colinardo
Goto Top

Mikrotik RouterOS 7.15beta4: DNS-Proxy bietet nun "adlist" support

Servus Kollegen.

Mikrotik hat wieder eine neue Beta-Version von RouterOS mit einigen Neuerungen und fixes am Start in der unter anderem der Onboard DNS-Proxy ein "Adlisten" Feature spendiert bekommen hat mit dem sich Domains komfortabel blocken bzw. auf 0.0.0.0 auflösen lassen.
Das kann im einfachsten Fall bspw. zusätzliche pihole, adguard oder andere DNS-Blocking-Lösungen ersetzen.

https://mikrotik.com/download/changelogs/testing-release-tree
What's new in 7.15beta4 (2024-Mar-04 08:04):
*) dns - added support for "adlist";

Das sieht dann so aus:

screenshot

Der Match Count Zähler liefert dann die Anzahl der tatsächlichen Anfragen an die Domains der Liste.

Die lokale Liste bzw. Liste die von einer URL abgerufen wird sollte die reinen Domains untereinander als Plaintext aufgeführt enthalten.
bsp.:
0.0.0.0 domain1.tld
0.0.0.0 domain2.tld
Mehr Infos dazu hier:
https://help.mikrotik.com/docs/display/ROS/DNS#DNS-Adlist

Bisher hatte ich das teilweise mittels Skript und eigens generierter Liste gelöst, das hat aber den Nachteil das es sehr viel RAM verschlingt (120MB bei 40000 Domains) und den Start des Routers erheblich verzögert wenn man Liste mit mehreren 10000 Domains in den statischen Cache des Mikrotik lädt. Obige Lösung dagegen braucht dann für 40000 Domains nur noch ca. 5MB und keine Startverzögerung mehr, also erheblich effizienter.

Gruß @colinardo

Content-Key: 62924653498

Url: https://administrator.de/contentid/62924653498

Printed on: April 16, 2024 at 05:04 o'clock

Member: commodity
commodity Mar 04, 2024 at 21:26:45 (UTC)
Goto Top
Na, da bin ich schon gespannt, ob das den PiHole ersetzen kann. Sieht jedenfalls erstmal gut aus. Danke für die Info!

Gehen schon getrennte Listen (für verschiedene Netzwerke)? Und/oder Ausnahmen für bestimmte Netze? Im PiHole ist das sehr fein gelöst. Im Unternehmen brauche ich zwar wahrscheinlich nur einen Listensatz, aber ein bisschen Feinjustierung ist immer von Vorteil.

Viele Grüße, commodity
Member: colinardo
colinardo Mar 04, 2024 updated at 21:51:13 (UTC)
Goto Top
Servus @commodity
Zitat von @commodity:
Gehen schon getrennte Listen (für verschiedene Netzwerke)? Und/oder Ausnahmen für bestimmte Netze?
Noch nicht, nur eine "view" für alle.
Denke aber das der DNS-Implementierung des Mikrotik irgendwann eine grundlegende Überholung bevorsteht was sie auch in der Vergangenheit schon angedeutet haben, diese hat doch so an manchen Ecken ihre Macken. Ist halt kein leichtes Spiel wenn man alles von Grund auf selbst entwickelt wie Mikrotik es für viele seiner Dienste tut.
Im PiHole ist das sehr fein gelöst. Im Unternehmen brauche ich zwar wahrscheinlich nur einen Listensatz, aber ein bisschen Feinjustierung ist immer von Vorteil.
Bin von pihole schon einige Jahre weg, da mich das unter arch doch etwas genervt hat und mir die fertigen Sachen meist immer etwas zu aufgebläht sind. Habe das dann durch einen unbound und ein eigenes Skript ersetzt, der supported ja auch mehrere "dns-views" je nach Quelle.

Grüße Uwe
Member: AndiiiHD
AndiiiHD Mar 14, 2024 updated at 16:00:46 (UTC)
Goto Top
Hallo vielen lieben Dank für die Info, ist recht neu für mich das Thema mit den Adlisten, bisher nutze ich NextDNS - hast du einen oder mehrere Links (URLS) für solche Adlisten die der Mikrotik dann akzeptiert ? Ich möchte das gerne für Zu Haus als Filter für die ganze Familie aktivieren ein RB5009 ist vorhanden.... Beta Update habe ich gemacht und die Cache Size habe ich auch schonmal angepasst. :D
Member: colinardo
colinardo Mar 14, 2024, updated at Mar 15, 2024 at 12:28:43 (UTC)
Goto Top
Servus.
Ich baue mir meine eigene Liste selbst passend per Bash Skript auf einem Server/Container zusammen.
Grundlage kann bspw. diese Liste sein
https://github.com/anudeepND/blacklist
Davon gibt es diverse andere, da darfst du selbst Google quälen ­čśë.

Gruß @colinardo
Member: AndiiiHD
AndiiiHD Mar 15, 2024 at 12:17:48 (UTC)
Goto Top
Danke für deine Infos, ich hab nun mal die Liste aus dem Mikrotik Tutorial geladen und eingespielt. Nun kam mir noch die Frage wie kann man die automatisch aktualisieren - wieder nur via script oder kann man da in Winbox noch was einstellen?
Member: colinardo
colinardo Mar 15, 2024 updated at 12:27:18 (UTC)
Goto Top
Zitat von @AndiiiHD:
Nun kam mir noch die Frage wie kann man die automatisch aktualisieren - wieder nur via script oder kann man da in Winbox noch was einstellen?
Auf dem Mikrotik per Skript im Scheduler.
/system scheduler add name=reload_adlist interval=1d on-event="/ip dns adlist reload"  
Member: AndiiiHD
AndiiiHD Mar 15, 2024 at 12:39:51 (UTC)
Goto Top
Perfekt danke dieser Hinweis hat mir im offiziellen manual gefehlt. Wie oft sollte man das machen 1x am Tag oder Woche oder stündlich?
Member: colinardo
colinardo Mar 15, 2024 updated at 12:53:01 (UTC)
Goto Top
Schau dir das Interval der Änderungen auf Github an, mir reicht es persönlich einmal in der Woche, max. würde ich es 1 pro Tag machen man muss es ja nicht übertreiben. Musst du selbst für deinen Anwendungszweck entscheiden.
Member: AndiiiHD
AndiiiHD Mar 15, 2024 updated at 13:43:40 (UTC)
Goto Top
Danke für die Erklärung. wöchentlich passt mir auch wunderbar... Danke für die unkomplizierte Hilfe und den sehr tollen Umgangston hier im Forum. Auch wenn das bestimt absolute noobmäßig basics waren die ich da frage. Du hast mir echt geholfen und einiges an Zeit eingespart !Danke dafür !
Member: commodity
commodity Mar 16, 2024 at 16:22:43 (UTC)
Goto Top
und den sehr tollen Umgangston hier im Forum
face-big-smile freu Dich nicht zu früh. Der vorbildliche Stil des Kollegen @colinardo ist keineswegs der Anspruch aller hier. Leider. Davon ggf. nicht abschrecken lassen. face-smile Ggf. einfach ignorieren.

Viele Grüße, commodity