7
DNS, DNSSEC, DoT, DoH und wie zusammen?
Hallo community,
ich habe mal folgende logische Frage zu den im Titel genannten Themen und mal ein wenig nach meinem Verständnis aufbereitet:
1. Client -> Router / FW -> Provider DNS 53 ganz doof
2. Client -> Router / FW-> Andere "public shared" DNS 53 Cloudflare, AdGuard etc.
3. Client -> Router / FW-> AdGuard Home -> "public shared" DNS 53 Cloudflare, AdGuard etc.
4. Client -> Router / FW-> AdGuard Home -> "public shared" DNS tls(853)/https(443) Cloudflare, AdGuard etc.
5. Client -> Router / FW-> Unbound -> "root dns 53"
6. Client -> Router / FW-> Unbound -> "root DNS tls(853)/https(443)"
7. Client -> Router / FW -> AdGuard Home -> Unbound -> "root DNS tls(853)/https(443)" // Was ich will!
Dazu meine Fragen:
5.1. Welche sind das? Hat unbound die integriert? Ist 53 unencrypted richtig? Es werden keine "public DNS a la goggle gefragt"
6.1. Welche sind das? Hat unbound die integriert? Geht das überhaupt?
7.1 Geht das so überhaupt? DoT / DoH im LAN? Macht das überhaupt Sinn? In meinem LAN ist mir das ja im Grunde egal ob normal / DoT / DoH hauptsache das was am Ende von mir raus geht inst dann DoT / DoH
Eigene Implementierung:
Ich arbeite mit einer OPNsense auf der ebenfalls AdGuard Home und Unbound läuft. AdGuard ist auf der LAN IP der opnsense konfiguriert. https, tls ist ebenfalls in den AdGuard Settings aktiv. Unbound läuft nachgeschaltet und wird von AdGuard referenziert als Upstream. Unbound selber habe ich keine Upstreams eingetragen - wo auch? So weit läuft alles. Intern als auch extern wird sauber aufgelöst.
Ziel:
DNS komplett encrypted auf dem wie oben in Punkt 7 skiziert
Aktuelles Problem:
Wo trage ich in der OPNsense ein, dass ich den AdGuard nicht wie im standard auf 53 sondern unter der TLS Adresse mit 853 erreiche? Wie und wo stelle ich den Unbound auf DoT ein? Aktuell hört der auf 5353, muss der dann nicht auch was anderes haben? Trage ich hier im Custom forwarding etwas ein? Ich verstehe nicht wo und wie ich die Kette in 7 implementieren kann. Close ich Port 53, geht halt nichts mehr - obwohl alle anderen offen sind.
Danke euch für Feedback!
ich habe mal folgende logische Frage zu den im Titel genannten Themen und mal ein wenig nach meinem Verständnis aufbereitet:
1. Client -> Router / FW -> Provider DNS 53 ganz doof
2. Client -> Router / FW-> Andere "public shared" DNS 53 Cloudflare, AdGuard etc.
3. Client -> Router / FW-> AdGuard Home -> "public shared" DNS 53 Cloudflare, AdGuard etc.
4. Client -> Router / FW-> AdGuard Home -> "public shared" DNS tls(853)/https(443) Cloudflare, AdGuard etc.
5. Client -> Router / FW-> Unbound -> "root dns 53"
6. Client -> Router / FW-> Unbound -> "root DNS tls(853)/https(443)"
7. Client -> Router / FW -> AdGuard Home -> Unbound -> "root DNS tls(853)/https(443)" // Was ich will!
Dazu meine Fragen:
5.1. Welche sind das? Hat unbound die integriert? Ist 53 unencrypted richtig? Es werden keine "public DNS a la goggle gefragt"
6.1. Welche sind das? Hat unbound die integriert? Geht das überhaupt?
7.1 Geht das so überhaupt? DoT / DoH im LAN? Macht das überhaupt Sinn? In meinem LAN ist mir das ja im Grunde egal ob normal / DoT / DoH hauptsache das was am Ende von mir raus geht inst dann DoT / DoH
Eigene Implementierung:
Ich arbeite mit einer OPNsense auf der ebenfalls AdGuard Home und Unbound läuft. AdGuard ist auf der LAN IP der opnsense konfiguriert. https, tls ist ebenfalls in den AdGuard Settings aktiv. Unbound läuft nachgeschaltet und wird von AdGuard referenziert als Upstream. Unbound selber habe ich keine Upstreams eingetragen - wo auch? So weit läuft alles. Intern als auch extern wird sauber aufgelöst.
Ziel:
DNS komplett encrypted auf dem wie oben in Punkt 7 skiziert
Aktuelles Problem:
Wo trage ich in der OPNsense ein, dass ich den AdGuard nicht wie im standard auf 53 sondern unter der TLS Adresse mit 853 erreiche? Wie und wo stelle ich den Unbound auf DoT ein? Aktuell hört der auf 5353, muss der dann nicht auch was anderes haben? Trage ich hier im Custom forwarding etwas ein? Ich verstehe nicht wo und wie ich die Kette in 7 implementieren kann. Close ich Port 53, geht halt nichts mehr - obwohl alle anderen offen sind.
Danke euch für Feedback!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4059163530
Url: https://administrator.de/contentid/4059163530
Printed on: April 19, 2024 at 06:04 o'clock
7 Comments
Latest comment
Logisch sind deine Fragen eher weniger. Dir scheint Fachwissen zu fehlen.
Optimal ist, dass alle deine internen Geräte einen internen DNS Anfragen. Z. B. die Sense auf 53. Die Sense kann Forwarder, Server oder auch Filter sein. Auch eine Kombination.
Hier musst Du dich entscheiden.
1. Reicht mir ein Forwarder.
2. Oder muss es ein Server sein.
3. Brauche ich einen Filter, wenn ja, muss der auf dem Gateway sein.
Dann scheinst du einen öffentlichen DNS befragen zu wollen, der sich verschlüsselt erreichen lässt und DNSSEC kann.
Das ist eine weitere Baustelle, die nur bedingt mit deinem Netzwerk zu tun hat.
Dein DNS Forwarder oder Server, sendet (gefilterte) Anfragen nach draußen.
Die kann und sollte man verschlüsseln. Hier kommen in der Regel die genannten Standardports als Zielports in Betracht. Das bedeutet aber auch, dass deine Sense dynamisch einen Port aufmacht, beim Weiterleiten deiner lokal nicht auflösbaren Anfragen.
Außerdem soll dein gewählter DNS Dienst DNSSEC unterstützen. Google, Cloudflare können das. Route53 sicherlich auch.
Optimal ist, dass alle deine internen Geräte einen internen DNS Anfragen. Z. B. die Sense auf 53. Die Sense kann Forwarder, Server oder auch Filter sein. Auch eine Kombination.
Hier musst Du dich entscheiden.
1. Reicht mir ein Forwarder.
2. Oder muss es ein Server sein.
3. Brauche ich einen Filter, wenn ja, muss der auf dem Gateway sein.
Dann scheinst du einen öffentlichen DNS befragen zu wollen, der sich verschlüsselt erreichen lässt und DNSSEC kann.
Das ist eine weitere Baustelle, die nur bedingt mit deinem Netzwerk zu tun hat.
Dein DNS Forwarder oder Server, sendet (gefilterte) Anfragen nach draußen.
Die kann und sollte man verschlüsseln. Hier kommen in der Regel die genannten Standardports als Zielports in Betracht. Das bedeutet aber auch, dass deine Sense dynamisch einen Port aufmacht, beim Weiterleiten deiner lokal nicht auflösbaren Anfragen.
Außerdem soll dein gewählter DNS Dienst DNSSEC unterstützen. Google, Cloudflare können das. Route53 sicherlich auch.
Wie Forwarder bzw. Resolver richtig eingestellt werden beschreibt dieser Thread.
fachwissen fehlt bestimmt, deswegen bin ich ja hier.
Ich versteh es noch nicht ganz. Vom Prinzip leite ich gerade alle DNS ANfragen unverschlüsselt an AdGuard auf Port 53. Was ja soweit gut ist, wenn ich richtig gelesen habe. In AdGuard wird gefilter, dann wird weitergelietet an die Sense auf 5353 Unbound, auch unverschlsselt. So weit noch ok?
Unbound geht doch jetzt direkt, so dachte ich, an die root/main server und nutzt eben kein google, cloudfalre etc. allerdings setze ich dafpr ja kein spezigisches setting. Also gehe ich davon aus, dass vom Unbound aus wenn ncihts konfiguriert wird Unbound ebenfalls unverschlüsselt sendet. Würde ich nun im Unbound einen verschlüsselten cloudfalre nutzen, wäre die anfrage zwar verschlsseült aber landet eben bei cloudflare oder nicht? Kann ich vom Unbound denn die, scheinbar, integrierten root Server auch mit encryption ansprechen?
Ich versteh es noch nicht ganz. Vom Prinzip leite ich gerade alle DNS ANfragen unverschlüsselt an AdGuard auf Port 53. Was ja soweit gut ist, wenn ich richtig gelesen habe. In AdGuard wird gefilter, dann wird weitergelietet an die Sense auf 5353 Unbound, auch unverschlsselt. So weit noch ok?
Unbound geht doch jetzt direkt, so dachte ich, an die root/main server und nutzt eben kein google, cloudfalre etc. allerdings setze ich dafpr ja kein spezigisches setting. Also gehe ich davon aus, dass vom Unbound aus wenn ncihts konfiguriert wird Unbound ebenfalls unverschlüsselt sendet. Würde ich nun im Unbound einen verschlüsselten cloudfalre nutzen, wäre die anfrage zwar verschlsseült aber landet eben bei cloudflare oder nicht? Kann ich vom Unbound denn die, scheinbar, integrierten root Server auch mit encryption ansprechen?
Unbound geht doch jetzt direkt, so dachte ich, an die root/main server
Das ist korrekt wenn man den Unbound nicht entsprechend anpasst wie im Thread oben beschrieben.Würde ich nun im Unbound einen verschlüsselten cloudfalre
DoT oder DoH kann der in der Firewall nicht nur DNSSEC. Dann müsstest du den Adguard direkt einen entsprechenden DoT oder DoH Upstream DNS konfigurieren was ja auch am sinnvollsten wäre.Kann ich vom Unbound denn die, scheinbar, integrierten root Server auch mit encryption ansprechen?
Nein, siehe oben. Wie gesagt Upstream vom AdGuard direkt.
ok, verstehe - danke!
Dann wäre der Unbound raus, muss ich mal schauen wo ich dann meine interne DNS Auflösung mache, sonst wird Unbound ja nicht mehr benötigt.
Dann wäre der Unbound raus, muss ich mal schauen wo ich dann meine interne DNS Auflösung mache, sonst wird Unbound ja nicht mehr benötigt.
Danke für das Feedback. Habe es nun mittels unbound an tls DNS server gelöst.
