Hardcoded DNS Server in Smart TV und Spielekonsolen!

Durch einen hardcoded DNS Server wird in der ausgelieferten Hardware festgelegt, wo das Gerät nachzuschlagen hat wenn es um die Auflösung von Domain Namen geht. Im alltäglichen Leben wird dieser Umstand kaum auffallen - doch wer einen pi-Hole im Netzwerk betreibt stellt fest: Auf einigen Geräten wird trotzdem Werbung dargestellt. 70% der Smart TVs und 46% der Spielkonsolen besitzen hardcoded DNS Server im Quellcode.

Geräte mit einem hardcoded DNS Server ignorieren Router Einstellungen

Dass der pi-Hole sich einer immer größeren Nutzerbasis erfreut findet zum Leid aller Werbetreibenden statt. Bereits die ersten AdBlocker für den Browser haben für viel Kritik gesorgt. Der pi-Hole im Netzwerk verhindert jedoch die Werbung auf allen Geräten. Nun haben Hersteller von Hardware damit angefangen die DNS-Server fest in den Quellcode reinzuschreiben. So funktioniert der Werbeblocker vom pi-Hole nämlich: DNS Anfragen von Domains die auf der Blacklist stehen werden nicht aufgelöst. Dafür müssen die Anfragen aber auch über den pi-Hole laufen. Mit den hardcoded DNS Servern wollen Hersteller das umgehen.

Hardcoded DNS Server umgehen und DNS Server im Router erzwingen

Wer einen pi-Hole im eigenen Netzwerk betreibt, der wird sich bereits intensiv mit dem Thema auseinandergesetzt haben. Deshalb geben wir an der Stelle Tipps mit, mit denen sich die festgeschriebenen DNS Adressen auf die des Routers bzw. pi-Hole umbiegen lassen. Die folgenden Beispiele werden anhand von pfSense dargestellt. Ähnliche Befehle/Anweisungen gibt es aber auch bei anderen Routern. Wir loggen uns für die Einstellungen in das Admin Interface ein:

NAT Regeln 1: DNS Anfragen zum pi-Hole umleiten

Um Einstellungen anzulegen müssen wir auf den “hinzufügen/add” Button klicken.

• Interface: LAN
• Protocol: TCP/UDP
• Source: LAN (Die Einstellung findet sich evtl. erst bei der erweiterten Button Ansicht)
• Destination - Invert match: Check
• Destination - Type: Single host or alias
• Destination - Address/mask: Die IP-Adresse vom pi-Hole
• Destination Port Rage - From: DNS
• Destination Port Range - To: DNS
• Redirect Target IP: Die IP-Adresse vom pi-Hole
• Redirect Target Port: DNS
• Description: Jede ausgehende DNS Anfrage unterbrechen und zum pi-Hole umleiten

NAT Regel 2: pi-Hole DNS Anfragen zur Ausnahme hinzufügen

Nun müssen wir aber noch dem pi-Hole erlauben DNS Anfragen aufzulösen. Dafür platzieren wir die zweite Regel:

• No RDR (NOT): Check
• Interface: LAN
• Protocol: TCP/UDP
• Source - Type: Single host or alias
• Source - Address/Mask: Die IP-Adresse vom pi-Hole
• Destination: Any
• Destination Port Range - From: DNS
• Destination Port Range - To: DNS
• Description: Dem Pi-Hole gestatten externe DNS Server zu erreichen

An der Stelle noch der Hinweis, dass die meisten Firewalls regeln von oben nach unten abarbeiten. Falls also keine Domains mehr aufgelöst werden, kann es an der Reihenfolge der Regeln liegen. Die Anweisung, die dem pi-Hole den Kontakt zu externen DNS-Anbietern erlaubt, muss also vor die erste Regel.

NAT Regel 3: Clients daran hindern unbekannte Quellen Fehler zu generieren

Nun müssen wir noch eine ausgehende NAT-Regel platzieren. Dazu navigieren wir zu Firewall > NAT > Outbound.

• Interface: LAN
• Address Family: IPv4 + IPv6
• Protocol: Any
• Source - Type: Network
• Source - Network for the outbound NAT Mapping: Dein internes Netzwerk
• Destination Type: Network
• Destination - Network for the outbound NAT Mappings: Die IP-Adresse vom Raspberry Pi
• Destination Port Range: 53
• Translation: Interface Adresse
• Description: Verhindert hardcoded DNS Clients vor dem schmeissen von Fehlern

Nun laufen alle DNS Anfragen über den pi-Hole. Dank dieser Anleitung auch die Geräte, in denen die DNS Server fest reingeschrieben sind. Wer einen Schritt zurückgehen mag, der kann einen Blick auf unsere Anleitung werfen, wie sich der pi-Hole mit der Fritzbox einrichten lässt.