Pi Hole als Kindersicherung - 2 Netze

[Mc_Murphy]

Hallo

Ich habe bereits vergeblich nach Hilfestellungen gesucht und hoffe hier vielleicht Hilfe zu finden.

Folgende Idee ist geplant:

In einer Tageseinrichtung möchte ich das bestehende Netz von Router A mit einem zweiten Router B um ein Netz erweitern,
welches durch einen Pi Hole gefilter werden soll. Dazu möchte ich Router B an A anschließen.

Dadurch möchte ich erreichen das die Kids sich in ein von mir kontrolliertes und gefiltertes Netzwerk einloggen,
das mit diversen Filterlisten ausgestattet ist und zB auch einiges an Werbung verhindert. Folglich möchte ich das das
ursprüngliche Netzwerk unangetastet also ungefiltert bleibt.

Das ganze soll dann so aussehen:

Router A > WiFi-Personal > DHCP aktiviert, DNS Server deaktiviert (Also alles wie gehabt)
Router B > Wifi-Kids > DHCP deaktiviert (aktiv im Pi Hole) > DNS Server aktiviert (Pi Hole)

Nun meine Frage ob das überhaupt geht oder ob sich die beiden Router da in die Quere kommen?
Ich habe leider bisher keine Möglichkeit es zu testen.

Thx

 

[R O G E R]

Sollen die Geräte die an Router B zugewiesen sind auch auf Geräte auf Router A zugreifen?
Oder nur das Internet von Router A nutzen?

Weil für dein Vorhaben brauchst du 2 getrennte Subnetze.
Damit Router B als eigenständiger DNS (Pi-Hole) agieren kann.

 

[Mc_Murphy]

Es wäre wünschenswert wenn Geräte aus Netz B auch auf Geräte in Netz A zugreifen könnten (Netzwerkdrucker wären hier der Fall). Unbedingt notwendig wäre das allerdings nicht. Wichtig ist das die Kids ihr eigenes WiFi haben auf das sie einfach zugreifen können, ohne das ich jedes Gerät seperat einrichten muss.

 

[jacktheexecuter]

Hi Mc_Murphy,

wie Fit bist du in Puncto IT und Networking?
Das ist wichtig zu wissen.

Mit dem Pihole bekommst du das Thema Werbung geregelt.

Das was du vor hast, ist mit der Sophos UTM Home und einem PiHole abbildbar.
Für die Sophos UTM Home (gratis) gibt es gute und einfache Hardware ca. 180€ z.B. von pcengines.
Für Details müsste man aber etwas über deine Erfahrung mit dem Umgang von IT Gedöns wissen.

Gruß,
Jack

 

[Mc_Murphy]

Hi Jack

Also fit bin ich Grundlagen und ansonsten recht lernfähig. Die Situation stellt sich so dar das ich eine kostengünstige und einfache Lösung suche, um den Kids ein recht gut gefiltertes Netz zu bieten und um auch selber Seiten und Server blocken zu können. Und hier gefällt mir die Möglichkeit des Pi Holes einfach gut.

Sprich Filterlisten aus dem Netz nehmen und selber eigene Blacklists erstellen ohne großen Aufwand.

Ich recherchiere auch gerade ob dieses Lösung nicht auch webbasiert zu finden ist in Form eines kostenlosen DNS Servers, den man ähnlich leicht mit Filterlisten bestücken kann. Das wäre sicherlich noch einfacher wenn ich im Router B nur die IP eines solchen Servers eingeben müsste und fertig.

 

[jacktheexecuter]

Dann leg mit dem PI Hole los.
Router A macht den Uplink ins Internet und beleibt unberührt, Router B verweist auf Router A, hat aber sein eigenes Netz und als DNS verteilt dieser Router den PiHole. Pi Hole nutzt als DNS Router B und Router B nutzt als DNS Router A.

Das sollte so hinhauen.

 

[Raijin]

Grundsätzlich ist das auch mit 08/15 Equipment zu erreichen. Ein handelsüblicher WLAN-Router wird einfach per WAN-Port an das bestehende Hauptnetzwerk angeschlossen. An diesen zweiten Router wird dann einfach der PI (o.ä.) mit pihole angeklemmt. Entweder stellst du nun im DHCP des Kids-Routers die DNS-IP auf die lokale IP des PI oder du deaktivierst den DHCP-Server komplett und nutzt den im pihole. Nun wird jedes Gerät, das sich im Kids-Netz via DHCP eine IP besorgt auch den PI als DNS bekommen und somit durch pihole gefiltert werden.

Die Frage ist nun: Wie sicher soll das sein? Oder besser gefragt: Wieviel "kriminelle" Energie und Abenteuerlust haben die Kids? Es ist nämlich ein Leichtes, den DNS einfach manuell auf zB 8.8.8.8 zu ändern und somit die Filterung durch pihole vollständig zu umgehen.

Möchte man das verhindern, wird ein erweiterter Router benötigt, der zB wie oben erwähnt mit zB Sophos läuft oder aber auch einer freien Router-Firmware wie zB OpenWRT, o.ä. Hintergrund ist der, dass man in einem fortgeschrittenen Router Regeln definieren kann, die DNS-Requests an andere DNS-Server blockieren bzw. zwangsweise an den pihole umleiten. Das nennt sich DNS redirection. Bei einem 08/15 Router mit Standard-Firmware geht das aber in der Regel nicht, weil die Einstellungen schlichtweg fehlen.

Was gefilterte DNS im www angeht: Klar, kann man auch machen. OpenDNS bietet soweit ich weiß verschiedene Ausbaustufen von gefilterten DNS an, auch als Kindersicherung. Allerdings bleibt obiges Problem bestehen. Sobald die Kids auf den Trichter kommen und den DNS aktiv am PC/Laptop/Tablet/Smartphone umbiegen, sind die Filterlisten von OpenDNS, o.ä. unwirksam. Auch hier braucht man dann also die Möglichkeit, den DNS zu forcieren.

 

[Mc_Murphy]

Hey Raijin

Danke für die gute Erklärung. Die Sicherheitsfrage ist nicht von Bedeutung, da die Kids im Schnitt vielleicht 10 Jahre sind. Das Hauptproblem ist gewesen das die Kids sehr gerne flashbasierte Spieleseiten besucht haben,
welches so ziemlich alle alten PCs völlig verpestet hat. Die Lösung mit der DNS redirection werde ich auch mal mit einbringen, welches sicherlich für den Jugendtreff interessant sein dürfte.

 

[Raijin]

Wie gesagt, DNS redirection funktioniert nur mit fortgeschrittenen Routern. Simpel ausgedrückt leitet man dann am Router alles was ausgehend auf Port 53 (=DNS) ins www soll wieder zurück auf die IP des pihole. Allerdings muss man natürlich den DNS-Uplink vom pihole selbst als Ausnahme definieren.
Im Prinzip ist das nicht weiter kompliziert, aber in 08/15 Routern fehlt die Möglichkeit, solche Regeln zu definieren. Um das Portemonnaie zu schonen, bietet sich da zB ein kleiner WLAN-Router mit OpenWRT oder einer vergleichbaren freien Router-Firmware an.