Das jüngste Mitglied (10) unserer Patchwork Familie hat ja seinen eigenen PC und neuerdings auch eine WLan Karte. Damit wir oder einer der Geschwister nicht immer daneben stehen müssen, wenn der Kleine seine Computer-Stunde wahrnimmt, habe ich seit längerem eine Möglichkeit gesucht das Internet auf diesem PC zu beschränken, so dass der ganze Müll den es im Internet so gibt nicht erreichbar ist. Da ich aber auch kein teures Zusatzprogramm installieren wollte, entschloss ich mich am Kern dieses seltsamen Dings Namens “Internet” anzusetzen: Am DNS Server.
Falls Internetausdrucker diesen Artikel lesen, hier nochmal eine ganz kurze Erklärung was DNS ist:
DNS ist die Abkürzung für “Domain Name System” und ein zentraler Dienst in unserer Internet Infrastruktur, denn die DNS Server wandeln Domainnamen in IP-Adressen um. Aus “www.das-motorrad-blog.de” macht der DNS Server die IP-Adresse “213.239.209.166″. Da die Netzwerkkommunikation im Internet nur auf Basis von IP Adressen möglich ist, könnten wir ohne DNS Server keine Domains benutzen. Mehr Infos dazu gibt es auch bei Wikipedia.
Um bestimmte Domains zu blocken ist ein DNS Server also hervorragend geeignet, denn wenn sich der Name einer Domain nicht in eine IP-Adresse umsetzen lässt, dann kann auch keine Kommunikation stattfinden. Für Heimnetze, die sich absichern wollen eine super Sache, aber sobald Regierungen oder Organisationen in das Domain Name System eingreifen wollen verdammt gefährlich – ich erinnere da nur an die Zensursula Debatte in diesem Jahr. Wenn ich in meinem Heimnetz einen DNS verwende, mit dem ich meine Kinder vor pr0n, gambling, Gewalt und anderem Müll bewahren kann, dann ist das okay, weil ich für die Personen entscheide, gegenüber denen ich eine direkte Verantwortung trage. Im großen Stil darf allerdings niemals in das DNS Verfahren eingegriffen werden. Außerdem sind die Sperren für einen erfahrenen User leicht zu umgehen, wobei es im Heimnetz mitunter schwieriger sein kann, da es sich ja um ein sehr kleines und geschlossenes Netz handelt.
OpenDNS ist dafür ein toller Service, weil die Sperrlisten sehr gut gepflegt sind (Community) und zudem auch noch geloggt wird, welche Seiten angesurft werden. So ist gut nachvollziehbar, ob was am Filter nicht passt, allerdings ist bei mir noch kein Problem aufgetreten, OpenDNS funktioniert sehr gut, wenn noch ein paar manuelle Filter hinzugefügt werden (z.B. YouTube.com). Durch die Protokollierung ist auch eine nachträgliche Kontrolle möglich, welche Seiten angesurft wurden.
Und hier ein kleiner Überblick was zu tun ist, um einen bzw. alle Rechner im Heimnetz mit OpenDNS zu schützen:
- OpenDNS Account anlegen
- Eigene IP hinzufügen und auf dynamisch setzen
- DNSOMATIC Account anlegen
- DNSOMATIC für OpenDNS Aktualisierung einrichten
- DNSOMATIC im Router konfigurieren
- DNS von OpenDNS im Router konfigurieren
- Filtereinstellungen im OpenDNS Account festlegen
Erstmal braucht es natürlich einen OpenDNS Account, der kostenlos eingerichtet werden kann. Nachdem das geschehen ist, muss nach dem Anmelden unter “Settings” ein Netzwerk hinzugefügt werden. Glücklicherweise ist das Formular bereits mit den richtigen Daten vorausgefüllt und es muss nur noch der Button “Add this network” angeklickt werden. Danach öffnet sich ein kleiner Dialog, in dem diesem Netz ein Name zugewiesen werden kann. Zudem sollte die Option aktiviert werden, dass es sich um eine dynamische IP handelt (zu 99% der Fall). Danach wird eine Bestätigungs-Email versendet, aus der ein Link aufgerufen werden muss. Nach der erfolgreichen Bestätigung ist das Netzwerk in OpenDNS eingerichtet.
Nun eine kurze Erklärung zur Funktionsweise von OpenDNS: Wird von einem PC aus eine DNS Anfrage zum Auflösen einer Domain gestellt, dann kommt diese Anfrage von einer bestimmten IP Adresse. Im OpenDNS Backend haben wir unsere eigene IP Adresse hinterlegt und mit bestimmten Filtern konfiguriert. Kommt nun beim OpenDNS Server eine Anfrage von unserer IP an, kann der Server diese IP unseren Einstellungen zuordnen und die Anfrage gemäß Filtereinstellungen beantworten.
Nun gibt es aber ein Problem bei dieser Lösung: Die IP Adressen, die wir von unserem Internet Service Provider zugewiesen bekommen sind in der Regel dynamisch, sie ändern sich bei jedem neuen DSL-Verbindungsaufbau, wenn eine Dauerverbindung zum Internet besteht (Flatrate) spätestens nach 24 Stunden, weil dann vom Provider eine Zwangstrennung durchgeführt wird. Das stellt uns vor ein konkretes Problem: Wie teile ich OpenDNS automatisch meine aktuelle IP Adresse mit, damit er meinen DNS Anfragen auch meine Filtereinstellungen zuordnen kann? Die Lösung: DNSOMATIC und ein halbwegs brauchbarer Router.
DNSOMATIC ist ein Dienst von OpenDNS, der eine Lösung für genau dieses Problem bereitstellt und zudem nicht nur OpenDNS, sondern auch bekannte Home-IP Dienstleister wie DynDNS, No-IP, oder DynIP – um nur mal die Bekanntesten zu nennen – bedient. Dazu ist nur ein Account bei DNSOMATIC nötig, der schnell und unkompliziert eingerichtet ist. Nachdem der Account aktiv ist, kann über den Button “Add service” ein neuer Service bei dem die dynamische IP hinterlegt werden soll hinzugefügt werden. Dazu wählen wir in der Auswahl-Box logischerweise “OpenDNS” und tragen alle geforderten Daten ein.
Nun geht es an die Konfiguration des heimischen Routers. Dazu muss die Konfigurationsoberfläche des Routers geöffnet werden. Bei meiner bereits mehrere Jahre alten Fritzbox mache ich das, indem ich in der URL-Zeile des Browsers die IP des Routers eintippe (meist 192.168.0.1 oder 192.168.178.1). Nach Eingabe des Passwort klicke ich mich durch die Konfigurationsmöglichkeiten, bis auf den Punkt “Dynamisches DNS” stoße. Dort kann ich dann verschiedene Anbieter auswählen, bei modernen Routern wird DNSOMATIC oder OpenDNS meist gleich mit angeboten. Bei meiner alten Fritzbox ist keiner von Beiden dabei, aber ich kann “Benutzerdefiniert” wählen, wo ich die URL “updates.dnsomatic.com/nic/update?myip=<ipaddr>” eintrage und die Zugangsdaten hinterlege. Funktioniert also selbst mit älteren Routern, sofern diese eine Option für DynDNS Updates anbieten. Kann der Router das nicht, sollte wie bereits erwähnt ein kleines Programm in den Autostart des Rechners gelegt werden.
Optimal ist es, den Router so zu konfigurieren, dass kein anderer DNS als der OpenDNS Server verwendet werden kann. Dazu werden im Router unter Primary und Secondary DNS Server die IP Adressen “208.67.222.222″ und “208.67.220.220″ eingetragen. Das sind die offiziellen OpenDNS Server. Kann der Router den DNS Server nicht festschreiben (bei meiner alten Fritzbox ist das leider so), dann muss der DNS Server bei den Netzwerkkarten/WLan-Adaptern der PCs eingetragen werden. Dazu müssen die Netzwerkgeräter allerdings von Hand konfiguriert werden (IP Adresse, Gateway und DNS einstellen), weil DHCP nicht mehr möglich ist. Das ist allerdings nicht optimal, weil schlaue Kinder schnell rauskriegen, wie man den DNS wieder ändert, zumindest, wenn die Suchmaschinen nicht gesperrt sind. Deswegen ist die Investition in einen geeigneten Router lohnenswert. Wer es ganz sicher haben will, sperrt auch noch die Ports 53/tcp und 53/udp ins Internet, das sind nämlich die Ports über die DNS Anfragen laufen. So kann der DNS des Routers (also OpenDNS) nicht mehr umgangen werden. Der Router selbst muss natürlich über diese Ports kommunizieren können, nur die anderen Teilnehmer des Netzes nicht.
OpenDNS kennt nun unsere IP Adresse, bekommt die Änderungen der Adresse mit und unserer Router bzw. unsere Netzwerkgeräte verwenden den OpenDNS Server? Dann können wir nun in OpenDNS unsere Filtereinstellungen vornehmen. Dazu werden die Account-Settings aufgerufen, auf die IP Adresse geklickt, worauf der Konfigurationsdialog erscheint. Ich habe bei “Content Filtering” die Stufe “High” ausgewählt, wodurch alles ausgefiltert wird, was definitiv nichts für Kinder ist. Zudem habe ich weiter unten noch einige weitere verbotene Domains hinzugefügt, sowie noch drei Seiten, die nicht gesperrt werden sollen. Ich durfte mir zwar einiges an Gequengel anhören, als ich YouTube gesperrt habe, aber ohne Aufsicht ist das halt nichts, der Kleine kann ja fragen und dann können wir zusammen schauen, was die Stimmung dann wieder ein wenig beruhigte.
So funktioniert das also mit dem OpenDNS, nicht ganz unkompliziert, aber wer strukturiert vorgeht und auch mal einen Blick in die Knowledge-Base von OpenDNS bzw. die Anleitung seines Routers wirft, der wird das schon hinbekommen. Viel Glück!
Bei Fragen: Comments are open.
(5157x gelesen)
Verkürzter Link: http://wp.me/pGiiJ-7e
[...] Wie das funktioniert, und wie sowas eingerichtet wird findet sich hier: Internet Kindersicherung mit OpenDNS [...]
[...] Dieser Eintrag wurde auf Twitter von oldkid, motorradblogger erwähnt. motorradblogger sagte: #Kindersicherung #Internet mit #opendns — http://tinyurl.com/ykohc3t #anleitung [...]
[...] ich einen einigermaßen sicheren Filter für durchaus sinnvoll. Wie mache ich das? Nun: Mit dieser Anleitung lässt sich hervorragend in einem Hausnetzwerk ein Internetfilter einrichten, der auch bei [...]
Hallo,
ich möchte dies auch gerne machen.
Ich habe eine Fritzbox Fon Wlan 7050. Dahinter habe ich noch einen D-Link Router hängen, da ich in der Fritzbox die DNS Adressen von OpenDNS nicht eingeben konnte.
Bei OpenDNS und DNSOMATIC habe ich mich angemeldet. Wenn ich meine IP manuell aktualisiere funktioniert alles, auch mit dem Programm OpenDNSUpdater aber nicht mit der Fritzbox.
Ich habe folgende Einstellung:
Dynamic DNS-Anbieter : Benutzerdefiniert
Update-URL
Domainname
Benutzername
Kennwort
Kennwortbestätigung
Hallo,
ich möchte dies auch gerne machen.
Ich habe eine Fritzbox Fon Wlan 7050. Dahinter habe ich noch einen D-Link Router hängen, da ich in der Fritzbox die DNS Adressen von OpenDNS nicht eingeben konnte.
Bei OpenDNS und DNSOMATIC habe ich mich angemeldet. Wenn ich meine IP manuell aktualisiere funktioniert alles, auch mit dem Programm OpenDNSUpdater aber nicht mit der Fritzbox.
Ich habe folgende Einstellung:
Dynamic DNS-Anbieter : Benutzerdefiniert
Update-URL : updates.dnsomatic.com/nic/update?myip=
Domainname —> was kommt hier rein?
Benutzername —> Benutzername von DNSomatic oder openddns?
Kennwort —> Kennwort von DNSomatic oder opendns?
Kennwortbestätigung
Vielen Dank für die Hilfe
Hi Peter!
Domainname —> was kommt hier rein?
Benutzername —> Benutzername von DNSomatic oder openddns?
Kennwort —> Kennwort von DNSomatic oder opendns?
Domainname -> leer lassen
Benutzername -> DNSomatic Benutzername
Kennwort -> DNSomatic Kennwort
Dann sollte es klappen!
Gruß,
Marc
Danke für die Hilfe.
Jetzt kommt folgende Meldung in der Fritzbox:
Dynamic DNS-Fehler: Die Dynamic DNS-Aktualisierung war erfolgreich, anschließend trat jedoch ein Fehler bei der DNS-Auflösung auf.
Was muss ich jetzt machen?
Vielen Dank!
Peter Schmidt
Noch eine Ergänzung!
Auf DNSOMATIC erscheint die richtige IP
Und auch auf OpenDNS, aber die alte ist immer noch aktiv, die neue steht darunter in grau!
….
Jetzt habe ich nochmals reingeschaut und jetzt ist die neue aktiv.
Das dauert anscheinend einige Minuten.
Mal sehen, ob es dauerhaft klappt.
Nochmals vielen Dank!
Peter Schmidt
Hallo Marc,
nochmals vielen Dank.
Jetzt funktioniert es.
Jetzt brauche ich nicht mehr morgens vor der Arbeit den PC hochfahren und die IP aktualisieren. Auch wenn ich auf mehrtägigen Dienstreisen bin sind nicht mehr alle WEB-Tore offen.
Jetzt bräuchte ich noch eine Möglichkeit um die teilweise ordinären Vorschaubilder bei Google Bilder auch noch auszublenden. Vielleicht haben Sie da auch noch eine Lösung. Aber es ist ja schon gut wenn es dann nicht mehr weitergeht wenn man draufclickt.
Ich wünsche Ihnen und Ihrer Familie ein gesegnetes Weihnachtsfest.
Peter Schmidt
Hallo Peter,
das ist leider mittels einer DNS Sperre nicht zu machen, weil dafür die gesamte Google.de Domain in OpenDNS gesperrt werden müsste. Das könnte nur ein aktiver Proxy mit Filter.
Gruß,
Marc
Hallo, ich habe mich mal mit Kindersicherung auf Netzwerkebene befasst: http://www.kammerath.net/internet-kindersicherung.html Somit kann man zumindest Smartphones auch ein Stück kontrollieren.
Und was Peter’s Frage angeht, so kann man durchaus mit Packet Inspection und PCAP entsprechende Filter umsetzen, um TCP Ströme (insbesondere HTTP) auf Badwords zu filtern und alle folgenden Pakete entsprechend zu droppen. Einfach mal bei mir vorbei schauen… (Setzt aber OpenWRT voraus).
Viele Grüße, Jan
AVM mit dem rollout der FRITZ!OS 5.20 Firmware auch OpenDNS berücksichtigt ;-)
soweit es die Hardware zuläßt sollte man ein Update durchführen.
Danke für den Tipp, dann schau ich mal nach einem Update. :-)
Gruß,
Marc
kleiner Nachtrag noch: (Alternativ zu OpenDNS)
aktuell ist ja auch eine Kindersicherung beinhaltet: http://fritz.box/internet/kids.lua – hier bsw. unten “Computer, für die keine Zugangsregeln aktiv sind: haben keinen Internetzugang” auswählen – somit kann die Jugend mit MACs usw spielen, kommen aber nicht mehr ins Netz.
für den Boss-PC muss man logischerweise 24h/7Tage aktivieren + https: (damit WindowsUpdates usw. noch realisiert werden können)
mehr hierzu auch im “Fach-Forum” – http://www.ip-phone-forum.de
Hallo, super Anleitung danke…
eine Frage habe ich noch, wie ich es möglich, das trotzden Mama und Papa auf gesperrte Seiten gelangen können?
” als ich YouTube gesperrt habe, aber ohne Aufsicht ist das halt nichts, der Kleine kann ja fragen und dann können wir zusammen schauen, was die Stimmung dann wieder ein wenig beruhigte.”
Hallo Marry,
ja das geht, ihr müsst für euch einen anderen Nameserver (DNS) in der Netzwerkverbindung eintragen.
In Windows auf das Netzwerkcenter wechseln, dann die Adapter anzeigen, beim Netzwerkadapter/WLAN rechtsklick und auf Eigenschaften, dann bei TCP/IP v4 einen eigenen DNS Server eintragen, z.B. den von Google: 8.8.8.8
Dann umlauft ihr die Sperre.
Gruß,
Marc
Alles klar.. vielen Dank für die schnelle info!…
nur blöde wenn es die Kinder auch rausfinden..
dachte es gibt evtl. eine Lösung mittels Benutzer Account..
wenn du eine Fritz!Box hast, kannst du auch die AVM-Software einsetzen.
http://download.avm.de/fritz.box/tools/kindersicherung/deutsch/ da dieses Tool ohne Support ist, müsstest du deine Frage an die User hier stellen: http://www.ip-phone-forum.de/forumdisplay.php?f=520
PS: wichtig ist die Installation per “rechter Maustaste als Admin”
@Marrrry: Unter Windows lässt sich bestimmt einstellen, das ein normaler Benutzer nicht die Netzwerkeinstellungen verändern darf, sondern nur ein Admin.
Aber da bin ich überfragt, weil ich im Bereich Windows eher nur der Nutzer bin… komme eigentlich aus der Linux Welt… ;-)
Wichtig noch der Hinweis: Das neue Fritz OS (letztes Upate) bringt endlich das Feature mit, dass OpenDNS in der Box fest eingerichtet werden kann. So braucht der DNS nicht mehr am PC festgelegt werden!
@Marc
da könnte man doch evtl. sogar ein Update og. Beitrags machen *frechgrins
+ zumal OpenDNS sodann für das ganze Netz (=intern / alles nach der Box) gilt
Ich denke ich werde den Artikel mal neu verfassen, ist im Moment nur etwas ungünstig mit der Zeit. Ich schau aber mal und schreib mir das auf die Agenda. :-)
Hallo,
ich hab noch ein kleines Problem! So habe ich alles ohne Probleme hinbekommen, aber jetzt mochte ich den DNS Port (53 UDP) im Router sperren! Mein TP-Link MR3420 kann das nicht!!
Würde mir auch gerne einen neuen Kaufen, suche jetzt nur einen mit einen guten preis- leistungsverhältnis!! Die Datenblätter der Hersteller geben ja nicht sonderlich viel her.
Grüsse aus Mainz
Hallo Chris,
meine FritzBox 3270 kann das – sogar für einzelne Rechner. :-)
Bin ziemlich zufrieden mit der Box!
Gruß,
Marc
Hi Marc,
danke für deine schnelle Antwort! Geht das mit mit Boardmitteln oder muss man “spezial Firmware” bzw. muss man versteckte menüs aktivieren. ODER umständlich über Telnet ??
Frage: Ist ein gewolltes umgehen von OpenDNS für die Eltern einfach und jederzeit möglich, durch einfaches deaktiviren in der FRITZ!Box.
Hallo Chris,
nein geht mit Bordmitteln, wenn du die Expertenansicht aktivierst. Ist aber wirklich nicht schwierig – geht alles bequem über den Browser.
Zum Umgehen des OpenDNS:
Mache auf allen Rechnern der Kinder den DNS Port nach draußen dicht, dann können sie nur den DNS der FritzBox (OpenDNS) benutzen.
Lasst den Port bei euch aber auf und tragt als Nameserver beispielweise den von Google ein (8.8.8.8 und 8.8.4.4).
Das sollte problemlos klappen.
Gruß,
Marc
@Chris
man kann bei den Fritz!Boxen mit FRITZ!OS (als die Boxen mit neuere Firmware) individuell jeden PC über die WebGUI separat “steuern/freigeben”.
richte einfach eine generelle Internet-Sperre ein und gib sodann jedem PC seine entsprechende Rechte.
AVM bietet ja unterschiedliche Informations-”Kanäle” an.
neben Produktdatenblatt, Portal je Box, Handbuch, Video-Clips (ua. auch auf Youtube) gibt es auch noch die AVM Wissensdatenbank – dort ist alles einfach beschrieben
http://service.avm.de/support/de/skb/FRITZ-Box-7390
@Mammy: ZITAT MARC: Unter Windows lässt sich bestimmt einstellen, das ein normaler Benutzer nicht die Netzwerkeinstellungen verändern darf, sondern nur ein Admin.
Ja, unter einem angelegten Benutzer nur mit Recht Benutzer, also kein Admin. Hier darf der Benutzer die Netzwerkeinstellungen nicht verändern.
Ganz pfiffige Kinder umgehen alles. Denen gehört dann entweder eine Firewall mit Filter oder den Computer weggenommen.
Hab letztens einen Kinderschutz gefunden der viel unkomplizierter ist wie opendns.
Bei topdns.ch müssen nur die DNS Einträge auf dem Router oder PC eingetragen werden, ohne was zu installieren und sich anzumelden. Dann werden Porno- und Malwareseiten usw. gesperrt.
Hi Karl, ja das geht natürlich auch einfacher, aber bei OpenDNS hast du den Vorteil, dass du selbst noch Seiten freigeben, oder zusätzlich sperren kannst. Ist halt angenehmer, weil die Filter-Listen nicht immer das gelbe vom Ei sind.