ad-block via de DNS server

[Briolet]

Als je een dns server op de nas gebruikt, zet je natuurlijk nooit je nas uit. Idem met een dhcp, radius of andere essentiële netwerk server.

[Stephan296]

Snap ik maar gezien die punten die hij noemde ;-)
Ik moest mijn Nas wel uitschakelen ivm kapotte HDD om die eruit te halen ;-)

[Briolet]

Als je een externe DNS server als 2e server opneemt in je router, heb je wel een backup bij uitvallende nas. Als de nas dan niet bereikt wordt, pakken je cliënten de 2e dns server.

In principe moet alles via de 1e dns server lopen, zolang die beschikbaar is.

[Stephan296]

Dus als voorbeeld dns 1 ipadres van de nas en dns 2 bv die van google?

[Pippin]

De bovenstaande tutorial heb ik gevolgd.
Vervolgens in de router als DNS 1 het IP van de NAS en als DNS 2 208.67.220.220
Dat werkt en als ik met de VPN op de NAS verbonden ben ook maar dat moet ik nog verder testen.

[SynoIta (dMajo)]

Point 4 is a good one. Unfortunately, most routers won't support this. My airport doesn't allow any custom blockage at all and in the router from my ISP I can only block ports from all IP adresses".

Yes, it depends on router's features

Point 2 makes no sense in combination with point 4. I have only added the nas in the dhcp list, with the effect I have no internet access when the nas is down.

Sorry to disagree. In many cases like serving websites or running a mailserver on the nas you want that your clients resolve the domain names (eg mail.yourdomain.com) with local IP when under wifi and public IP when on 3G/4G/LTE. Many routers do not support properly the wan loopback (connecting to the nas fron the local lan using the router's wan public ip). So you run a local dsn server. Now all your clients need to receive through DHCP the nas as their 1st dns server. But if the nas is down, beside its stopped services, also the internet access is severely compromised. To avoid this you should distribute a second dns server as backup. The second dsn server can by the router itself (most of the soho routers) because it is commonly acting as a dns proxy. That means that any query made to the router will be forwarded to the ISP dns servers (or the ones defined in the wan config if you are using a static wan ip address).
Now if the nas is down (switched off, dns service stopped is usually not enough) having the router (or other source) as second dns server allows you to browse the internet (with adds in this case) regardless of the damage on the nas.

I also checked what happens when you backup the DNS Server package with Backup&Replica: All the custom changes are backed up. Backup&Replica is not backupping known files, but the whole folder, including custom changes.

Yes that's true. The next release (as package) will have the script in other location but the dns zones data still in the dns folder. Now the script can be loosen if the dns package is removed/reinstalled or upgraded (for the latest depends on the preupdate and post update scripts of the dns package).


PS: Anyone here that can help test spk.synologyitalia.com with a syno router and/or provide (via PM) the POST request made from the router to the repository. With this request the nas/router provides its useragent, serialnumber, architecture and firmware version and build to the repo and receive back the list of available packages (basically a json of all the info files of the packages that suits the received information).

[Pippin]

@SynoIta
Do you know if DNSSEC can be made to work?
I find /volume1/@appstore/DNSServer/bin/dnssec-keygen

If i go to DNSSEC testing sites they report it`s not working.
DNSSEC and/or dnscrypt package together would be nice

[SynoIta (dMajo)]

MOD: Onnodige citaat is verwijderd, lees even.

This command is used for the key generation. You can use the generated keys also for server authentication during zone transfers to prevent ip spoofing. I use its key for dinamic updates from dhcp to dns servers.
For dnssec you need also the dnssec-signzone command to effectively sign every record of the zone which creates a new zone file containing all the record signatures.

So I will say that dnssec isn't supported but it is also not needed on local servers. If your aim is to use the nas as a trusted dns server for a public domain and you want to implement dnssec than I think you should build the missing command for the nas' linux/kernel distribution and add it to the package folder. Than I will say that can be done by hand editing the dns configuration. At the end synology uses bind9 as dns server so you can find many guides on how to do it.

[Briolet]

5. Through the views (in the nas dns server) you can control to what (outside) dns servers the local dns server will forward the dns queries based on local client ip

Thanks for mention this. I now tested this and got it working.

Mijn zus wil op haar smartphone een spelletje spelen dat door het blokkeren van de advertenties niet meer werkt. Ik heb nu een "weergave" gemaakt waarbij ik een uitzondering voor haar telefoon maak. Op mijn netwerk kreeg die telefoon toch al een eigen IP (10.1.0.52). IK heb nu een weergave gemaakt voor dat IP waarbij alle zones aan staan, behalve de zone die blokkeert.

Ik heb nog wat andere testzones gemaakt (10.0.1.20) en als laatste een weergave die alle zones toelaat op alle IP's. De weergaves worden op volgorde getest, totdat er een hit is. Die weergave wordt dan gebruikt.

Op de iMac met IP 10.0.1.20 krijg ik nu wel alle reclame en op mijn andere iMac's niet. (Een tijdelijke test instelling). Dit is dus een oplossing voor het geval je uitzonderingen wilt maken op het algehele blokkeren. 

[SynoIta (dMajo)]

Beside forwarders you can also control recursion and dns resolution.
You can make two (or more) zones for the same domain (the second will have (2) added to the name but it is irrilevant) and with the view you can control what ip will lookup on zone1 and what will use zone2.
This can be used if you use the server eg as trusted ns for public domain: with 1st zone you resolve to public ip, with the 2nd you resolve to local ip based on the client ip
Or you can use ed two local zones, one with full recordset and the other with minimal for guests
...

[Stephan296]

Het verder instellen van dns met zones enzo moet ik me echt nog eens in verdiepen.
Maar wel mooi dat het werkt!

[SynoIta (dMajo)]

Mijn zus wil op haar smartphone een spelletje spelen dat door het blokkeren van de advertenties niet meer werkt. Ik heb nu een "weergave" gemaakt waarbij ik een uitzondering voor haar telefoon maak.

To enable/disable the add-blocking for a given (group of) ip it is enough that you check (or not) the null.zone.file in its view.

[Babylonia]

Inmiddels heb ik ook de  Pi-hole  geïnstalleerd op de  RT1900ac router.
DNS-server geïnstalleerd ( hetzelfde pakket - 16-series ),  als voor de NAS wordt gebruikt.
Buiten die Pi-hole (nog) geen andere functies ingesteld. Als ik de Help-files daarover lees, gaat me dat vooralsnog boven mijn pet.

Installatie volgens de beschrijving op  synologytweaks.wordpress.com
Aanvankelijk wat problemen om in de root van de RT1900ac te komen, maar met een nieuwe download van < WinSCP > is me dat toch gelukt.
(Eerst in de router toegang geven tot SSH poort 22 en de uitgeschakelde admin gebruiker inschakelen,
dan met WinSCP onder SFTP  inloggen met gebruikersnaam  "root" en het wachtwoord behorend bij "admin").

Nadat ik het betreffende bestandje in de betreffende directory heb gezet, en met "eigenschappen" het bestandje "executable" gemaakt,
heb ik daarna met  PuTTY  (vanuit WinSCP opgestart), het betreffende   ad-blocker.sh   bestand uitgevoerd.
Wat aanvullende instellingen:



- Doorstuurserver 1 is het IP-adres van mijn router
- Doorstuurserver 2 is IP-adres van Open DNS




Verder heb ik niets ingesteld. Om verzekerd te zijn van een juiste werking heb ik de RT1900ac en PC herstart.
Maar ik kom tot een vreemde niet goede werkende oplossing 

Ik heb met name naar YouTube filmpjes gekeken. Advertenties worden inderdaad netjes geblokt.
Kom nog wel wat tekst overlays tegen die je met een kruisje kunt weg klikken, maar die haalde Adblocker eerder ook niet weg.
Maar echte banners en advertentiefilmpjes die normaal zonder een ad-blocker voorafgaan, kom ik niet tegen.

Echter:
Met de AdBlocker plugin uitgeschakeld, en alleen op Pi-hole draaiend, gaat er bij opstarten van YouTube filmpjes een te lange pauze vooraf. Advertenties worden wel geblokt, maar filmpjes starten niet direct op. Het duurt 15-20 seconden voordat een filmpje opstart.
(De tijd dat een advertentie duurt ??).   Met de AdBlocker plugin ingeschakeld start een filmpje direct op, zonder enige onderbreking. Dus het lijkt erop dat Pi-hole iets niet correct afwerkt. Mogelijk aan een aantal verkeerde instellingen?

Heb nog wel in de help-files gekeken naar verdere info m.b.t. DNS-server.
Daar kwam ik een melding tegen dat poort 53 open gezet / geforward zou moeten worden.



De erop volgende tekst onder Help lezende heeft het mogelijk betrekking op domeinnamen die jezelf hebt aangemaakt en zou moeten aanmelden.

@SynoIta   schreef eerder in < deze reactie >  onder punt 4, dat je er goed aan doet juist die poort te blokkeren.
Dat is daarmee in discrepantie.

In ieder geval poort 53 geforward (in de 1e router naar de 2e router toe) en in de Firewall de services voor poort 53 open maakt voor die pauze niets uit. Uitgeschakeld ook niet.

Hebben anderen daar nog informatie over hoe daarmee om te gaan?


Verder nog aanvullingen op enkele eerdere reacties.

@SynoIta   schreef eerder in < deze reactie >  onder punt 4, dat je er goed aan doet juist die poort te blokkeren.


Verder nog aanvullingen op enkele eerdere reacties.

Op nu.nl kreeg ik sinds een paar week de melding dat ze de adblokker niet waarderen. Nu blijft die melding weg, net als de advertenties. 
Tweakers werkt anders. Die ziet de blokkade ook met uitgeschakelde blokkers op mijn laptop.

http://nl.hardware.info    blijft ook nog een melding geven van software die de advertenties blokkeert.

Op telegraaf.nl en f1today.nl nog wel wat advertenties.

Misschien zat dat nog in je cache van je browser, toen je het nog niet had geïnstalleerd ??
Ik heb ze ook geprobeerd, maar geen advertenties gezien.

[Babylonia]

Vervolg:

Met een ander Firefox profiel, die mogelijk wat "schoner" is met add-ons opnieuw geprobeerd.
Krijg onregelmatig van tijd tot tijd de volgende melding:

Kan geen verbinding maken

Firefox kan geen verbinding maken met de server op googleads.g.doubleclick.net.
Misschien is de website tijdelijk niet beschikbaar of overbelast. Probeer het over enkele ogenblikken opnieuw.
Als u geen enkele pagina kunt laden,......

Dit duidt er in ieder geval op, dat de blocker wel actief is.
Maar dat het lekker loopt kan ik toch niet zeggen.
Met "vlug" klikken van de ene film naar de andere, krijg ik zo nu en dan toch gewoon een "Simms" advertentiefilmpje, dan reageert de Pi-hole blocker te laat.

Heb de basis DNS-server van de router (dus niet de DNS-server) gewisseld van   208 .67.220.220   als mogelijke discrepantie met de eigen IP-instelling met het eerste DNS-server adres bij het DNS-server packet uitgewisseld met zijn eigen IP  192.168.10.1
Maar dat brengt ook geen verbetering.




Vooralsnog werkt bij mij althans de plugin < Addblock Plus > aanzienlijk beter.
Geen haperingen, geen pauzes voorafgaand aan een filmpje.

[Briolet]

Poort 53 is absoluut niet nodig voor de meeste mensen.  Poort 53 moet alleen openstaan als je wilt dat je DNS server ook vanaf het internet beschikbaar is. b.v. als je bij je domeinnaam hoster alles doorstuurt naar je eigen dns server, zodat je alles met betrekking tot je eigen subdomeinen thuis kunt instellen in plaats van bij je domeinnaam hoster.

Dat een browser plugin sommige dingen beter kan dan een blokkade bij de dns server is logisch. De server kan alleen iets generiek blokkeren. Een JavaScript in de browser kan nog andere dingen doen en eventueel uitzonderingen maken voor specifieke sites.