Rumah pintar Anda melewati Pi-hole dengan DNS terenkripsi, dan berikut cara menghentikannya

Menyiapkan Pi-hole terasa seperti proyek set-it-and-forget-it ketika saya pertama kali menjalankannya. Penyiapannya cukup mudah, dengan mengarahkan pengaturan DHCP router saya ke sana, lalu melihat log kueri terisi dengan domain iklan yang diblokir. Saya berasumsi setiap perangkat di jaringan saya sekarang berfungsi setelah itu. Akhirnya, saya menyadari sesuatu yang aneh. Speaker pintar saya masih menampilkan iklan, dan gadget IoT lainnya menelepon ke server telemetri yang secara khusus saya blokir di Pi-hole. Saat saya memeriksa log Pi-hole, pertanyaan tersebut tidak diblokir atau dicatat sama sekali. Entah bagaimana, beberapa perangkat di jaringan saya melewati Pi-hole sama sekali. Setelah melakukan penggalian, saya menemukan bahwa beberapa perangkat menggunakan DNS terenkripsi. Ini adalah fitur privasi yang kini terpasang di semakin banyak perangkat konsumen, namun memiliki efek samping karena mengabaikan Pi-hole dan aturannya. Terkait Mengenkripsi kueri DNS melalui Pi-hole adalah tempat privasi sebenarnya terjadi, dan hanya butuh 10 menit Itu membuat keamanan jaringan saya jauh lebih baik Gadget Anda memiliki pengaturan DNS sendiri Dan mereka diprogram ke dalam firmware Cara kerja Pi-hole adalah dengan bertindak sebagai penyelesai DNS untuk seluruh jaringan Anda. Saat router Anda membagikan sewa DHCP, ia juga memberi tahu setiap perangkat server DNS mana yang akan digunakan, dan biasanya itu adalah Pi-hole. Setiap perangkat meminta Pi-hole untuk menyelesaikan suatu domain, Pi-hole memeriksanya berdasarkan daftar blokirnya, dan mengembalikan IP asli atau jalan buntu. Metode itu berfungsi dengan baik selama setiap perangkat benar-benar mematuhi aturan DNS yang diberikan oleh router Anda. Masalahnya adalah banyak TV pintar, kotak streaming, dan perangkat IoT memiliki pengaturan DNS sendiri yang dikodekan ke dalam firmware mereka, terkadang mengarah ke Google 8.8.8.8 atau Cloudflare 1.1.1.1. Apa pun yang terjadi, pengaturan ini mengabaikan apa yang diminta oleh server DHCP Anda untuk digunakan. Selain itu, banyak dari mereka menggunakan DoH (DNS melalui HTTPS) atau DoT (DNS melalui TLS) untuk mengenkripsi kueri tersebut sebelum mengirimkannya. Pada perangkat dengan DNS terenkripsi, Pi-hole tidak pernah melihat permintaan DNS mereka, jadi tidak ada yang bisa diblokir. Alih-alih melalui Pi-hole, permintaan DNS langsung masuk ke Google atau Cloudflare melalui koneksi HTTPS. Dari luar, lalu lintas tersebut tampak seperti lalu lintas web aman lainnya. Saya mengonfirmasi hal ini dengan menjalankan tcpdump di OPNsense di router saya. Kemudian saya mengimpor dump tersebut ke Wireshark untuk melihat paket mana yang meninggalkan gadget rumah pintar saya. Benar saja, ada aliran koneksi TLS menuju 8.8.8.8, yang sama sekali tidak terlihat oleh Pi-hole. Jika semuanya berjalan sebagaimana mestinya, saya berharap melihat permintaan DNS pada port 53 langsung ke Pi-hole, tetapi semuanya menuju ke tempat lain. Memaksa gadget menggunakan Pi-hole melalui firewall DNAT mengalihkan lalu lintas DNS ke Pi-hole Untuk perangkat dengan pengaturan DNS hard-code dan permintaan terenkripsi, pengaturan DHCP tidak akan memotongnya. Anda harus menerapkan aturan di tingkat firewall. Cara termudah untuk melakukannya adalah dengan mengonfigurasi aturan DNAT untuk mencegat semua lalu lintas keluar pada port 53, terlepas dari server DNS mana yang coba digunakan perangkat, dan mengarahkannya ke Pi-hole. Untuk permintaan DNS yang tidak terenkripsi, pengaturan ini akan cukup untuk memperbaiki masalah, karena setiap lalu lintas yang meninggalkan jaringan pada port 53 akan dialihkan ke Pi-hole. DoT hampir sama mudahnya untuk dimatikan, karena selalu menggunakan port 853. Yang perlu saya lakukan hanyalah memblokir permintaan keluar pada port tersebut, dan setiap perangkat yang menggunakan DoT melakukan failover ke pengaturan DNS biasa, yang mengirimkan semuanya dengan benar ke Pi-hole. DoH tidak mudah untuk diatasi karena lalu lintas DNS-nya menggunakan port 443 bersama dengan lalu lintas HTTPS normal. Itu berarti Anda tidak bisa begitu saja memblokir port dan menghentikannya, seperti yang Anda bisa lakukan dengan DoT. Jika Anda dapat mengidentifikasi alamat server DNS yang digunakan perangkat, Anda dapat memblokirnya di firewall dan membiarkan perangkat melakukan failover ke DNS biasa. Pemfilteran berbasis SNI juga merupakan opsi, namun pengaturannya lebih rumit, dan perangkat dengan ECH (Encrypted Client Hello) membuatnya tidak dapat digunakan. Membuat daftar blokir penyedia DoH yang dikenal adalah perbaikan yang saya terapkan, dan berhasil, tetapi ini adalah solusi yang berantakan. DNS terenkripsi seharusnya menjadi hal yang baik Sayangnya, privasi tersebut harus dibayar dengan Pi-hole Shekhar Vaidya/XDA DoH dan DoT bukanlah musuh sebenarnya di sini. Mereka ada karena alasan yang bagus. Karena kueri tersebut dienkripsi, ISP tidak dapat mengintip atau memonetisasinya, dan pengguna mendapatkan lebih banyak privasi di jaringan yang tidak mereka kendalikan, seperti Wi-Fi publik. Di jaringan rumah, manfaat tersebut tidak terlalu berarti. Pi-hole sudah memberikan privasi selain pemblokiran iklan, dan Anda telah menjadi penyelesai yang tepercaya. DNS terenkripsi secara keseluruhan merupakan hal yang baik, namun masalahnya adalah produsen perangkat tidak memberikan konsumen kebebasan untuk menentukan cara kerja DNS di gadget mereka. Pengodean keras pengaturan tersebut akan mengesampingkan infrastruktur yang Anda bangun untuk menangani DNS di jaringan Anda. Mendapatkan kembali DNS di jaringan Anda sendiri Ternyata Pi-hole tidak rusak sama sekali. Namun, diperlukan firewall untuk membantu mengarahkan permintaan ke sana untuk beberapa perangkat. Setelah setiap perangkat dipaksa kembali ke DNS teks biasa melalui penyelesai saya sendiri, setiap gadget di jaringan saya mulai berfungsi sebagaimana mestinya, iklan dan semuanya. Ini sedikit lebih rumit daripada instalasi Pi-hole pada umumnya, tetapi ada baiknya untuk mendapatkan kontrol penuh atas jaringan Anda. Model Harga OS Linux Free Pi-hole adalah pemblokir iklan seluruh jaringan yang bertindak sebagai lubang pembuangan DNS, mencegah iklan yang tidak diinginkan, pelacak, dan domain berbahaya dimuat di perangkat apa pun yang terhubung ke jaringan Anda. Ini berjalan pada perangkat keras ringan, seperti Raspberry Pi atau di mesin virtual. Dengan mencegat permintaan DNS, Pi-hole memblokir iklan sebelum mencapai browser atau aplikasi Anda, sehingga meningkatkan kecepatan dan privasi. Ini juga menyediakan antarmuka web yang mudah digunakan untuk memantau dan mengelola lalu lintas jaringan.
Diterbitkan : 2026-07-07 14:00:00
sumber : www.xda-developers.com



