DOH et Safe Access

[Escandihado]

Bonjour, je suis propriétaire d'un ancien routeur RT2600AC, auquel j'avais paramétré le SAFE Access pour les visiteurs avec comme interdit le porno, la violence, etc...
Dans les paramètres du routeur, nous avons la possibilité de bloquer les accès DOH des clients, mais cela bloque toute connexion Internet.
De plus Safe Access ne fonctionne que si DOH est inactif.
Sauf que les clients aujourd'hui ont tous des navigateurs qui possèdent une connexion DNS sécurisé avec DOH actif très souvent.
Du coup mon routeur sécurisé ne sert plus à grand chose.
N'y a t'il pas d'autres moyens de filtrage pour les enfants ?, les dns personnalisés sur le routeur n'ont aucun effet,

Cela a fonctionné par le passé, mais désormais c'est inopérant.

Comment s'y prendre ?
Prendre un routeur plus récent ?
Merci d'avance
A bientôt.

 

[CHurCH]

Hi !

J'ai fonctionné plus de 4 ans avec des RT6600AX et je n'ai jamais eu aucun souci sur le controle parental en combinant safe access, du filtrage DNS via DoH au niveau du routeur avec Adguard et leur DNS customisés (payant), l'API google safe browsing qu'il est possible de plugger à SRM, du filtrage par adresses MAC. Tous les devices mobiles de la maison utilisaient en plus un lien DOH spécifique généré depuis mon compte Adguard.

Pour les invités, j'avais mis en place un VLAN spécifique avec un SSID, un portail captif obligeant les visiteur à accepter la connexion toutes les 4H et là aussi un filtrage plus drastique avec les DNS d'Adguard.

SRM permet bien de bloquer l'usage de DOH sur les clients et Adguard, grace à la plateforme de DNS personnalisés, a une option de détection et désactivation du relais privé d'Apple/iCloud ainsi que le filtrage DNS malgré le préchargement des pages de Chrome qui exploite pourtant le proxy de Google. Il y avait aussi une option permettant de bloquer l'usage à la volée des résolveurs DoH intégrés à Firefox dans les paramètres du navigateur. J'avais par ailleurs aussi activé l'isolation des clients sur le SSID wifi lié au réseau invités.


Honnêtement ça fonctionnait bien et j'ai parfois bien pu identifier quelques tentatives de consultation de sites incongrus mais elles étaient bloquées à chaque fois (il y a pas mal de passage à la maison entre la famille et les amis des mes ados et j'avais généré et mis à disposition un QR code pour faciliter la connexion au wifi invités) : l'usage des DNS Adguard me permettait d'avoir des logs très précis sur les sites consultés.

 

[Escandihado]

Bonjour,
Certes SRM permet de bloquer le DOH des clients, mais les connexions des clients sont impossibles si je l'active.
"Centre réseau - sécurité - Ne pas autoriser les périphériques clients à utiliser les serveurs DOH".
---
De plus Safe Access requiert que l'option ci-dessus ne soit pas activée..
---
J'ai essayé de changer le DNS du routeur pour y mettre, le cloudflare for famillies : 1.1.1.3 aucun effet
Les clients peuvent toujours accèder aux sites librement.

 

[CHurCH]

Hello ! Tu utilises un seul réseau ou as tu activé un VLAN (réseau secondaire) pour les invités ?

As tu activé DoH au niveau du routeur, éventuellement sur le profil "familly" des DNS de Cloudflare

En créant un réseau invité (avec ou sans SSID) tu peux logiquement bien définir des DNS spécifiques qui seront exploités par les clients. Quels DNS sont poussés à tes clients en DHCP ? Es tu certain que ce ne sont pas ceux de ta box internet qui sont repris ?