BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

Zte H3600 de fibra Digi no conserva el segundo DNS que configuro

Gastoncito

Me han instalado hace poco la fibra Smart de Digi, con el ONT, y router ZXHN H3600 de Zte.

Debido a que tengo un servidor DNS corriendo en mi red quisiera utilizarlo como DNS para todos los dispositivos que se conecten a la red.

He seleccionado entonces la opción en el router para elegir los DNS primarios y secundarios. He probado poniendo en el primario la IP del servidor DNS, y luego 0.0.0.0 en el secundario, o en el primario y secundario la misma IP del servidor DNS. Y sin embargo el resultado es siempre que se agrega solo un segundo o tercer DNS, que coincide con la IP del router, en este caso 192.168.1.1

¿Habrá alguna forma de solucionar esto? Estimo que cambiando el router lo solucionaría, pero antes de llegar a eso…

Leí por ahí, y no sé si estoy en lo cierto, que podría ser algo llamado DNS Proxy (o al menos lo que he podido entender de este tema: Digi no deja cambiar las DNS )?

El servidor DNS por cierto es Pihole, el cual necesito configurar en el router.

Y lo que me pasa con todo esto como consecuencia es lo que decía el usuario BocaDePez en ese link:

A mí únicamente me funciona con dispositivos conectados por cable

Los que van por wifi no hay manera de que se configuren con los DNS de la raspberry

Tengo una rpi con pihole y solo me bloquea anuncios a los PC que van por cable

Maik-Spynet
1

Facilísimo.

Desconecta el DHCP del router de Digi, y en el Pihole activas el DHCP que trae de serie y lo configuras a tu antojo para que asigne las ips (y las DNS que tu quieres poner) a cada mac de cada uno de tus equipos de forma ordenada.

Yo lo he hecho así tal cual, y… ya.

🗨️ 2
Gastoncito

Gracias por la respuesta. He desactivado ya el servidor DHCP que trae el router y ahora Pihole se encarga del servidor DHCP.

Pero además de esto entonces debería asignar yo en forma manual las asignaciones DHCP a cada uno de los dispositivos de mi red? Porque ahora ya lo ha asignado todo en forma automática.

Pero más allá de eso, solo al cambiar de servidor DHCP del router al pihole con esto se solucionaría al mismo tiempo este tema de las DNS?

Gracias

🗨️ 1
Maik-Spynet

No, no hace falta que configures manualmente las ips de cada mac.

Solo he dicho que configures "a tu antojo", es decir que si quieres que el DHCP se encargue pues ya está.

Yo concreta mente te lo digo por que a mi por ejemplo me gusta que mi ordenador principal, una torre, siempre tenga asignada una IP, y mi decodificador de satélite/TDT lo mismo, y otros tantos cacharros que utilizo para mis pasa-ratos, a esos les tengo a todos una IP marcada para su mac, así cuando me conecto a ellos, la IP siempre es la misma.

Luego ya el resto como móviles y domótica pues el DHCP ya les asigna aleatorio, pero si no tienes esas necesidades, pues tal cual lo has dejado está perfecto.

Y respondiendo a tu pregunta, claro que debería solucionarse el problema, ya que a pihole tu le configuras que DNSs utilizar y esas son las que va a asignar a cada cliente DHCP.

MasterL

Yo haría lo siguiente

  1. En el servidor de DNS añadir y configurar el servicio de DHCP
  2. Deshabilitar el servicio de DHCP en el router

Tener control del DHCP y el DNS de tu red te hará libre

🗨️ 20
Gastoncito

Perdón, he probado con esto pero aún sigue sin funcionar :/

🗨️ 19
Gastoncito

Probé con una aplicación de Android llamada Network Info II, y reporta que efectivamente se está utilizando la IP de Pihole tanto para DHCP como para servidor DNS. Pero sin embargo siguen sin bloquearse los anuncios en el móvil. En equipos conectados por cable, o mismo Windows por Wifi funciona todo bien. Pero no así en el móvil, es bastante raro…

🗨️ 2
MasterL

Ah ojo con el movil porque a veces si ven q bloqueas las peticiones usan sus propios DNS sobre https, doh le llaman

Apple lo hace

Tu movil es Android? De Android no controlo tendrias que investigarlo

Yo terminé montando un servidor openbsd con unbound rpz para bloquear las peticiones de DNS sobre https de apple

Catfluoride

Lo que hago yo es bloquear los más conocidos servidores DoH/DoT en la PiHole también. Y de paso, las IP 8.8.8.8, 8.8.4.4 de los DNS de Google en el router.

Para lo primero, uso esta lista:

raw.githubusercontent.com/crypt0rr/publi…ain/dns.list

Para lo segundo, dependiendo del router.

EDIT: añado que si el dispositivo tiene unas DNS prefijadas (por IP), la única manera de que use exclusivamente PiHole es de que tu router permita redirigir el puerto 53 para los dispositivos de tu LAN. Esto yo lo hago de manera muy sencilla con un router Asus con el firmware de Merlin, pero algunos permiten hacerlo por línea de comando usando iptables.

lhacc

¿Cómo es posible que desactivando el DHCP del router aún siga usando las DNS del router? ¿Seguro que lo has hecho bien?

🗨️ 13
Gastoncito

Sí, Windows por ejemplo informa lo siguiente:

DHCP Enabled… : Yes

Autoconfiguration Enabled … : Yes

IPv4 Address… : 192.168.1.49(Preferred)

Subnet Mask … : 255.255.255.0

Lease Obtained… : Wednesday, September 21, 2022 8:48:04 PM

Lease Expires … : Thursday, September 22, 2022 8:49:48 PM

Default Gateway … : 192.168.1.1

DHCP Server … : 192.168.1.2

DNS Servers … : 192.168.1.2

Y como decía, Android reporta lo mismo, con el agregado de una entrada más de DNS en 0.0.0.0. Pero no creo que eso haga problema.

🗨️ 8
MasterL
lhacc
🗨️ 6
Gastoncito
🗨️ 5
lhacc
🗨️ 4
Gastoncito
🗨️ 3
lhacc
MasterL
🗨️ 1
MasterL

Ojo con apple y supongo que Google usando DoH cuando hay bloqueo

Lo del DNS over https es una putada para organizaciones y usuarios que quieren controlar el DNS

Te tunelan y se quedan tan anchos

Creo que es intolerable pero se escudan en la privacidad y que es por tu bien

🗨️ 3
Gastoncito
🗨️ 2
MasterL
lhacc
MasterL

De nada.

Respecto a lo de configurar ips manualmente

Normalmente quieres q el servidor DHCP configure en automatico los dispositivos. Por ejemplo un movil

Pero si por ejemplo tienes una camara en tu red local y por lo que sea quieres que tenga siempre la misma IP, en la configuracion del servidor DHCP indicas que a la mac de la camara se le entregue siempre la misma IP

🗨️ 1
Gastoncito

Perfecto, gracias por la aclaración.

59fnzdf9

el chrome en Android se pasa por el forro el DNS que tengas en la red y usa los suyos propios, por eso en chrome es imposible capar los anuncios con pihole. quita chrome usa firefox, duckduckgo o qwant

🗨️ 1
Gastoncito

Gracias por la respuesta. El tema igual es que a nivel dispositivo ya Android intenta usar otras DNS.

Gastoncito

Luego de muchas pruebas, descargué otra aplicación para Android que informa acerca de todos los DNS utilizados en el dispositivo, y el problema parece radicar en estos 3 DNS, que yo desde ya no configuré, y que además no tengo forma siquiera de verlo o desactivarlo en el router provisto por Digi.

192.168.1.2 es el DNS que yo configuré en el router, toda la otra basura viene por parte de Digi.

🗨️ 2
lhacc
1

Tuve exactamente el mismo problema con el otro router de Digi smart… se podían hacer todo tipo de cambios en las opciones de IPv4, pero las de IPv6 nada.

🗨️ 1
Gastoncito

Así es. Acabo de llamarlos para que me desactiven todo lo relacionado a IPv6 en mi conexión, me dijeron que supuestamente lo van a hacer ellos remotamente. Así que luego comento cómo fue.

Gracias a todos.

Gastoncito

Bueno, finalmente me desactivaron IPv6 remotamente desde Digi. Ya funciona todo como debería:

Gracias de nuevo por los comentarios.

🗨️ 10
MasterL

Me alegro que esté resuelto

Pero me parece lamentable que tengas que deshabilitar la pila de v6 o montar un servidor VPN en tu propia LAN para que tu telefono de apple y Google haga lo que tú quieres

Luego se quejan de que les regulen pero ellos mismos se comportan como tiranos en ciertos aspectos

🗨️ 9
lhacc

La solución es tan sencilla como poner tus propios equipos, si no los pones estás a merced de la configuración de la operadora, no veo dónde es necesaria la regulación.

🗨️ 8
Gastoncito

El tema es que aunque pusiese mi propio router en vez del de Digi, de todas formas la solución hubiese sido la misma, deshabilitar IPv6 en mi caso.

A menos que haya otra solución que yo no estoy viendo, mi conocimiento en este caso sobre redes es más limitado. Pero desde ya que entregar un router con firmware modificado por el mismo ISP sin poder siquiera deshabilitar algo tan básico como IPv6 es bastante triste…

🗨️ 7
lhacc
🗨️ 1
MasterL
🗨️ 4
Gastoncito
🗨️ 2
MasterL
🗨️ 1
lhacc
ferferga

No hace falta desactivar IPv6. Puedes usar DHCPv6 con AdGuard Home (mucho mejor que PiHole en mi opinión) y tener el dual stack completo.

Por último, puedes bloquear en el propio router de Digi cualquier tráfico de entrada y de salida por el puerto 53 tanto en IPv6 como en IPv4.

Así conservas IPv6, es una lástima pedir que te lo desactiven solo por eso.

🗨️ 6
Gastoncito

Gracias, no sabía que Adguard tenía la opción de DHCP IPv6. Siendo así tenía otra pinta…

Lo de bloquear tráfico 53 sería luego de seguir la opción de Adguard? O aplica aún ahora que me desactivaron IPv6?

No estoy seguro además que este router tenga la opción de bloquear el tráfico de entrada.

Edit: si sería IP Filter entonces sí tengo la opción parece.

🗨️ 5
ferferga

No es obligatorio, tengas IPv6 o IPv4. El mecanismo de obtención de IP de IPv6 es muy diferente a IPv4, en IPv6 existe un mecanismo llamado SLAAC que es el que te proporciona la IP (ya que en IPv6 no existe concepto de NAT, tu IP en IPv6 no es local, es global en todo el mundo, por algo hay alrededor de 100 IPs de IPv6 por cada átomo de la superficie de la tierra :D) y viene de la operadora. SLAAC es el mecanismo por defecto para asignar IPs (y el más recomendado ya que el proceso es mucho más directo que usando DHCP), pero IPv6 tiene compatibilidad para usar el mecanismo DHCP de toda la vida (en su versión 6 claro).

El problema principal en todo esto es que el router que te da Digi está muy capado en lo que respecta a la configuración IPv6, entonces ellos te dan la IP a través de SLAAC y tú no puedes activar DHCPv6 (que no es que haya un complot y apliquen DNSProxy porque te quieran forzar a usar los suyos ni nada), pero más que nada porque el router solo expone todo lo referido a IPv4.

Que el router no te de la opción no te impide a ti tener tu propio DHCP funcionando (que es lo que has hecho tú mismo con IPv4). Con tu propio DHCP, puedes quitar SLAAC de la ecuación y gestionar tú todo el mecanismo de asignación de IP.

Esto sobre el por qué no se usaban las DNS: Básicamente, los dispositivos en dual stack siempre le van a dar prioridad a IPv6 y, al tener una dirección IPv6 definida, pues va a tener más prioridad que la que pongas en IPv4. Si en la configuración automática que le llega al dispositivo en IPv6 defines como DNS la IPv6 de tu DNS, o no defines nada, pues para la resolución de nombres utilizarás tu DNS o hará fallback a IPv4 para la consulta (aunque si la respuesta desde el servidor en IPv4 a una consulta AAAA es válida, la IP a la que se conectará seguirá siendo IPv6 aunque la resolución de nombres haya ido por IPv4, por lo que seguirás disfrutando de todas las ventajas de IPv6 en la práctica).

Esto sobre todo el tema de IPv6 y demás. Sobre el bloqueo: que tú des la configuración DNS por DHCP no impide que alguien pueda poner a mano los DNS que quiera y saltarse tu PiHole/AdGuard). Dispositivos como el Chromecast, por ejemplo, omiten completamente el DNS dado por DHCP y llaman a 8.8.8.8 por defecto.

Ahora bien, si tú bloqueas todo el tráfico por el puerto 53 tanto en IPv6 como en IPv4 tanto de salida como de entrada en el puerto WAN, todos los dispositivos estarán forzados a usar las DNS que tú les digas (hay mil maneras de saltarse el bloqueo, es algo sencillo, pero no entran al caso y para la mayoría de la gente sirve para "forzar" el uso de PiHole/AdGuard), ya que solamente se podrá cursar tráfico DNS (que es el que va por el puerto 53, que no lo he especificado antes) en tu red local.

Luego en AdGuard configuras DoH o DoT o DoQ o similares (busca en Google, hay miles de documentos sobre el tema y seguro que mejor explicados que lo que yo pueda hacer aquí). No menciono PiHole porque necesitas cloudflared u otro programa que haga de proxy entre DoH, DoT y DoQ desde los proveedores (Google, CloudFlare, Quad9, etc) a DNS "normal y corriente" para que lo entienda PiHole.

En general te recomiendo que te pases a AdGuardHome, tiene muchas más características y viene en un solo binario, no necesitas de PHP ni servidor web ni historias varias.

🗨️ 4
Gastoncito

Muchas gracias por la explicación detallada.

Entiendo que al bloquear todo tráfico de entrada y salida en el puerto 53 se tendría que hacer para toda IP con excepción de la IP de Pihole.

Al estar forzando siempre a usar únicamente sin excepción la IP de Pihole para DNS, si el dispositivo que corre Pihole se cae o se reinicia esto haría que ningún dispositivo pudiese navegar en ese momento. Podría poner como respaldo un DNS de Cloudflare por ejemplo, pero esto de vez en cuando me dejaría sin bloqueo de anuncios. Así que podría en ese caso agregar otro dispositivo que actúe como DNS para tener redundancia.

Tengo otro dispositivo en la red hosteando servicios web en Docker, y por ello tengo cloudflared instalado allí para no tener que exponer puertos ni tener que usar Nginx Proxy Manager. Voy a buscar en Internet sobre esto de DoH y demás.

Gracias

🗨️ 3
ferferga
🗨️ 2
Gastoncito
🗨️ 1
ferferga