6
OPNsense + Adquard Home und DNSSEC
Hallo Community,
ich möchte weiter in das Thema DNSSEC bzw. DNS over TLS und DNS over HTTPS einsteigen.
Zunächst mal, welches ist denn für einen "normalen" usecase am besten geeignet? TLS ist verschlüsselt aber wohl langsamer, HTTPS ebenfalls verschlüsselt und gilt als HTTPS traffic.
Ich habe aktuell auf der OPNsense Adguard als DNS (Port 53) eingesetzt, dazu Unbound (Port 5353). Von der Reihenfolge als Abfrage vom Divice -> Adgurad -> Unbound -> root server. Beim Abschluss direkt mit root server bin ich mir nicht ganz sicher. Wobei als DNS im VLAN nichts weiter eingetragen ist, also sollte das doch das VLAN Gatway 192....1/24 sein, was dann an die OPNSense IP Port 53 leitet, auf dem wie gesagt Adguard hört. Im Unbound habe ich aktuell lediglich DNSSEC support aktiv.
Ich habe aktuell keinen Weg gefunden, wie ich nun DNS over TLS oder HTTPS für Adguard als auch Unbound aktivieren kann. Von der Logig müsste ich doch die "ganze Kette" betrachten, heißt eine aktivierung nur auf Adguard oder Unbound würde mir nichts bringen.
Auf Adguard habe ich die Encryption optins bereits aktiviert. Heißt HTTPS für das Webinterface und Ports für DNS over TLS als auch DNS over QUIC gesetzt. Als Upstream steht 127.0.0.1:5353, also die OPNsense Hardware auf Unbound Port 5353 wie beschrieben. Hier hatte ich testweise mal den 853 drin, dann ging nichts mehr. Laut Adguard examples müsste das ja tcp:ip oder tls:ip lauten
Bootstrap und privete resver servers stehen auch auf der 127.0.0.1
Im Firewalllog sehe ich von einigen Geräten aktuell folge geblockte Eintrage SourceIP -> OPNSenseIP:15442 und Port 853, dass ist doch DNS over HTTP und DND over TLS oder nicht? Warum machen das von Haus nur einige und nicht alle Geräte? Zu mal zumindest der 853 eigentlich für alle Geräte im Netz freigegeben ist.
Ich frage mich auch, ob ein verschlüsseltes DNS in meiner Umgebung überhaupt Sinn macht. Da ich Unbound nutze, gehe ich doch eben keinen Weg über einen vom Provider verpflichtenden oder public DNS Service a la cloudfalre, google, etc. Oder ist das ein Irrtum?
Habt ihr eine gute Quelle oder mir ggf. drei, vier Eckpunkte für die Einrichtung mitgeben?
ich möchte weiter in das Thema DNSSEC bzw. DNS over TLS und DNS over HTTPS einsteigen.
Zunächst mal, welches ist denn für einen "normalen" usecase am besten geeignet? TLS ist verschlüsselt aber wohl langsamer, HTTPS ebenfalls verschlüsselt und gilt als HTTPS traffic.
Ich habe aktuell auf der OPNsense Adguard als DNS (Port 53) eingesetzt, dazu Unbound (Port 5353). Von der Reihenfolge als Abfrage vom Divice -> Adgurad -> Unbound -> root server. Beim Abschluss direkt mit root server bin ich mir nicht ganz sicher. Wobei als DNS im VLAN nichts weiter eingetragen ist, also sollte das doch das VLAN Gatway 192....1/24 sein, was dann an die OPNSense IP Port 53 leitet, auf dem wie gesagt Adguard hört. Im Unbound habe ich aktuell lediglich DNSSEC support aktiv.
Ich habe aktuell keinen Weg gefunden, wie ich nun DNS over TLS oder HTTPS für Adguard als auch Unbound aktivieren kann. Von der Logig müsste ich doch die "ganze Kette" betrachten, heißt eine aktivierung nur auf Adguard oder Unbound würde mir nichts bringen.
Auf Adguard habe ich die Encryption optins bereits aktiviert. Heißt HTTPS für das Webinterface und Ports für DNS over TLS als auch DNS over QUIC gesetzt. Als Upstream steht 127.0.0.1:5353, also die OPNsense Hardware auf Unbound Port 5353 wie beschrieben. Hier hatte ich testweise mal den 853 drin, dann ging nichts mehr. Laut Adguard examples müsste das ja tcp:ip oder tls:ip lauten
Bootstrap und privete resver servers stehen auch auf der 127.0.0.1
Im Firewalllog sehe ich von einigen Geräten aktuell folge geblockte Eintrage SourceIP -> OPNSenseIP:15442 und Port 853, dass ist doch DNS over HTTP und DND over TLS oder nicht? Warum machen das von Haus nur einige und nicht alle Geräte? Zu mal zumindest der 853 eigentlich für alle Geräte im Netz freigegeben ist.
Ich frage mich auch, ob ein verschlüsseltes DNS in meiner Umgebung überhaupt Sinn macht. Da ich Unbound nutze, gehe ich doch eben keinen Weg über einen vom Provider verpflichtenden oder public DNS Service a la cloudfalre, google, etc. Oder ist das ein Irrtum?
Habt ihr eine gute Quelle oder mir ggf. drei, vier Eckpunkte für die Einrichtung mitgeben?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 4022581111
Url: https://administrator.de/contentid/4022581111
Printed on: April 26, 2024 at 10:04 o'clock
6 Comments
Latest comment
Ich habe aktuell keinen Weg gefunden, wie ich nun DNS over TLS oder HTTPS für Adguard
Da hattest du dann beim Adguard wohl 🍅 auf den 👀 denn das hat beides ja von sich aus an Bord und springt einem ja förmlich ins Gesicht beim Setup!
https://www.privacy-handbuch.de/handbuch_93d.htm
Naja die Einstellung habe ich am Anfang wohl gesehen, dann aber erstmal mit 127.0.0.1:5353 überschrieben. WEnn ich hier als Upstream einen aus dem Privacy Handbuch eintrage umgehe ich doch meinen Unbound oder nicht?
Device -> Adguard -> externalDNS
Ich strebe ja nach:
Device -> Adguard -> Unbound -> ...
Device -> Adguard -> externalDNS
Ich strebe ja nach:
Device -> Adguard -> Unbound -> ...
dann aber erstmal mit 127.0.0.1:5353
Macht ja wenig Sinn wenn man aus guten Gründen DoH oder DoT nutzen möchte.umgehe ich doch meinen Unbound oder nicht?
Das ist richtig. Aber welchen tieferen Sinn sollte der dann noch haben wenn du eh Adguard nutzt?!
anbei mal mein setup. Vielleicht komme ich ja selber drauf 
192.168.10.1 - OPNsense gleichzeitig auch host für adguard home
Aus dem AdGuard Setup Guide lese ich gerade, dass Adguard auf alle Gateway IPs meiner VLANs als auch der 10.1 hört. Was ich ebenfalls sehe, dass für https und tls ebenfalls ein eintrag existiert z.B.: tls://adguard.meineinternedomain.home - nie gesehen
Richte ich im VLAN kein DNS Server ein wird über das Gateway zb 192.168.20.1:53 direkt weiter geleitet an 192.168.10.1:53. Hier antwortet, dann also AdGuard da auf 53 konfiguriert. Kann ich statt IP auch den tls Eintrag in OPNsense setzen?? Wie gesagt habe ich als upstream, private, bootstrap immer die 127.0.0.1:5353 im Adguard angegeben, welches ja der Zeiger zum Unbound ist.
Als nächstes ,laut meiner setup logig, wird Unbound gefragt. Der auf der 192.168.10.1:5353 hört. Der macht z.B.: noch interes DNS was ich für meine internen Services benötige.
In den VLANs habe ich Port 53, 5353, 853 per vlan_net auf vlan_address freigeben.
Somit habe ich dann doch den Weg: Device - Gateway - Adguard - Unbound - public (root - keine cloudflare, google, etc.). Anfragen cached der Unbound lokal.
Es scheint so auch alles zu funktionieren, Adguard blockt fleißig alle DNS Anfragen sehe ich auch im Log.
Habe gerade mal ins unbound log geschaut, nachdem ich unter DNS over TLS als override mal die adguard tls url eingetragen habe. Im Log sehe ich nun ständig: [50885:2] notice: ssl handshake failed 192.168.10.1 port 853 kann das ein Hinweise daruaf sein, dass mein self-sign cert nicht korrekt ist? Zumindest sagt mir das AdGuard auch, dass die chain nicht stimmt. wird dann statt 853, die normale 53 genommen? Die Anfragen sehe ich nämlich ohne den override im Firewall log
Nur wo bringe ich jetzt die https und tls addressen an?
192.168.10.1 - OPNsense gleichzeitig auch host für adguard home
Aus dem AdGuard Setup Guide lese ich gerade, dass Adguard auf alle Gateway IPs meiner VLANs als auch der 10.1 hört. Was ich ebenfalls sehe, dass für https und tls ebenfalls ein eintrag existiert z.B.: tls://adguard.meineinternedomain.home - nie gesehen
Richte ich im VLAN kein DNS Server ein wird über das Gateway zb 192.168.20.1:53 direkt weiter geleitet an 192.168.10.1:53. Hier antwortet, dann also AdGuard da auf 53 konfiguriert. Kann ich statt IP auch den tls Eintrag in OPNsense setzen?? Wie gesagt habe ich als upstream, private, bootstrap immer die 127.0.0.1:5353 im Adguard angegeben, welches ja der Zeiger zum Unbound ist.
Als nächstes ,laut meiner setup logig, wird Unbound gefragt. Der auf der 192.168.10.1:5353 hört. Der macht z.B.: noch interes DNS was ich für meine internen Services benötige.
In den VLANs habe ich Port 53, 5353, 853 per vlan_net auf vlan_address freigeben.
Somit habe ich dann doch den Weg: Device - Gateway - Adguard - Unbound - public (root - keine cloudflare, google, etc.). Anfragen cached der Unbound lokal.
Es scheint so auch alles zu funktionieren, Adguard blockt fleißig alle DNS Anfragen sehe ich auch im Log.
Habe gerade mal ins unbound log geschaut, nachdem ich unter DNS over TLS als override mal die adguard tls url eingetragen habe. Im Log sehe ich nun ständig: [50885:2] notice: ssl handshake failed 192.168.10.1 port 853 kann das ein Hinweise daruaf sein, dass mein self-sign cert nicht korrekt ist? Zumindest sagt mir das AdGuard auch, dass die chain nicht stimmt. wird dann statt 853, die normale 53 genommen? Die Anfragen sehe ich nämlich ohne den override im Firewall log
Nur wo bringe ich jetzt die https und tls addressen an?
kann das ein Hinweise daruaf sein, dass mein self-sign cert nicht korrekt ist?
Ja, vermutlich. Fakt ist das dann die TLS Verbindung gar nicht zustande kommt und damit natürlich die DNS Verbindung an sich scheitert.
Also das Problem mit dem invalid cert habe ich gelöst. Steht nun alles auf grün.
Ich verstehe es trotzdem noch noch nicht so ganz.
Wo kann ich denn der OPNsense beibringen Anfragen nicht mehr per 53 an den Adguard sondern per 853 zu stellen? Versuche ich dies in den Unboundsettings unter DNS over TLS trage dort meinen adguard mit ip und CN ein, geht kein Public internet access mehr. Und im Firwall log sehe ich dann nur port 53 geblockt.
Mal Stück für Stück der Reihenach:
1. Adguard läuft auf OPNsense hat eine IP und hört ims tandard auf port 53
2. Ich muss den Adguard nun beibringen über 853 zu empfangen - habe ich getan in den settings Port gestzt, Cert - alles grün
3. OPnsense oder besser allen Geräten sagen, dass DNS nun per TLS an den Adguard per 853 laufen soll - Wo sage ich jetzt wem das nicht Port 53 sondern 853 oder die tls Adresse genutzt wird?
4. Adguard beibringen, dass er Unbound nutzen soll. Getan mittels settings auf 127.0.0.1:5353. So wird dann doch aber die TLS Kette nciht funktionieren. Muss der Unbound nicht auch auf 853 hören um die Anfragen dann an die root Server zu senden? Ist es vielleicht so einfach, dass ich den Port 5353 auf 853 änder? aber das ändert ja nicht direkt eine verschlüsselung.
Ich sehe im Firewall log z.B.: Einträge mit SRC meine oublic IP die zu einer DST auf Port 53 funkt. Daraus lese ich, dass meine DNS ANfragen trotzdem an irgendwelche vom Procider ausgewählten public DNS geschickt werden??
Ich verstehe es trotzdem noch noch nicht so ganz.
Wo kann ich denn der OPNsense beibringen Anfragen nicht mehr per 53 an den Adguard sondern per 853 zu stellen? Versuche ich dies in den Unboundsettings unter DNS over TLS trage dort meinen adguard mit ip und CN ein, geht kein Public internet access mehr. Und im Firwall log sehe ich dann nur port 53 geblockt.
Mal Stück für Stück der Reihenach:
1. Adguard läuft auf OPNsense hat eine IP und hört ims tandard auf port 53
2. Ich muss den Adguard nun beibringen über 853 zu empfangen - habe ich getan in den settings Port gestzt, Cert - alles grün
3. OPnsense oder besser allen Geräten sagen, dass DNS nun per TLS an den Adguard per 853 laufen soll - Wo sage ich jetzt wem das nicht Port 53 sondern 853 oder die tls Adresse genutzt wird?
4. Adguard beibringen, dass er Unbound nutzen soll. Getan mittels settings auf 127.0.0.1:5353. So wird dann doch aber die TLS Kette nciht funktionieren. Muss der Unbound nicht auch auf 853 hören um die Anfragen dann an die root Server zu senden? Ist es vielleicht so einfach, dass ich den Port 5353 auf 853 änder? aber das ändert ja nicht direkt eine verschlüsselung.
Ich sehe im Firewall log z.B.: Einträge mit SRC meine oublic IP die zu einer DST auf Port 53 funkt. Daraus lese ich, dass meine DNS ANfragen trotzdem an irgendwelche vom Procider ausgewählten public DNS geschickt werden??