discussion UDM Pro configuratie om alleen DNS server van de UDM te gebruiken.

[speksjans]

Graag wil ik via de UDM pro centraal afdwingen dat bijv. windows apparaten en smartphones geen eigen DNS server op de client kunnen instellen?
Heeft iemand een voorbeeld van een configuratie voor de UDM die je kan toepassen?

 

[dbw]

Dat doe je via DHCP van de UDM pro.
Maar iedere handige harry kan dat lokaal veranderen.
Daar doe je niet zoveel aan.
Ik zie alleen niet in waarom ze dat zouden willen doen.

 

[edwin2019]

En Android blijft de Google dns gebruiken

 

[speksjans]

Er schijnt een firewall en port forward policy te zijn waarmee je al het verkeer naar de dns server van de UDM kan sturen. Ben benieuwd of iemand daar ervaring mee heeft.

 

[S1KRR]

Als je het ECHT wil afdwingen, dan moet je aan een MDM oplossing gaan denken. Anders instellen via DHCP. ~ALs je met interne port forwareding aan de gang gaat, wordt het wel heel ingewikkeld omdat portforwarding naar een WAN interface kijkt als source. Geen idee of dit kan in unifi
Je kan natuurlijk wel 8.8.8.8 en 8.8.4.4 blokkeren in je firewall.

overigens , op Android:
How do I disable Google DNS on Android?

To turn secure DNS on or off:

1. On your Android device, open Chrome .
2. At the top right, tap More Settings Privacy and security.
3. Under “Security,” tap Use secure DNS.
4. Turn on or off Use secure DNS.
5. Select your current or another service provider.

 

[flyingpenguin]

speksjans - Volgens mij kun je dat wat jij voor ogen hebt bereiken met het volgende:

Stap 1 — Zorg dat de DNS van de UDM wordt uitgedeeld via DHCP - dus voor het netwerk in kwestie bij DNS het gateway IP adres invullen (bij mij 192.168.1.1)

Stap 2 - Alle DNS verzoeken (poorten 53 en 853) naar de gateway toestaan met een firewall rule:
Name: Allow DNS to router
Source zone: Internal / Any
Port: Any
Action: Allow
Destination zone: Gateway
IP / Specific -> IP van de interne gateway (192.168.1.1) toevoegen
Port: specific 53 (en evt. 853)
IP version: Both
Protocol: TCP/UDP

Stap 3 - Alle DNS verzoeken naar buiten (bijv 8.8.8.8 oid) blokkeren
Name: Block External DNS
Source zone: Internal / Any
Port: Any
Action: Block
Destination zone: External
IP / Specific -> Any
Port: specific 53 (en evt. 853)
IP version: Both
Protocol: TCP/UDP

Stap 4 - Testen
In terminal (ik werk met Mac):

dig @192.168.1.1 google.com

-> Geeft een reactie met ergens NOERROR

dig @8.8.8.8 google.com

-> Als het goed is, krijg je na verloop van tijd een time-out. Dan werkt het dus zoals bedoeld en worden alle DNS verzoeken naar een andere dan door jou ingestelde DNS server geblokkeerd.

 

[edwin2019]

Als je het ECHT wil afdwingen, dan moet je aan een MDM oplossing gaan denken. Anders instellen via DHCP. ~ALs je met interne port forwareding aan de gang gaat, wordt het wel heel ingewikkeld omdat portforwarding naar een WAN interface kijkt als source. Geen idee of dit kan in unifi
Je kan natuurlijk wel 8.8.8.8 en 8.8.4.4 blokkeren in je firewall.

overigens , op Android:
How do I disable Google DNS on Android?

To turn secure DNS on or off:

1. On your Android device, open Chrome .
2. At the top right, tap More Settings Privacy and security.
3. Under “Security,” tap Use secure DNS.
4. Turn on or off Use secure DNS.
5. Select your current or another service provider.

Hm, kreeg ik niet werkend. Bleef om pihole heen gaan. Gebruik nu een appje wat een dns loop maakt mbv interne vpn. Nu worden adds wel geblocked.

 

[flyingpenguin]

Hm, kreeg ik niet werkend. Bleef om pihole heen gaan. Gebruik nu een appje wat een dns loop maakt mbv interne vpn. Nu worden adds wel geblocked

Een NAT-Rule die alle DNS traffic omleidt naar het IP adres van je PiHole is ook niet heel lastig..

Create New Policy -> Name: Redir DNS from LAN to PiHole
Type: DNAT
Interface: LAN
Translated IP Address: van je PiHole
IP: v4
Protocol: TCP/UDP
Source: LAN
Port: Any
Destination: Any
Port: 53 (en evt. 853)

 

[edwin2019]

Een NAT-Rule die alle DNS traffic omleidt naar het IP adres van je PiHole is ook niet heel lastig..

Create New Policy -> Name: Redir DNS from LAN to PiHole
Type: DNAT
Interface: LAN
Translated IP Address: van je PiHole
IP: v4
Protocol: TCP/UDP
Source: LAN
Port: Any
Destination: Any
Port: 53 (en evt. 853)

Verhip, die had ik niet bedacht! Dank

 

[speksjans]

speksjans - Volgens mij kun je dat wat jij voor ogen hebt bereiken met het volgende:

Stap 1 — Zorg dat de DNS van de UDM wordt uitgedeeld via DHCP - dus voor het netwerk in kwestie bij DNS het gateway IP adres invullen (bij mij 192.168.1.1)

Stap 2 - Alle DNS verzoeken (poorten 53 en 853) naar de gateway toestaan met een firewall rule:
Name: Allow DNS to router
Source zone: Internal / Any
Port: Any
Action: Allow
Destination zone: Gateway
IP / Specific -> IP van de interne gateway (192.168.1.1) toevoegen
Port: specific 53 (en evt. 853)
IP version: Both
Protocol: TCP/UDP

Stap 3 - Alle DNS verzoeken naar buiten (bijv 8.8.8.8 oid) blokkeren
Name: Block External DNS
Source zone: Internal / Any
Port: Any
Action: Block
Destination zone: External
IP / Specific -> Any
Port: specific 53 (en evt. 853)
IP version: Both
Protocol: TCP/UDP

Stap 4 - Testen
In terminal (ik werk met Mac):

-> Geeft een reactie met ergens NOERROR


-> Als het goed is, krijg je na verloop van tijd een time-out. Dan werkt het dus zoals bedoeld en worden alle DNS verzoeken naar een andere dan door jou ingestelde DNS server geblokkeerd.

Top, bedankt ga ik zeker eens proberen

 

[speksjans]

speksjans - Volgens mij kun je dat wat jij voor ogen hebt bereiken met het volgende:

Stap 1 — Zorg dat de DNS van de UDM wordt uitgedeeld via DHCP - dus voor het netwerk in kwestie bij DNS het gateway IP adres invullen (bij mij 192.168.1.1)

Stap 2 - Alle DNS verzoeken (poorten 53 en 853) naar de gateway toestaan met een firewall rule:
Name: Allow DNS to router
Source zone: Internal / Any
Port: Any
Action: Allow
Destination zone: Gateway
IP / Specific -> IP van de interne gateway (192.168.1.1) toevoegen
Port: specific 53 (en evt. 853)
IP version: Both
Protocol: TCP/UDP

Stap 3 - Alle DNS verzoeken naar buiten (bijv 8.8.8.8 oid) blokkeren
Name: Block External DNS
Source zone: Internal / Any
Port: Any
Action: Block
Destination zone: External
IP / Specific -> Any
Port: specific 53 (en evt. 853)
IP version: Both
Protocol: TCP/UDP

Stap 4 - Testen
In terminal (ik werk met Mac):

-> Geeft een reactie met ergens NOERROR


-> Als het goed is, krijg je na verloop van tijd een time-out. Dan werkt het dus zoals bedoeld en worden alle DNS verzoeken naar een andere dan door jou ingestelde DNS server geblokkeerd.

De configuratie lijkt goed te werken. Even zelf de DNS op een windows pc aangepast en deze geeft geen request terug en site terug. Nogmaals bedankt

 

[Poni99]

Toevallig kwam ik vandaag een YT filmpje tegen waarin dit werd uitgelegd vanaf 2:59 in het filmpje:

Onderwerp betreft iets anders, maar tweede deel gaat over blokkeren van een externe DNS.

 

[PE1PQX]

Als je het ECHT wil afdwingen, dan moet je aan een MDM oplossing gaan denken. Anders instellen via DHCP. ~ALs je met interne port forwareding aan de gang gaat, wordt het wel heel ingewikkeld omdat portforwarding naar een WAN interface kijkt als source. Geen idee of dit kan in unifi
Je kan natuurlijk wel 8.8.8.8 en 8.8.4.4 blokkeren in je firewall.

overigens , op Android:
How do I disable Google DNS on Android?

To turn secure DNS on or off:

1. On your Android device, open Chrome .
2. At the top right, tap More Settings Privacy and security.
3. Under “Security,” tap Use secure DNS.
4. Turn on or off Use secure DNS.
5. Select your current or another service provider.

Geld deze manier niet alleen voor de browser, en niet voor het gehele Android apparaat?

 

[S1KRR]

Dat is een goeie. Hangt af van de implementatie van Chrome. Ik ga eens met een sniffer aan de gang.

 

[PE1PQX]

Mijn ervaring is dat dit alleen voor Chrome werkt....
Je moet de netwerkinstellingen zelf aanpassen, maar dan nog glipt google er waarschijnlijk langs.