BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
Fibra

No funciona Cloudflare 1.1.1.3 para filtrar contenido peligroso y de adultos en Digi

1
Kikelon

Estoy tratando de configurar Cloudflare en los tablets de mis hijos como primera línea de defensa ante malware y contenido de adultos, pero parece no funcionar.

En teoría, aunque Digi haga hijacking de las peticiones DNS, usando DNS over HTTS (Private DNS en Android) y configurando como DNSs 1.1.1.3 y secundario 1.0.0.3, debería bloquear contenido de adultos, pero aún así puedo conectar a conocidísimas webs de porno.

¿Qué puedo estar haciendo mal?

¿Habéis conseguido configurar este filtrado de peticiones satisfactoriamente en Android?

lhacc
3

Digi no puede hacer nada para bloquear DoH, así es que tu problema está en otra parte.

Por otro lado me parece innecesariamente incendiario culpar a tu ISP si no estás seguro de lo que puede estar ocurriendo.

🗨️ 1
Kikelon

O que Private DNS no esté funcionando correctamente, estoy probando Android 10, los tablets son Android 12.

P.D.: mi ISP tiene ya largo historial interceptando las peticiones DNS y además está reconocido públicamente, hay varios hilos en este subforo.

Jav9i
1

Pues yo tengo esas DNS en mi router y me funcionan de maravilla.

tengo el Zyxel emg5523-t50b

🗨️ 3
Kikelon

Estoy configurando en un dispositivo móvil Android, el router tiene los DNS de Google

🗨️ 2
holamorato

Probablemente en ese móvil tengas DoH activado en Chrome. Tendrías que desactivar tambien DoT en los ajustes del terminal. Y aún haciendo eso, si usas el router de Digi, lo mas probable es que aunque tu configures unos DNS IPv4 en el router, el tráfico DNS sea enrutado hacia las DNS IPv6 de Digi, los cuales no se pueden cambiar en el router por estar esa sección bloqueada al usuario estándar. Domage.

🗨️ 1
Kikelon

En los Android se usa Private DNS en la configuración, que es DoT/DoH, Desde el principio funcionaba bien, el problema era que los de NS de Cloud Fleur para filtrar contenido de adultos y malware, no estaba filtrando. Digi no puede filtrar las peticiones DoH porque no va por el puerto 52 estándar, sino cifrado por HTTPS (o TLS). Así que no creo que haga el entubado de HTTPS hacia su Proxy DNS. Gracias!

pepejil

Digi deja de ser responsable desde el momento en que la petición HTTPs llega a los servidores de Cloudflare.

Revisa si no tienes otros DNS interfiriendo.

🗨️ 1
Kikelon

Solo hay una configuración WiFi activa en un momento determinado y está configurada con Private DNS y los DNS de Cloudflare, tiene IP estática porque en este móvil al menos no puedes activar DHCP 'solo' para la IP.

vukits
-1

para esos menesteres, mejor un PiHole, que además te da DHCP y DNS y muchas cosas más.

🗨️ 5
Kikelon

No quiero configurarlo para toda la red, solo para los dos tablets.

🗨️ 2
vukits

No quiero configurarlo para toda la red, solo para los dos tablets.

entonces sólo necesitas la función de DNS, no la DHCP.

🗨️ 1
Kikelon

No acabo de ver el punto, el tema es que en los Android no puedo configurar DHCP solo para la dirección, si tengo DHCP incluye también los DNS configurados en el router, que es lo que no quiero. Si quiero poner manualmente los DNS en un dispositivo Android tengo forzósamente que usar también IP estática. Es un mal menor pero bueno.

Catfluoride
1

Y si quieres tener TU propio DoT, AdGuard Home. Así lo usas incluso fuera de la casa (aunque hay que trastear con certificados y dominios).

🗨️ 1
Kikelon

Tengo previsto activar DoT para toda la red pero no los mismos proveedores para todos los dispositivos. He visto como activar en un mikrotik DoT con certificado, para asignar distintos DNS según la mac del dispositivo tiene que ser con DHCP profiles, tengo que ver como se puede hacer (en caso que se pueda) con el modelo de router que he mirado.

skgsergio
5

Para probar si hay algun tipo de secuestro de DNS te recomendaría probar desde un ordenador en tu red esto:

sconde@titania ~ $ dig +short xxxxxxx.com @1.1.1.3
0.0.0.0
sconde@titania ~ $ dig +short xxxxxxx.com @1.0.0.3 
0.0.0.0

o

sconde@titania ~ $ host xxxxxxx.com 1.1.1.3
Using domain server:
Name: 1.1.1.3
Address: 1.1.1.3#53
Aliases: 
 
xxxxxxx.com has address 0.0.0.0
xxxxxxx.com has IPv6 address ::
Host xxxxxxx.com not found: 5(REFUSED)

sconde@titania ~ $ host xxxxxxx.com 1.0.0.3
Using domain server:
Name: 1.0.0.3
Address: 1.0.0.3#53
Aliases: 
 
xxxxxxx.com has address 0.0.0.0
xxxxxxx.com has IPv6 address ::
Host xxxxxxx.com not found: 5(REFUSED)

o si tienes un SO inferior como Windows así (no puedo ponerte un ejemplo de salida ya que no uso de eso):

C:\> nslookup xxxxxxx.com 1.1.1.3
C:\> nslookup xxxxxxx.com 1.0.0.3

De todas formas si usas DoH/DoT/Private DNS y no te filtra eso ya es más raro... ¿estas usando family.cloudflare-dns.com?:

sconde@setebos ~ $ dog --https @https://family.cloudflare-dns.com/dns-query xxxxxxx.com
A xxxxxxx.com. 1m00s   0.0.0.0
sconde@setebos ~ $ dog --tls @family.cloudflare-dns.com xxxxxxx.com
A xxxxxxx.com. 1m00s   0.0.0.0
🗨️ 4
Kikelon

Gracias, luego enchufo la Pi y pruebo, que desde un móvil es un poco coñazo.

Estoy usando, como dirección de Private DNS la que pone en Cloudflare one.one.one.one, esta es la parte donde lo explica:

Configure 1.1.1.1 manually

​​Android 9 Pie or later

Android Pie and later supports DNS over TLS to secure your queries through encryption. In Android, this option is called Private DNS. It prevents your queries from being tracked, modified or surveilled by third-parties. Unlike previous versions of Android, this method also ensures 1.1.1.1 does not need to be configured for each new WiFi network your smartphone joins.

Go to Settings > Network & internet.

Select Advanced > Private DNS.

Select the Private DNS provider hostname option.

Enter one.one.one.one or 1dot1dot1dot1.cloudflare-dns.com and press Save.

Estas configuraciones están detalladas en:

developers.cloudflare.com/1.1.1.1/setup/android

🗨️ 3
skgsergio
3

El Private DNS de one.one.one.one / 1dot1dot1dot1.cloudflare-dns.com NO filtra, tienes que usar family.cloudflare-dns.com.

En developers.cloudflare.com/1.1.1.1/setup te lo explican:

Block malware and adult content
family.cloudflare-dns.com
🗨️ 2
Kikelon

Muchas gracias, entonces la documentación está errónea, gracias por el enlace voy a cambiar y probar.

Kikelon

Gracias, skgsergio, tenías razón, hay que usar esa dirección. Esa documentación es prácticamente idéntica a la que yo revisaba pero sin embargo los contenidos son muy diferente. Mi intención es hacer esto directamente en un router mikrotik, he visto que algunos routers permiten crear perfiles DHCP para asignar configuraciones diferentes a los dispositivos incluyendo los DNS, lo que me facilitaría la vida.

¡Gracias de nuevo!

sergioam
-5

En Android no puedes cambiar los DNS, siempre van a usar los de Google.

🗨️ 12
PezDeRedes
3

¿Qué dices? Claro que puedes…

🗨️ 5
sergioam
-1

Si no sales por VPN, olvidate.

🗨️ 4
lhacc

Dependerá de la rom, imagino

PezDeRedes
1

Negativo, y lo tengo probado y más que probado.

Kikelon

Si los asignas por DHCP puedes poner en el router los que te de la gana, y además, en cada conexión Android puedes configurar unos estáticos. La única pega es que no puedes elegir usar solo DHCP para la IP, así que tienes que ponerlo todo en manual para configurar los DNS estáticos.

🗨️ 1
Slm
1

Me parece un poco arriesgada esa afirmación.

Bramante
2

¿Cómo que no?

Catfluoride
2

Falso. Ahora mismo estoy usando el DNS "de mi casa" usando DoT. Comprobado con dnscheck.tools

pepejil
2

Completamente falso.

Uso NextDNS y el filtro como tal está funcionando, con lo que Android no los está sacando por las de Google.

Damxspa
1

En versiones recientes de Android puedes usar DNS Over TLS, los de Adguard son buenos para bloquear anuncios, aunque yo prefiero NextDNS que permite bloqueo personalizado

skgsergio

Te puedo asegurar que eso no es cierto en los siguientes dispositivos que he tenido:

  • Nexus 5
  • One Plus 3T
  • Xiaomi Mi 9T Pro
  • Redmi Note 11 Pro 5G

Y otros que he probado incluyendo varios Samsung, varios Google Pixel…

Todos con stock rom.

pepejil

Si, es DoT. Pero CloudFlare también tiene DoT.

🗨️ 1
Catfluoride

Por eso, digo. Que el OP habla de DoH.

Damxspa

Exacto, desde Android 13

🗨️ 1
Kikelon
1

Ya está solucionado, y funciona en Android 10 de un Mi8 también. Era la dirección del proveedor DOT/DOH, usaba la genérica de Cloudflare y hay una específica para filtrar contenido.

pjpmosteiro

No es cosa de Digi.

De hecho, la operadora no debe intervenir. Lo que hagas con la conexión deberia ser cosa tuya.

🗨️ 8
Kikelon

El hecho de usar DoT/DoH es que Digi si que hace secuestro de consultas DNS, hay un hilo en el foro que lo explica y una explicación legal que dió Digi.

🗨️ 6
ferferga

Enlace?

🗨️ 5
ferferga
ferferga
🗨️ 1
Kikelon
Kikelon
Kikelon
Kikelon
1
lhacc

Por desgracia el Estado no lo ve así y ordena a los ISPs a poner medidas de bloqueo.

Kikelon

Eso no tiene nada que ver con mi problema. Gracias por intentar ayudar.

🗨️ 2
ferferga

Es cierto que no he leído el tema completo antes de ver de que tienes el problema con Android, pero copio 100% a lhacc (que su mensaje y tu respuesta es lo primero y único que he leído): Digi no puede hacer nada para bloquear DoH, así es que tu…

En el título y en el post afirmas que Digi intercepta DNS, cuando en ningún momento eso es cierto, y lo que ha sido bien mencionado en el foto varias veces es lo del IPv6 en hilos como el que te he enlazado. Podemos discutir sobre qué los routers tengan 0 opciones de configuración de IPv6, pero eso es bien diferente a lo que afirmas.

Como te han dicho el resto de usuarios, si es con DoH/DoT tu problema está clarisimamente en otra parte.

🗨️ 1
Kikelon

Si, está solucionado, lo pongo más arriba, gracias.