Das jüngste Mitglied (10) unserer Patchwork Familie hat ja seinen eigenen PC und neuerdings auch eine WLan Karte. Damit wir oder einer der Geschwister nicht immer daneben stehen müssen, wenn der Kleine seine Computer-Stunde wahrnimmt, habe ich seit längerem eine Möglichkeit gesucht das Internet auf diesem PC zu beschränken, so dass der ganze Müll den es im Internet so gibt nicht erreichbar ist. Da ich aber auch kein teures Zusatzprogramm installieren wollte, entschloss ich mich am Kern dieses seltsamen Dings Namens “Internet” anzusetzen: Am DNS Server.
Falls Internetausdrucker diesen Artikel lesen, hier nochmal eine ganz kurze Erklärung was DNS ist:
DNS ist die Abkürzung für “Domain Name System” und ein zentraler Dienst in unserer Internet Infrastruktur, denn die DNS Server wandeln Domainnamen in IP-Adressen um. Aus “www.das-motorrad-blog.de” macht der DNS Server die IP-Adresse “213.239.209.166″. Da die Netzwerkkommunikation im Internet nur auf Basis von IP Adressen möglich ist, könnten wir ohne DNS Server keine Domains benutzen. Mehr Infos dazu gibt es auch bei Wikipedia.
Um bestimmte Domains zu blocken ist ein DNS Server also hervorragend geeignet, denn wenn sich der Name einer Domain nicht in eine IP-Adresse umsetzen lässt, dann kann auch keine Kommunikation stattfinden. Für Heimnetze, die sich absichern wollen eine super Sache, aber sobald Regierungen oder Organisationen in das Domain Name System eingreifen wollen verdammt gefährlich – ich erinnere da nur an die Zensursula Debatte in diesem Jahr. Wenn ich in meinem Heimnetz einen DNS verwende, mit dem ich meine Kinder vor pr0n, gambling, Gewalt und anderem Müll bewahren kann, dann ist das okay, weil ich für die Personen entscheide, gegenüber denen ich eine direkte Verantwortung trage. Im großen Stil darf allerdings niemals in das DNS Verfahren eingegriffen werden. Außerdem sind die Sperren für einen erfahrenen User leicht zu umgehen, wobei es im Heimnetz mitunter schwieriger sein kann, da es sich ja um ein sehr kleines und geschlossenes Netz handelt.
OpenDNS ist dafür ein toller Service, weil die Sperrlisten sehr gut gepflegt sind (Community) und zudem auch noch geloggt wird, welche Seiten angesurft werden. So ist gut nachvollziehbar, ob was am Filter nicht passt, allerdings ist bei mir noch kein Problem aufgetreten, OpenDNS funktioniert sehr gut, wenn noch ein paar manuelle Filter hinzugefügt werden (z.B. YouTube.com). Durch die Protokollierung ist auch eine nachträgliche Kontrolle möglich, welche Seiten angesurft wurden.
Und hier ein kleiner Überblick was zu tun ist, um einen bzw. alle Rechner im Heimnetz mit OpenDNS zu schützen:
- OpenDNS Account anlegen
- Eigene IP hinzufügen und auf dynamisch setzen
- DNSOMATIC Account anlegen
- DNSOMATIC für OpenDNS Aktualisierung einrichten
- DNSOMATIC im Router konfigurieren
- DNS von OpenDNS im Router konfigurieren
- Filtereinstellungen im OpenDNS Account festlegen
Erstmal braucht es natürlich einen OpenDNS Account, der kostenlos eingerichtet werden kann. Nachdem das geschehen ist, muss nach dem Anmelden unter “Settings” ein Netzwerk hinzugefügt werden. Glücklicherweise ist das Formular bereits mit den richtigen Daten vorausgefüllt und es muss nur noch der Button “Add this network” angeklickt werden. Danach öffnet sich ein kleiner Dialog, in dem diesem Netz ein Name zugewiesen werden kann. Zudem sollte die Option aktiviert werden, dass es sich um eine dynamische IP handelt (zu 99% der Fall). Danach wird eine Bestätigungs-Email versendet, aus der ein Link aufgerufen werden muss. Nach der erfolgreichen Bestätigung ist das Netzwerk in OpenDNS eingerichtet.
Nun eine kurze Erklärung zur Funktionsweise von OpenDNS: Wird von einem PC aus eine DNS Anfrage zum Auflösen einer Domain gestellt, dann kommt diese Anfrage von einer bestimmten IP Adresse. Im OpenDNS Backend haben wir unsere eigene IP Adresse hinterlegt und mit bestimmten Filtern konfiguriert. Kommt nun beim OpenDNS Server eine Anfrage von unserer IP an, kann der Server diese IP unseren Einstellungen zuordnen und die Anfrage gemäß Filtereinstellungen beantworten.
Nun gibt es aber ein Problem bei dieser Lösung: Die IP Adressen, die wir von unserem Internet Service Provider zugewiesen bekommen sind in der Regel dynamisch, sie ändern sich bei jedem neuen DSL-Verbindungsaufbau, wenn eine Dauerverbindung zum Internet besteht (Flatrate) spätestens nach 24 Stunden, weil dann vom Provider eine Zwangstrennung durchgeführt wird. Das stellt uns vor ein konkretes Problem: Wie teile ich OpenDNS automatisch meine aktuelle IP Adresse mit, damit er meinen DNS Anfragen auch meine Filtereinstellungen zuordnen kann? Die Lösung: DNSOMATIC und ein halbwegs brauchbarer Router.
DNSOMATIC ist ein Dienst von OpenDNS, der eine Lösung für genau dieses Problem bereitstellt und zudem nicht nur OpenDNS, sondern auch bekannte Home-IP Dienstleister wie DynDNS, No-IP, oder DynIP – um nur mal die Bekanntesten zu nennen – bedient. Dazu ist nur ein Account bei DNSOMATIC nötig, der schnell und unkompliziert eingerichtet ist. Nachdem der Account aktiv ist, kann über den Button “Add service” ein neuer Service bei dem die dynamische IP hinterlegt werden soll hinzugefügt werden. Dazu wählen wir in der Auswahl-Box logischerweise “OpenDNS” und tragen alle geforderten Daten ein.
Nun geht es an die Konfiguration des heimischen Routers. Dazu muss die Konfigurationsoberfläche des Routers geöffnet werden. Bei meiner bereits mehrere Jahre alten Fritzbox mache ich das, indem ich in der URL-Zeile des Browsers die IP des Routers eintippe (meist 192.168.0.1 oder 192.168.178.1). Nach Eingabe des Passwort klicke ich mich durch die Konfigurationsmöglichkeiten, bis auf den Punkt “Dynamisches DNS” stoße. Dort kann ich dann verschiedene Anbieter auswählen, bei modernen Routern wird DNSOMATIC oder OpenDNS meist gleich mit angeboten. Bei meiner alten Fritzbox ist keiner von Beiden dabei, aber ich kann “Benutzerdefiniert” wählen, wo ich die URL “updates.dnsomatic.com/nic/update?myip=<ipaddr>” eintrage und die Zugangsdaten hinterlege. Funktioniert also selbst mit älteren Routern, sofern diese eine Option für DynDNS Updates anbieten. Kann der Router das nicht, sollte wie bereits erwähnt ein kleines Programm in den Autostart des Rechners gelegt werden.
Optimal ist es, den Router so zu konfigurieren, dass kein anderer DNS als der OpenDNS Server verwendet werden kann. Dazu werden im Router unter Primary und Secondary DNS Server die IP Adressen “208.67.222.222″ und “208.67.220.220″ eingetragen. Das sind die offiziellen OpenDNS Server. Kann der Router den DNS Server nicht festschreiben (bei meiner alten Fritzbox ist das leider so), dann muss der DNS Server bei den Netzwerkkarten/WLan-Adaptern der PCs eingetragen werden. Dazu müssen die Netzwerkgeräter allerdings von Hand konfiguriert werden (IP Adresse, Gateway und DNS einstellen), weil DHCP nicht mehr möglich ist. Das ist allerdings nicht optimal, weil schlaue Kinder schnell rauskriegen, wie man den DNS wieder ändert, zumindest, wenn die Suchmaschinen nicht gesperrt sind. Deswegen ist die Investition in einen geeigneten Router lohnenswert. Wer es ganz sicher haben will, sperrt auch noch die Ports 53/tcp und 53/udp ins Internet, das sind nämlich die Ports über die DNS Anfragen laufen. So kann der DNS des Routers (also OpenDNS) nicht mehr umgangen werden. Der Router selbst muss natürlich über diese Ports kommunizieren können, nur die anderen Teilnehmer des Netzes nicht.
OpenDNS kennt nun unsere IP Adresse, bekommt die Änderungen der Adresse mit und unserer Router bzw. unsere Netzwerkgeräte verwenden den OpenDNS Server? Dann können wir nun in OpenDNS unsere Filtereinstellungen vornehmen. Dazu werden die Account-Settings aufgerufen, auf die IP Adresse geklickt, worauf der Konfigurationsdialog erscheint. Ich habe bei “Content Filtering” die Stufe “High” ausgewählt, wodurch alles ausgefiltert wird, was definitiv nichts für Kinder ist. Zudem habe ich weiter unten noch einige weitere verbotene Domains hinzugefügt, sowie noch drei Seiten, die nicht gesperrt werden sollen. Ich durfte mir zwar einiges an Gequengel anhören, als ich YouTube gesperrt habe, aber ohne Aufsicht ist das halt nichts, der Kleine kann ja fragen und dann können wir zusammen schauen, was die Stimmung dann wieder ein wenig beruhigte.
So funktioniert das also mit dem OpenDNS, nicht ganz unkompliziert, aber wer strukturiert vorgeht und auch mal einen Blick in die Knowledge-Base von OpenDNS bzw. die Anleitung seines Routers wirft, der wird das schon hinbekommen. Viel Glück!
Bei Fragen: Comments are open.
[...] Wie das funktioniert, und wie sowas eingerichtet wird findet sich hier: Internet Kindersicherung mit OpenDNS [...]
[...] Dieser Eintrag wurde auf Twitter von oldkid, motorradblogger erwähnt. motorradblogger sagte: #Kindersicherung #Internet mit #opendns — http://tinyurl.com/ykohc3t #anleitung [...]
[...] ich einen einigermaßen sicheren Filter für durchaus sinnvoll. Wie mache ich das? Nun: Mit dieser Anleitung lässt sich hervorragend in einem Hausnetzwerk ein Internetfilter einrichten, der auch bei [...]
Hallo,
ich möchte dies auch gerne machen.
Ich habe eine Fritzbox Fon Wlan 7050. Dahinter habe ich noch einen D-Link Router hängen, da ich in der Fritzbox die DNS Adressen von OpenDNS nicht eingeben konnte.
Bei OpenDNS und DNSOMATIC habe ich mich angemeldet. Wenn ich meine IP manuell aktualisiere funktioniert alles, auch mit dem Programm OpenDNSUpdater aber nicht mit der Fritzbox.
Ich habe folgende Einstellung:
Dynamic DNS-Anbieter : Benutzerdefiniert
Update-URL
Domainname
Benutzername
Kennwort
Kennwortbestätigung
Hallo,
ich möchte dies auch gerne machen.
Ich habe eine Fritzbox Fon Wlan 7050. Dahinter habe ich noch einen D-Link Router hängen, da ich in der Fritzbox die DNS Adressen von OpenDNS nicht eingeben konnte.
Bei OpenDNS und DNSOMATIC habe ich mich angemeldet. Wenn ich meine IP manuell aktualisiere funktioniert alles, auch mit dem Programm OpenDNSUpdater aber nicht mit der Fritzbox.
Ich habe folgende Einstellung:
Dynamic DNS-Anbieter : Benutzerdefiniert
Update-URL : updates.dnsomatic.com/nic/update?myip=
Domainname —> was kommt hier rein?
Benutzername —> Benutzername von DNSomatic oder openddns?
Kennwort —> Kennwort von DNSomatic oder opendns?
Kennwortbestätigung
Vielen Dank für die Hilfe
Hi Peter!
Domainname —> was kommt hier rein?
Benutzername —> Benutzername von DNSomatic oder openddns?
Kennwort —> Kennwort von DNSomatic oder opendns?
Domainname -> leer lassen
Benutzername -> DNSomatic Benutzername
Kennwort -> DNSomatic Kennwort
Dann sollte es klappen!
Gruß,
Marc
Danke für die Hilfe.
Jetzt kommt folgende Meldung in der Fritzbox:
Dynamic DNS-Fehler: Die Dynamic DNS-Aktualisierung war erfolgreich, anschließend trat jedoch ein Fehler bei der DNS-Auflösung auf.
Was muss ich jetzt machen?
Vielen Dank!
Peter Schmidt
Noch eine Ergänzung!
Auf DNSOMATIC erscheint die richtige IP
Und auch auf OpenDNS, aber die alte ist immer noch aktiv, die neue steht darunter in grau!
….
Jetzt habe ich nochmals reingeschaut und jetzt ist die neue aktiv.
Das dauert anscheinend einige Minuten.
Mal sehen, ob es dauerhaft klappt.
Nochmals vielen Dank!
Peter Schmidt
Hallo Marc,
nochmals vielen Dank.
Jetzt funktioniert es.
Jetzt brauche ich nicht mehr morgens vor der Arbeit den PC hochfahren und die IP aktualisieren. Auch wenn ich auf mehrtägigen Dienstreisen bin sind nicht mehr alle WEB-Tore offen.
Jetzt bräuchte ich noch eine Möglichkeit um die teilweise ordinären Vorschaubilder bei Google Bilder auch noch auszublenden. Vielleicht haben Sie da auch noch eine Lösung. Aber es ist ja schon gut wenn es dann nicht mehr weitergeht wenn man draufclickt.
Ich wünsche Ihnen und Ihrer Familie ein gesegnetes Weihnachtsfest.
Peter Schmidt
Hallo Peter,
das ist leider mittels einer DNS Sperre nicht zu machen, weil dafür die gesamte Google.de Domain in OpenDNS gesperrt werden müsste. Das könnte nur ein aktiver Proxy mit Filter.
Gruß,
Marc