URL blocking

[philipz]

Beste,

Ik heb een nieuw profiel aangemaakt om URL blocking uit te proberen.
Als voorbeeld heb ik instragram gebruikt en probeer ik dat domain te blokkeren.
In de log krijg ik een melding dat er een attempt was en dat deze geblokkeerd werd, maar ik kan de website perfect bereiken.

Iemand een idee?

Thanks!

RT2600AC
SRM 1.2.5-8227 Update 8

[Babylonia]

Dat hangt af "hoe" en met "welke" instellingen je gegevens aan een profiel hebt gekoppeld in het menu "Safe Access".

Heb het hier ook even geprobeerd  (met RT2600ac  -  SRM 1.2.5-8227 Update 8 ).
Het afstemmen van een blokkade bestaat uit enkele onderdelen.

• Een aan te maken web-filter, specifiek aangepast om URL's te blokkeren.
  Bij web-filteringen per categorie, kun je een extra URL blokkade eventueel ook aanvullen bij zo'n bestaand web-filter.
  
  
• Een gebruikersprofiel aanmaken, waar één of meer apparaten onder vallen van die gebruiker.
  Apparaten worden gekozen op basis van de indeling in het menu   Netwerkcenter   -   Verkeersbeheer.
  Dat is op basis van MAC-adres.
  
  Houd er rekening mee dat mobiele apparaten / smartphones vaak een roterend / veranderend MAC-adres hebben.
  De instellingen ervan (van het apparaat zelf) moeten in dat geval zodanig worden aangepast, dat dit NIET verandert.
  
  Of....
  Maak een profiel aan, niet voor een gebruiker, maar op basis van een enkel apparaat.
  (Dat heb ik in mijn situatie als test even toegepast).
  
  
• Die twee zaken moeten dan nog gekoppeld worden.  Ofwel aan het profiel het webfilter toewijzen.

Toevoegen / bewerken van een nieuw web-filter:




Aanmaken van een gebruikers- of apparaat profiel:




Koppelen van het web-filter met het profiel = actief maken ON en filter toewijzen:




Resultaat:

Krijg in eerste instantie een vreemde melding.
Alsof de website  www.instragram.com  niet veilig is.  (Geen geldig SSL / https certificaat).



Maak ik daarvoor echter een uitzondering om wel te kunnen benaderen (zonder certificaat):
Firefox --->  Knop "Geavanceerd" van de getoonde webpagina, en dan "Het risico aanvaarden en doorgaan".

Krijg ik de Synology web-filter pagina te zien.  Dus de blokkering werkt hier wel degelijk.




Probeer ik hetzelfde met een  RT6600ax  router en  SRM 1.3.1-9346 Update 5
Krijg ik een vergelijkbare  "géén geldig SSL / https certificaat veiligheidsmelding" zoals bij de eerste afbeelding,
maar kan ik geen uitzondering daarvoor aanmaken met Firefox. Ik kom op een andere melding terecht.



De verwijzing naar de Synology web-filter pagina (plaatje 5) is onderdeel van de eigen instellingen binnen de router,
en gekoppeld aan mijn eigen WAN - NL domein wat ik op mijn WAN internetverbinding heb ingeregeld.
Echter het web filter in die blokkade verwijst naar het domein "instagram.com".   Dat correspondeert niet met elkaar.

In hoeverre dit soort discrepanties m.b.t. weergaven van het eigen web-filter m.b.t. certificaten op mijn NL-domein,
ook zijn geldigheid heeft indien je bijv. een "wildcard" Let's Encrypt certificaat zou inzetten, is mij onbekend.
Dat zou door Synology beter opgelost moeten zijn.
In ieder geval werkt de blokkering van het  "instagram.com"  domein wel gewoon.  Dat lijkt me het belangrijkste.

[Briolet]

Babylonia:  De webblokkeringen door de router komen steeds rommelig over. Dat is ook mijn mening.

Synology zou een redirect moeten doen naar zijn blokkeringspagina.  In plaats daarvan breekt hij in op de verbinding en toont  zijn blokkeringpagina. Wil tonen is hier het betere woord. Vrijwel alle browsers herkennen nu een certificaat mismatch en blokkeren ook de blokkeringspagina van de router. De duidelijk 'foutmelding' van de router wordt daardoor ook onderdrukt. En pas na een aantal kunstgrepen wordt de synology pagina zichtbaar.

Persoonlijk vind ik dit een foute (verwarrende) methode van synology hoewel het blokkeren natuurlijk wel gebeurd.

[Babylonia]

Ben ik het roerend mee eens, dat het een foute (verwarrende) methode is die Synology hanteert.
(Overigens beslist noodzakelijke aanpassingen / verbeteringen van het SRM router OS,  met name voor SRM 1.3.X   blijven veel te lang uit).

En Synology weet het zelf ook, dat dit een issue is wat niet klopt, want ze schrijven er zelf over in hun knowledgebase:
https://kb.synology.com/nl-nl/SRM/tutorial/Why_do_users_see_your_connection_is_not_private_instead_of_the_customized_block_page

Maar kennelijk vinden ze dat niet serieus genoeg om daar een goede en nette oplossing voor te bedenken.

Een redirect naar de eigen "Oeps" web-filter pagina, wat nu ook al gebeurt.
Maar met gebruik van het DDNS of eigen gebruikt domein certificaat van de WAN internetverbinding zelf, met "dynamisch" / interactief
d.m.v. wat eenvoudige php of html-code, de overname / benoeming van het geblokkeerde domein wat gefilterd wordt
in die "Oeps" web-filter pagina.  Implementatie ervan, lijkt me dat zoiets niet zo moeilijk hoeft te zijn voor een klein beetje programmeur.

[mauralobster]

Ik had ook eerder een soortgelijk probleem, ik probeerde deze methode op de URL's van andere websites en ze blokkeerden perfect. Maar als ik dit met Instagram doe, krijg ik ook dezelfde foutmelding als jij.

[safiradara]

Het lijkt erop dat je een vergelijkbaar probleem hebt ervaren met het blokkeren van URL's, waarbij deze methode succesvol was bij andere websites, maar niet op je smartphone. Het ontvangen van dezelfde foutmelding als ik, wijst erop dat er mogelijk beveiligingsmaatregelen zijn getroffen die deze specifieke toegang beperken.

Het is belangrijk om te begrijpen dat smartphones vaak extra beveiligingslagen hebben, vooral bij het omgaan met internetactiviteiten. Dit kan omvatten dat bepaalde scripts, tools of methoden die op computers wel werken, worden beperkt of geblokkeerd op smartphones om de veiligheid van de gebruiker te waarborgen.

Als je specifieke acties met URL's op je smartphone moet uitvoeren, kan het nuttig zijn om te controleren of er instellingen zijn die deze activiteiten kunnen beïnvloeden. Soms kunnen browserinstellingen, privacy-instellingen of beveiligings-apps bepaalde activiteiten blokkeren. Je kunt overwegen om deze instellingen te controleren en aan te passen om te zien of het probleem persisteert.

Het is ook mogelijk dat de website of service die je probeert te bereiken specifieke beperkingen heeft voor mobiele toegang. In dat geval is het de moeite waard om te controleren of er een officiële mobiele app beschikbaar is of om contact op te nemen met de klantenondersteuning van de betreffende service voor verdere assistentie.

[Babylonia]

Het is ook mogelijk dat de website of service die je probeert te bereiken specifieke beperkingen heeft voor mobiele toegang. In dat geval is het de moeite waard om te controleren of er een officiële mobiele app beschikbaar is of om contact op te nemen met de klantenondersteuning van de betreffende service voor verdere assistentie.

Dat heeft er allemaal niets mee te maken, en ook weinig zin om contact op te nemen met een "klantenondersteuning" van een service.
Het gaat in dit onderwerp specifiek om blokkeer instellingen in een Synology router die jezelf instelt.
Om bijv. je kinderen af te schermen voor "te lang" blijven hangen op bepaalde websites, zoals instagram, (of blokkeren van porno).
Ofwel instellingen m.b.t. "ouderlijk toezicht":   https://www.synology.com/nl-nl/srm/feature/device_content_control

[Briolet]

Het lijkt erop dat je een vergelijkbaar probleem hebt ervaren met het blokkeren van URL's, waarbij deze methode succesvol was bij andere websites, maar niet op je smartphone. Het ontvangen van dezelfde foutmelding als ik, wijst erop dat er mogelijk beveiligingsmaatregelen zijn getroffen die deze specifieke toegang beperken.

Heb je de vraag wel begrepen?

Het probleem is juist dat er niets geblokkeerd wordt terwijl dat wel zou moeten en ook in het log staat dat er geblokkeerd gaat worden.

----

Terug naar het probleem. De router blokkeert een site door de DNS aanvraag om te leiden naar een beveiligingspagina.  Als je browser DoH gebruikt (= DNS over HTTPS), dan zijn alle DNS opvragen versleuteld en kan de router niets blokkeren. Het kan dus zijn dat als de browser merkt dat er geblokkeerd wordt, hij een andere dns methode gebruikt. Maar dat zal dan voor alle websites gelden, dus dat zal hier niet aan de hand zijn.

Als je het echt wilt weten moet je het verkeer met Wireshark loggen en analyseren.

Door DoH te activeren in de browser (ik dacht dat Chrome en FIrefox dit al een paar jaar ondersteunen) moet je die hele blokkade door de router kunnen omzeilen.