Jugendschutzfilter: Alternative zu JusProg?

Immerwieder leidiges Thema:

Wie filtert ihr?

  • gar nicht?
  • per Jugendschutzfilter DNS bei JusProg?
  • per blacklist ? und wenn ja, wie?
  • per kommerziellem DNS-Filter?

Wäre über Rückmeldung dankbar.
JusProg killt bei uns seit mehreren Tagen den Internetzugang und das ist unhaltbar. Aber auch unhaltbar scheint, keinen Filter zu nutzen.

VG, Tobias

Achso, ich vergaß:

Wenn ihr filtert, wie?

  • Über OpnSense → SquidProxy
  • oder ein PiHole
  • oder OpnSense → unbound → blocklist?
  • oder anderweitig?

Vg, Tobias

Hallo Tobias,
Im Moment machen wir das noch so:
Der Traffic im WLAN läuft über ein Pi-Hole, das mit Filterlisten ausgestattet ist. Die Quote der Filterungen ist schon immens: im Moment 47,7% blocked. :dizzy_face:
Darunter natürlich jede Menge Spam, Werbung, Mist, $Whatever.

Es gibt aber ein gigantisches Problem bei uns, das im Zusammenhang mit relution steht, welches ebenfalls bei uns intern in der DMZ als Docker-Container läuft. Auf den ersten Blick hat das nichts miteinander zu tun aber auf den zweiten vermutlich doch. Wir rätseln seit einer Ewigkeit herum, woran das liegen kann und sind nun mehr und mehr davon überzeugt, dass die iPads sich nicht immer an den vorgeschriebenen Weg halten: Sie nutzen (obwohl es explizit so eingetragen ist und mehrfach überprüft wurde) offenbar „still und heimlich“ nebenher noch DoT („DNS over TLS“ auf Port 853) oder DoH („DNS over HTTPS“ auf Port 443). Ersteres bekommt man ja noch in den Griff, indem man Port 853 auf der OPNSense blockiert aber letzteres verursacht hier gerade enorme Probleme, da die DNS-Anfragen offensichtlich „unbemerkt“ und verschlüsselt über Port 443 am Pi-Hole vorbei direkt über Apple-DNS-Server abgewickelt werden :man_shrugging: :man_facepalming: :interrobang:
Das ist bei uns vermutlich auch der Grund, warum die relution-Unterrichtsprofile so schlecht oder gar nicht funktionieren und immer wieder einzelne Geräte ungesperrt bleiben oder aber in der Sperre hängen bleiben und manchmal erst Stunden später zu Hause im WLAN wieder entsperrt werden. Alles in allem ist das jedenfalls keine zufriedenstellende Situation!

Aus diesem Grund sind wir gerade dabei, die Filterung umzustellen und über das „mitgelieferte“ Plugin AdGuard-Home zu gehen. Es unterscheidet sich zunächst nicht großartig vom Pi-Hole aber in den Details dann doch:

Die Einbindung auf der OPNSense gestaltet sich übrigens denkbar einfach:

Vorteil: Die Filterung findet direkt auf der gleichen Kiste statt –
Nachteil: Die Filterung findet direkt auf der gleichen Kiste statt! :point_up: :wink:

Da AdGuard auch DoT und DoH blockieren kann, werden wir hoffentlich demnächst genauer wissen, ob es dann endlich besser läuft, denn so wie es jetzt ist, ist es leider echt nicht zufriedenstellend.
Viele Grüße,
Michael

P.S.: Ach ja – noch vergessen – unter OPNSense → Dienste: Unbound DNS: Query Forwarding setzen wir zusätzlich diese DNS-Server ein (das sperrt dann aber auch solche Seiten wie Reddit im WLAN (was manchmal vielleicht etwas zu restriktiv ist??!)

Hallo Tobias,

ich habe auf der OPnSense adguard home installiert. Da gab es hier auch schon mal was im ask…im Netz findest du viel mehr. Läuft seit Monaten problemlos, zuverlässig und performant. Die Filterlisten habe ich mir zusammengesucht. Bei mir ist Adguart der Standarddns und Unbound der UpstreamDNS.

LG
Dominik

Update: Michael war schneller :laughing:

Hallo Tobias!

Ich hab die Filterung und Savesearch via dem zusätzlichen Plugin „Bind“ in der OPNSense umgesetzt, wie hier beschrieben:

Unbound DNS, was ja eh in der OPENSense schon aktiv ist, bietet aber inzwischen auch eine Möglichkeit, eine Filterung und Savesearch zu aktivieren - das habe ich aber bisher nicht ausprobiert:
https://docs.opnsense.org/manual/unbound.html#blocklists

Theoretisch müsste das mit ein paar Klicks aktiviert sein…

Grüße Noah

1 „Gefällt mir“

Abend Tobias,

wir filtern gar nicht, nutzen nichtmal die Internetabschaltung (tut bei uns auch nicht richtig, Visual Studio Code meckert, Thonny auch und apt tut auch nicht mehr richtig, selbst wenn nicht abgeschaltet - denke aber das waere ein eigener Thread).

Gruss Harry

Hallo Harry,

die Internetabschaltung funktioniert bei euch vielleicht doch, wie sie soll. Nur die anderen Programme können vielleicht nicht richtig damit umgehen: also mit einem Proxy, der eine authentifizierung benötigt.
apt sollte keine Probleme mehr haben, wenn du auf der konsole apt sagst, wo der Proxy ist (steht auch irgendwo hier im Forum wie man das macht). Apt hält sich nicht an den „Systemproxy“.
VisualStudioCode muss nicht nur den Proxy kennen (also entweder den vom System verwenden, oder man trägt ihn selber im Programm ein) sondern es muss beim Besuch des Proxys auch das am Client vorhandene Kerberos Ticket verwenden.

Thonny kenne ich nicht.

Am Besten mal nach
PROGRAMMNAME kerberos proxy
suchen, dann bekommt man schnell raus ob und wie das geht.

LG
Holger

Tag Holger und danke.
Wir haben unzaehlige Programme, die mit dem Proxy Probleme haben, ein einziges Gewese, deshalb haben wir den Kram auch nicht aktiv.
Wir basteln wohl was mit iptables.

Gruss Harry

Ich denke auch, dass der Umgang mit Proxy nur für echte „Standardprogramme“ :slight_smile: (also Word 6.0 für DOS & co) gedacht sein kann. Nicht jeder hat die Zeit jedes Programm darauf zu testen. Wäre jetzt nicht der Wunsch nach Jugendschutzfilterung bei uns, wäre ich nicht daraufgekommen, den Proxy wieder scharf zu schalten.
Und das sind ja zwei paar Stiefel: Ich kann den Jugendschutzfilter über DNS einrichten (Katz) und wenn dann jemand noch DNS-over-HTTPS (Maus) macht und ich das mitkriege, dann wird halt doch wieder der Proxy eingeschalten und der Delinquent bekommt einfach eine Internetsperre.

Die Internetsperre durch Proxy brauche ich halt beim Klassenarbeitsmodus, sofern der noch Zeitgemäß ist.

Vg, Tobias

Danke für die Idee, @nosch . Ich schau mal, wann ich das praktisch teste.

Vielleicht muessen die fossilien Lehrer so langsam mal in der Gegenwart ankommen. Ich bin ja auch so ein Fossil, allerdings schreibe ich Klassenarbeiten immer am PC und hab immer alles offen ausser Smartphone.
Hatte heute ein Gespraech mit einer Lehrerin, die bei den Technikern ein halbes Jahr lang HTML unterrichtet, da das in der Pruefung drankommt, ein halbes Jahr (!). Das hab ich vor 30 Jahren das erste Mal als Hiwi bei Blinden (hab diese an der Uni betreut) unterrichtet, da gab es aber noch keine HTML-Editoren, CMSe, das lief per vi-Editor.
Als waere die Zeit stehen geblieben und es gaebe keine interessanten neue Themen wie Cloud Computing, IoT, Docker, KI…
Ich wuerde nicht mehr als eine Doppelstunde fuer HTML investieren, vielleicht noch Formulare fuer PHP und fertig.

Noch eine Ergänzung: AdGuard blockiert bei uns nun DoH und die OPNSense blockiert DoT – das ist notwendig geworden, weil die Schülergeräte problemlos an den Web-Filtern vorbei surfen konnten.

Die genaue Vorgehensweise wird hier sehr gut erklärt:

Nachtrag: die Screenshots zu den Einstellungen sieht man erst, wenn man dort angemeldet ist :wave:
Viele Grüße,
Michael

1 „Gefällt mir“

Nur nochmal zur Sicherheit ob ich das alles zusammenfassend verstanden hab…
du blockst an der opnsense den port 853 für alle
leitest die DNS Anfragen über unbound auf der opnsense alle durch auf adguard auf 5353
und mit den Filterlisten für DoH zb https://adguardteam.github.io/HostlistsRegistry/assets/filter_52.txt
blockst du DoH… richtig?

Ist die Aktivierung von https und das Verschlüsselungszeugs mit öffentlichen Zertifikaten auf dem AdguardHome notwendig? Würde den Aufwand gerne vermeiden…

Hallo Sucher.
Ganz genau so!

https:// und Zertifikate haben wir auf dem AdGuard nicht aktiviert.

Aber stattdessen habe ich den Zugriff auf die Oberfläche des AdGuard ausschließlich auf das Management VLAN beschränkt. Das war mir sicher genug.

Noch ein sehr schöner Nebeneffekt bei diesem Setup: Der Unbound bleibt „unberührt“ und läuft auf Port 53. Das bedeutet: wenn es ein Problem mit dem AdGuard gibt, kann man die Portweiterleitung von 53 auf den AdGuard-Port mit einem einzigen Klick wieder deaktivieren. Dann läuft alles wieder direkt über den Unbound an die eingetragenen Upstream-DNS Server… das hat mir sehr gut gefallen!
Zudem lässt sich so eine zweite NAT Regel anlegen, die auch sämtliche DNS-Anfragen aus grün (LAN) ebenfalls über den AdGuard schickt. So sind die gleichen Filterlisten auch direkt in den Computerräumen aktiv! Das fand ich ebenfalls sehr elegant.

Über sinnvolle Filter kann man sich lange unterhalten. Wir haben diese hier aktiviert —- funktioniert tadellos :ok_hand::ok_hand:

Hier eine Diskussion zum Thema:

also irgendwie war das adguard heute den Anforderungen nicht gewachsen.
seiten luden viel langsamer und die das abfrage zu Tagesschau oder spiegel lieferte sporadisch ein servfail. habs jetzt wieder abgeschaltet. wahrscheinlich ist unser netz zu groß? oder hat die opnsense zu wenig Ressourcen? :cry:

…ist das nur im LAN so? Das hatte ich auch. Problem war, dass der Firefox in meinen Clients noch uBlockOrigin aktiviert hatte. Das hat sich böse gebissen. Zudem kam mit einem der letzten Firefox Updates, dass die DNS - Einstellungen DoH als default gesetzt haben. Auch das gab Probleme.
Gruß
Dominik

Unsere OPNSense läuft bare-metal und nicht (mehr) virtualisiert. Wir haben uns vor ein paar Jahren eine DEC3850 direkt aus NL bestellt. Die läuft super und erzeugt auch mit dem AdGuard nicht zu viel CPU-Last. :man_shrugging:
Was die Größe des Netzwerkes angeht: bei uns sind ca 1200 SuS und täglich ca 1000 Geräte im WLAN. Seid ihr wesentlich größer??

Danke das ist mal ne Hausnummer. Dann kann das ja kein generelles Problem sein
wir haben ca 1400 Schüler, aber auch manche in Teilzeit.
Wird im WLAN ähnlich sein mit den Geräten, so ca 1000 im Peak. Muss mal schauen wo es genau hakt. Könnten auch Netzwerkprobleme im Netz sein, oder vielleicht der Upstream DNS… Also ich werde jetzt mal versuchen mit einer separaten VM für Adguard ob das dann besser läuft… Work in Progress… Auf der Adguard Weboberfläche konnte ich die serverfails für Tagesschau nicht entdecken… vielleicht mal in den Protokollen noch stöbern…