netzer2021
Goto Top

DNS, DNSSEC, DoT, DoH und wie zusammen?

Hallo community,

ich habe mal folgende logische Frage zu den im Titel genannten Themen und mal ein wenig nach meinem Verständnis aufbereitet:

1. Client -> Router / FW -> Provider DNS 53 ganz doof

2. Client -> Router / FW-> Andere "public shared" DNS 53
Cloudflare, AdGuard etc.

3. Client -> Router / FW-> AdGuard Home -> "public shared" DNS 53 Cloudflare, AdGuard etc.

4. Client -> Router / FW-> AdGuard Home -> "public shared" DNS tls(853)/https(443)
Cloudflare, AdGuard etc.

5. Client -> Router / FW-> Unbound -> "root dns 53"

6. Client -> Router / FW-> Unbound -> "root DNS tls(853)/https(443)"

7. Client -> Router / FW -> AdGuard Home -> Unbound -> "root DNS tls(853)/https(443)" // Was ich will! face-smile


Dazu meine Fragen:

5.1. Welche sind das? Hat unbound die integriert? Ist 53 unencrypted richtig? Es werden keine "public DNS a la goggle gefragt"

6.1. Welche sind das? Hat unbound die integriert? Geht das überhaupt?

7.1 Geht das so überhaupt? DoT / DoH im LAN? Macht das überhaupt Sinn? In meinem LAN ist mir das ja im Grunde egal ob normal / DoT / DoH hauptsache das was am Ende von mir raus geht inst dann DoT / DoH

Eigene Implementierung:
Ich arbeite mit einer OPNsense auf der ebenfalls AdGuard Home und Unbound läuft. AdGuard ist auf der LAN IP der opnsense konfiguriert. https, tls ist ebenfalls in den AdGuard Settings aktiv. Unbound läuft nachgeschaltet und wird von AdGuard referenziert als Upstream. Unbound selber habe ich keine Upstreams eingetragen - wo auch? So weit läuft alles. Intern als auch extern wird sauber aufgelöst.

Ziel:
DNS komplett encrypted auf dem wie oben in Punkt 7 skiziert

Aktuelles Problem:
Wo trage ich in der OPNsense ein, dass ich den AdGuard nicht wie im standard auf 53 sondern unter der TLS Adresse mit 853 erreiche? Wie und wo stelle ich den Unbound auf DoT ein? Aktuell hört der auf 5353, muss der dann nicht auch was anderes haben? Trage ich hier im Custom forwarding etwas ein? Ich verstehe nicht wo und wie ich die Kette in 7 implementieren kann. Close ich Port 53, geht halt nichts mehr - obwohl alle anderen offen sind.

Danke euch für Feedback!

Content-Key: 4059163530

Url: https://administrator.de/contentid/4059163530

Printed on: December 9, 2022 at 00:12 o'clock

Member: unbelanglos
unbelanglos Sep 25, 2022 at 23:59:11 (UTC)
Goto Top
Logisch sind deine Fragen eher weniger. Dir scheint Fachwissen zu fehlen.

Optimal ist, dass alle deine internen Geräte einen internen DNS Anfragen. Z. B. die Sense auf 53. Die Sense kann Forwarder, Server oder auch Filter sein. Auch eine Kombination.

Hier musst Du dich entscheiden.
1. Reicht mir ein Forwarder.
2. Oder muss es ein Server sein.
3. Brauche ich einen Filter, wenn ja, muss der auf dem Gateway sein.

Dann scheinst du einen öffentlichen DNS befragen zu wollen, der sich verschlüsselt erreichen lässt und DNSSEC kann.
Das ist eine weitere Baustelle, die nur bedingt mit deinem Netzwerk zu tun hat.

Dein DNS Forwarder oder Server, sendet (gefilterte) Anfragen nach draußen.
Die kann und sollte man verschlüsseln. Hier kommen in der Regel die genannten Standardports als Zielports in Betracht. Das bedeutet aber auch, dass deine Sense dynamisch einen Port aufmacht, beim Weiterleiten deiner lokal nicht auflösbaren Anfragen.


Außerdem soll dein gewählter DNS Dienst DNSSEC unterstützen. Google, Cloudflare können das. Route53 sicherlich auch.
Member: aqui
aqui Sep 26, 2022 at 07:23:44 (UTC)
Goto Top
Wie Forwarder bzw. Resolver richtig eingestellt werden beschreibt dieser Thread.
Member: netzer2021
netzer2021 Oct 08, 2022 at 20:22:07 (UTC)
Goto Top
fachwissen fehlt bestimmt, deswegen bin ich ja hier.

Ich versteh es noch nicht ganz. Vom Prinzip leite ich gerade alle DNS ANfragen unverschlüsselt an AdGuard auf Port 53. Was ja soweit gut ist, wenn ich richtig gelesen habe. In AdGuard wird gefilter, dann wird weitergelietet an die Sense auf 5353 Unbound, auch unverschlsselt. So weit noch ok?

Unbound geht doch jetzt direkt, so dachte ich, an die root/main server und nutzt eben kein google, cloudfalre etc. allerdings setze ich dafpr ja kein spezigisches setting. Also gehe ich davon aus, dass vom Unbound aus wenn ncihts konfiguriert wird Unbound ebenfalls unverschlüsselt sendet. Würde ich nun im Unbound einen verschlüsselten cloudfalre nutzen, wäre die anfrage zwar verschlsseült aber landet eben bei cloudflare oder nicht? Kann ich vom Unbound denn die, scheinbar, integrierten root Server auch mit encryption ansprechen?
Member: aqui
aqui Oct 08, 2022 at 20:36:39 (UTC)
Goto Top
Unbound geht doch jetzt direkt, so dachte ich, an die root/main server
Das ist korrekt wenn man den Unbound nicht entsprechend anpasst wie im Thread oben beschrieben.
Würde ich nun im Unbound einen verschlüsselten cloudfalre
DoT oder DoH kann der in der Firewall nicht nur DNSSEC. Dann müsstest du den Adguard direkt einen entsprechenden DoT oder DoH Upstream DNS konfigurieren was ja auch am sinnvollsten wäre.
Kann ich vom Unbound denn die, scheinbar, integrierten root Server auch mit encryption ansprechen?
Nein, siehe oben. Wie gesagt Upstream vom AdGuard direkt.
Member: netzer2021
netzer2021 Oct 08, 2022 at 20:39:13 (UTC)
Goto Top
ok, verstehe - danke!

Dann wäre der Unbound raus, muss ich mal schauen wo ich dann meine interne DNS Auflösung mache, sonst wird Unbound ja nicht mehr benötigt.
Member: unbelanglos
unbelanglos Oct 08, 2022 at 22:15:23 (UTC)
Goto Top
Member: netzer2021
Solution netzer2021 Oct 23, 2022 at 03:32:45 (UTC)
Goto Top
Danke für das Feedback. Habe es nun mittels unbound an tls DNS server gelöst.