH functies,
als je de laptop mee neemt naar andere plekken. Want dan ben je aangewezen op de DNS-server instellingen "daar".

Zelfs als je voor de eigen veiligheid een laptop verbindt via de hotspot van je mobiele telefoon.
Of telkens een VPN-verbinding te moeten opzetten met je thuis-netwerk, om de  DNS-server  instellingen van "thuis" te gebruiken.

Dus er zitten best nog wel wat haken en ogen aan het een en ander, om een prettige werkwijze voor jezelf te bewerkstelligen.

DNS-over-TLS   -  (DoT)
Voor aangepaste DNS instellingen voor "Android" mobiele apparaten (smartphones / tablets),
wordt gebruik gemaakt van algemene netwerk  DNS-over-TLS  -  (DoT) instellingen.

Min of meer dezelfde dilemma's, om het standaard wel of niet aan te passen, zoals bij gebruik van een laptop.
Omdat bij smartphones.  e.d.  veel meer van aparte apps gebruik wordt gemaakt, dan dat je info via een webbrowser ophaalt.
Heeft het gebruik van  alternatieve DNS-server  instellingen direct al een veel grotere impact op het gebruik van die apps.
Er zitten weinig "trucs" in apps, om advertenties e.d. te omzeilen.

Daar, waarbij je nog wel  "trucs"  tegenkomt. Maak je dan mogelijk beter gebruik van alternatieve web-browsers,
en/of applicaties.   (Op mijn smartphone gebruik ik bijv.  "Brave"  als web-browser).

Heb voor "nu" naast  alternatieve DNS-server IPv4 / IPv6  en  DoH instellingen in mijn router van  "Adguard".
(En aanvullende filter-mogelijkheden in mijn router op netwerk-niveau).
De "Windows" web-browsers nu ingesteld met  de  DNS-server instellingen van  "DNS4EU"  (Protective resolution with Ad blocking).
---->  https: //noads.joindns4.eu/dns-query

Mijn smartphone de  DNS-over-TLS - (DoT) instellingen  ---->  noads.joindns4.eu



Kijken hoe dat de komende tijd zal bevallen?

[Briolet]

Ik heb het even met firefox getest en het werkt nog steeds zo als firefox in zijn handleiding beschrijft. Als een lokale DNS server een speciaal domein opneemt, dan weigert Firefox om DoH te gebruiken.

DoH is leuk voor de privacy, maar maakt het ook mogelijk om bestaande beveiligingen te omzeilen. Als je als bedrijf wilt dat bepaalde sites geblokkeerd worden dan wil je niet dat werknemers dit via DoH ontlopen.

Als ik firefox op maximale beveiliging instel:



dan zou je zeggen dat mijn blokkering niet meer werkt. Ik blokkeer de DNS poort op mijn router voor alle apparaten behalve de nas. Via DoH gaat het dns verkeer echter via poort 443 en zou dan niet geblokkeerd worden. 

Maar ook in de zwaarste instelling respecteert Firefox de instelling in mijn DNS server en gebruikt geen DoH.  Mijn DNS server blokkeert b.v. 'facebook.com'.  Als ik die site nu wil bezoeken, wordt hij toch netjes geblokkeerd.

Bij de maximale beveiliging zoals boven ingesteld, krijg ik zelfs de opdracht om de DNS instelling aan te passen:



Bij de andere DoH instellingen komt er geen waarschuwing, maar de blokkeringen van mijn DNS server blijven van kracht, dus Firefox gebruikt nog steeds geen DoH, ook al stel ik dat in.  (Overigens verwarrend dat Firefox nergens aangeeft dat er DoH gebruikt wordt. Je moet het uit info van derden halen dat ze DoH bedoelen als ze 'beveiligde  dns' schrijven)

------

Bij Chrome ligt dat ingewikkelder. Maar als ik een DoH server invul bij de instellingen, dan krijg ik alleen de melding dat mijn url ongeldig is. Ik heb geen zin om te testen of dat komt doordat Chrome ook ziet dat ik een eigen DNS server gebruik met deze specifieke instelling.

[Babylonia]

Ik blokkeer de DNS poort op mijn router voor alle apparaten behalve de nas. Via DoH gaat het dns verkeer echter via poort 443 en zou dan niet geblokkeerd worden.

Actieve DoH instellingen van een web-browser overrulen normale DNS-server instellingen van een router.
Evengoed dat als je bij een apparaat daar eigen DNS instellingen invult, DNS instellingen van een router worden genegeerd / gepasseerd.
Dus op zichzelf niet ongebruikelijk.

Je geeft dan wel aan dat via DoH, DNS verkeer via poort 443 wordt omgeleid, en derhalve zou moeten functioneren.
Maar is dat ook werkelijk zo??

Ik heb enkele testjes gedaan met toevoeging van extra Firewall regels in de Synology router,
met wat daadwerkelijk wordt ingezet aan poorten voor enkele web browsers.
Door simpelweg bepaalde poorten vanuit het LAN naar internet toe te blokkeren, en te kijken wat er dan gebeurt.

Firefox (onder Windows):
Met in de Firefox web-browser de instellingen voor "maximale bescherming" ingesteld, zoals in je reactie hiervoor.
(Met eigen keuze van een DoH DNS-server instelling  ---->  in jou situatie die van Cloudflare).

Ongeacht de instellingen van een Synology DNS-instelling in een Synology router,
met aanvinken van een optie, om DoH instellingen van Clients te negeren.
Laat de Firefox browser zich niet overrulen door die voorkeur instellingen in de router.
Ofwel de in de web-browser vastgelegde DNS-server blijft actief.




Echter bij blokkeren van poort 53 naar internet toe, wordt alle internet verkeer vanuit Firefox geblokkeerd.
Ofwel poort 443 maakt hier geen onderdeel uit van die DoH instellingen.

Google Chrome  +  Microsoft Edge  (onder Windows):
Met blokkeren van poort 53 naar internet toe, werken deze browsers in eerste instantie nog wel normaal.
*1) Zie opmerking onderaan.

Ofwel deze browsers maken geen gebruik van poort 53 voor de DoH instellingen.
Aanpassen Firewall met blokkeren "nu" op poort 443 naar internet toe, wordt wel alle internet verkeer geblokkeerd.

Achterliggend voor deze web-browsers geldt kennelijk wel het voor DoH gebruikelijke poortnummer 443 als actief.
Echter ook in deze gevallen, heeft aanvinken van de optie in de router, om DoH instellingen van Clients te negeren, géén effect.
(Plaatje zoals hiervoor in deze reactie getoond).

Ofwel DNS vastgelegde functies in de router hebben hier géén effect m.b.t.  DoH  instellingen, om die te overrulen.

Mogelijk met installeren van het DNS-server pakket in de router, (vergelijkbaar met DNS-server pakket van een NAS),
is er misschien wel een optie om hier naartoe te verwijzen, en met firewall blokkade van de poorten van browser DNS-instellingen.
De instellingen in het DNS server pakket daarvoor in te zetten.

Projectje voor een volgende keer.

*1)   Opmerking:  Bij herstarten van de PC en blokkade van poort 53 wordt helemaal geen internetverkeer meer opgebouwd.
Omdat de (WiFi) netwerkkaart géén connectie met internet meer detecteert.
Waarmee de web-browsers  Google Chrome  en  Microsoft Edge  ook geen internet meer oppikken.
-

[Briolet]

heeft aanvinken van de optie in de router, om DoH instellingen van Clients te negeren, géén effect.

Ik heb die optie in de router niet omdat ik een RT1900 heb. (Die draait op SRM 1.2.5).  Maar ik kan me niet voorstellen dat die optie fool-proof kan zijn.

De router kan aan het verkeer niet zien of dit DoH verkeer is omdat alles versleuteld door de router gaat via een poort die normaal voor https gebruikt wordt.  Het enige wat de router weet is het IP waar het verkeer naar toe gaat. Blijkbaar heeft hij intern een lijstje met bekende DoH adressen die hij dan kan blokkeren. Maar als je een DoH server kiest die hij nog niet kent qua IP adres, dan zal hij niet weten dat dit geen website is en het ook niet blokkeren.

[Babylonia]

Blijkbaar heeft hij intern een lijstje met bekende DoH adressen die hij dan kan blokkeren.

Inderdaad een externe lijst die geregeld wordt geüpdatet.
Maar desondanks heb ik er voor wat betreft web-browsers niet zoveel aan.




Vanuit de Synology Knowledgebase:      DoH werkt niet goed op mijn Synology Router



Daar wordt feitelijk al uitgelegd, om  "niet"  de DoH servers van webbrowsers zelf ingesckakeld te hebben.
Ofwel "uitzetten" lijkt de enige optie te zijn om mogelijkheden van "eigen gekozen" DNS- en DoH servers binnen de router te laten werken,
en aanvullende filteringen binnen Safe Access functioneel te hebben.

Dat is eigenlijk in tegenspraak met de volgende instelling m.b.t. DoH.





Installeren van het Synology DNS-server pakket, en dan toch van de router DoH  functies gebruik maken,
heeft volgens informatie van het Synology kenniscentrum geen zin.  Daar houd ik het dan maar bij.

Het lijkt erop dat de configuratie die ikzelf al enkele jaren inzet, het meest haalbare is met wat mogelijk is ??
Met -voordelen alsook nadelen / beperkingen in die configuratie.