Me he comprado dominio, pero a la hora de configurar mi red interna para tener un dns que redirija a los servidores con la ip interna, esta siendo un calvario con dispositivos Android y Apple. Intentaré explicar que pasa y como lo he solucionado (o eso parece)

Inicio de la locura

Mi red interna (como la gran mayoría de las vuestras), tiene el rango similar al de 192.168.1.0/24, y en ella tengo varios servidores virtuales corriendo (a partir de aquí, me invento las IPs). Pongamos por ejemplo, que tengo el servidor público (donde ves esta web) en el 192.168.1.15, y el servidor de recursos internos (cloud, smb, etc..) en el 192.168.1.11.

Mi idea es conectarme por VPN a mi red, y para ello en la resolución de cualquier host que no sea www responde 10.81.17.1 (puede que la cambie), que será la ip a la que me conectaré cuando esté por la VPN que, o casualidad es la del equipo que hace de puente.

El tema está en que si estoy en mi red local, quiero que el móvil se conecte a cs.marpi.net, que esta corriendo en la IP 192.168.1.11 pero que no es accesible desde el exterior para hacer sus copias de seguridad (de ahí el cs) sin la recarga de cifrado de la vpn, que al mismo tiempo, también tendría que resolver a 192.168.1.11 y no a mi ip pública.

Para ello, tengo trabajando internamente un pihole para filtrar la publicidad a nivel de red, y tengo configurada esa ip en el router para que la indique como servidor DNS principal. Pues, con dispositivos de Google y Apple (Android Tv, tlf Android, Google Chrome, Iphone, Apple Tv) no le da la gana de funcionar.

Seguridad al rescate de los ingresos publicitarios

¿Que pasa si se utiliza un filtrado de dominios que se dedican a la publicidad? pues que a muchos gigantes tecnológicos no les gusta, ya que una gran parte de sus ganancias vienen de la publicidad.

Si ademas, esos mismos gigantes tienen productos consumidores de datos en internet, llegamos al momento en que se cruzan los intereses. En aras de la seguridad, no hago caso a un servidores de nombres y utilizo los míos (que por supuesto, no tienen filtros de publicidad) indicando que es por un tema de seguridad…

Todo el mundo entendemos que se busque la seguridad para evitar problemas con personas que no entienden como funciona la red, pero entendería mucho más que se forzara al uso de certificados ssl de las web (cifrado y que la web es correcta) que bloquear de esta manera los DNS. En la gran mayoría de navegadores ya salen avisos si no coincide el nombre del servidor con el certificado ssl, y hay sitios como LetEncrypt, que los ofrecen gratis!!!!!!, ¿hace falta romper el DNS? Pues seguramente si, ya que sino los ingresos bajan.

¿Que es lo que voy ha hacer?

Para que se acepte un servidor dns como correcto es necesario implementar DoT (Dns over TLS) en el puerto 853, y por ahora parece que no es necesario DoH (Dons over Https), aunque habrá que ver que pasa con DNSSEC (estoy escribiendo esto antes de modificar nada, a modo de apuntes)

Ya puestos en harina, pues a parte de bloquear publicidad, me monto un servidor recursivo para que tampoco sepan que consultas hago, cuanta menos información puedan tener sobre mis hábitos, mejor que mejor.

Como espero que funcione (actualización –> Funciona!!)

Utilicé Unbound para que cualquier consulta a mi dominio la respondiera como 192.168.1.11, teniendo de esta manera un wildcard. En Pihole la única cosa que se hace es redirigir los dominios exteriores Es decir, lo que serian www (donde ves esta web).

Como comentario, chatGPT puede ayudar a configurar, pero hay que ir con muchísimo cuidado con que se pregunta, y tomar las respuestas con pinzas, ya que hay veces que se mete en un bucle del que no sabe salir, y puede llegar a ser frustrante.