iPhone bypassed Adguard Home auf Opnsense

[Chibi88]

Guten Morgen,

ich habe eine Opnsense im Einsatz, die als Plugin Adguard Home installiert hat. Leider ist mir vorhin aufgefallen, dass die Blocklists teilweise nicht triggern bzw. mein iPhone diese wohl bypassed und die Domains nicht blockiert.

Beispiel: Ich habe eine NSFW Blocklist aktiviert, kann aber trotzdem mit meinem iPhone im private Tab aufrufen. Im normalen Tab werden diese blockiert. Wenn ich auf meinem iPhone einen anderen Browser wie Chrome nutze, funktioniert dies ohne Probleme. Meine Vermutung war ursprünglich private Relay, aber diese Option ist in den iCloud Einstellungen nicht aktiviert und auch im private Tab von mir nicht aktiviert.

In Adguard Home kann ich ebenfalls sehen, dass manche Anfragen vom iPhone gefiltert werden. Ich habe keine Werbung in Apps und im normalen Tab wird diese rausgefiltert.

Weiß jemand, wieso das iPhone im private Tab meine DNS Blocklist bypassed und wie ich das abschalten kann?

 

[Fard Dwalling]

Wahrscheinlich weil das iPhone teilweise eigene DNS Server und nicht die aus deinem Netzwerk anfragt.

Du kannst auf der Firewall eine Regel anlegen, das alle internen Anfragen an 0.0.0.0:53 weitergeleitet werden an deine Adguard IP bzw. localhost:53.

Ggf die verschlüsselten Ports auch umbiegen oder verbieten.

 

[dj-melo]

gibt es evtl sep. DNS Einstellungen in den jeweiligen Browsern?

 

[acidarchangel]

Mike Kuketz beschreibt das Problem inkl. Lösung im Zusammenhang mit Pihole. Kannst du ja auch mal testen:
https://www.kuketz-blog.de/pi-hole-und-fritzbox-dns-umgehung-bypassing-verhindern/

 

[Fard Dwalling]

Aber der TE hat ja evtl keine Fritzbox sondern eine Opnsense. :-)
Aber der Beitrag von Kuketz ist trotzdem super, wusste nämlich nicht, dass man das leicht auch auf der Fritzbox einfach umsetzen kann.

 

[qiller]

DoH aktiv?

 

[Fard Dwalling]

Ist doch so einfach gar nicht möglich auf dem iPhone. Und es geht doch auch nur um den Private Tab.

 

[Helge01]

Das iPhone nutzt DoH und umgeht damit deine DNS Einstellungen.

Du kannst folgende Adressen blockieren, damit wird das iPhone gezwungen dein DNS zu nutzen.

doh.dns.apple.com
mask.icloud.com
mask-h2.icloud.com
mask-api.icloud.com
mask-t.apple-dns.net
mask.apple-dns.net
mask-api.fe.apple-dns.net

Am einfachsten wäre das mit pfSense und pfBlockerNG gegangen, dort kannst du im Resolver die meisten bekannten DoH Anbieter blockieren.

 

[DFFVB]

Was sagt dns leak test?

 

[shalafi]

Im privaten Modus nutzt Safari dem "Privat-Relay" von iCloud und verschlüsselt die Daten bevor diese von Adguard gelesen ausgewertet werden können. Danach wird ein eigener DNS Server zum Entschlüsseln genutzt.

Versuch mal das Privat-Relay unter Einstellungen auszuschalten. Für mich funktioniert auch ein VPN um das Problem zu beheben. Für einzelne Seiten kann auch "Schutz reduzieren" in den Website-Einstellung funktionieren.

 

[Fard Dwalling]

@shalafi Das schrieb der TE dazu im Eingangsthread:

Meine Vermutung war ursprünglich private Relay, aber diese Option ist in den iCloud Einstellungen nicht aktiviert und auch im private Tab von mir nicht aktiviert.

Aber wahrscheinlich Bevormundet hier Apple wieder seine User, und aktiviert das zur Sicherheit, damit Private Tab auch wirklich private ist.
Prinzipiell ja nicht schlecht, wenn es denn eine Opt-Out Option dazu irgendwo gäbe.

 

[Chibi88]

Das iPhone nutzt DoH und umgeht damit deine DNS Einstellungen.

Du kannst folgende Adressen blockieren, damit wird das iPhone gezwungen dein DNS zu nutzen.

doh.dns.apple.com
mask.icloud.com
mask-h2.icloud.com
mask-api.icloud.com
mask-t.apple-dns.net
mask.apple-dns.net
mask-api.fe.apple-dns.net

Am einfachsten wäre das mit pfSense und pfBlockerNG gegangen, dort kannst du im Resolver die meisten bekannten DoH Anbieter blockieren.

Verstehe ich nicht. Ich habe Zenarmor aktiv und DOH geblockt. Außerdem zeigt mit der Live-Log, dass mask-h2 geblockt wird.

Der DNSleaktest zeigt mir meine beiden konfigurierten TLS Server von Quad9 und Cloudflare an, die ich in den DNS Settings vom Adguard konfiguriert habe.

Aktuell habe ich folgende "Lösung"

Zenarmor -> Block Proxy -> icloud Relay
Zenarmor -> Block DOH
Zenarmor -> Block Website Category
Einstellungen am iphone -> WIFI -> Tracking der IP beschränken -> deaktivieren

Dadurch werden die Websites geblockt und es gibt kein Delay beim Aurfrufen der Websites. Hier ist aber Zenarmor erforderlich. Mit Adguard und der NSFW Blocklist komme ich so im Private Tab nicht weiter

 

[qiller]

Kenn dieses Zenarmor nicht, aber wenn dasn Webproxy ist, dann muss das Iphone auch den Webproxy nutzen, damit DoH geblockt werden kann. Und wenns keiner ist, geht das nur über "Aufmachen" der TLS-Verschlüsselung. Und das geht wiederum nur, wenn entsprechende Root-Zertifikate ins Iphone installiert werden.

Ich benutze im IPFire den Webproxy mit URL-Filter und der Blockliste von der. Univ. Toulouse. Und die haben auch ne DoH Sektion. Aber wie gesagt, Blocken über Proxies funktioniert halt nur, wenn der Proxy auch verwendet wird bzw. eingestellt ist. Für eine automatische Proxy-Konfiguration mal mit PAC/WPAD beschäftigen.