netzer2021
Goto Top

OPNsense + Adquard Home und DNSSEC

Hallo Community,

ich möchte weiter in das Thema DNSSEC bzw. DNS over TLS und DNS over HTTPS einsteigen.

Zunächst mal, welches ist denn für einen "normalen" usecase am besten geeignet? TLS ist verschlüsselt aber wohl langsamer, HTTPS ebenfalls verschlüsselt und gilt als HTTPS traffic.

Ich habe aktuell auf der OPNsense Adguard als DNS (Port 53) eingesetzt, dazu Unbound (Port 5353). Von der Reihenfolge als Abfrage vom Divice -> Adgurad -> Unbound -> root server. Beim Abschluss direkt mit root server bin ich mir nicht ganz sicher. Wobei als DNS im VLAN nichts weiter eingetragen ist, also sollte das doch das VLAN Gatway 192....1/24 sein, was dann an die OPNSense IP Port 53 leitet, auf dem wie gesagt Adguard hört. Im Unbound habe ich aktuell lediglich DNSSEC support aktiv.

Ich habe aktuell keinen Weg gefunden, wie ich nun DNS over TLS oder HTTPS für Adguard als auch Unbound aktivieren kann. Von der Logig müsste ich doch die "ganze Kette" betrachten, heißt eine aktivierung nur auf Adguard oder Unbound würde mir nichts bringen.

Auf Adguard habe ich die Encryption optins bereits aktiviert. Heißt HTTPS für das Webinterface und Ports für DNS over TLS als auch DNS over QUIC gesetzt. Als Upstream steht 127.0.0.1:5353, also die OPNsense Hardware auf Unbound Port 5353 wie beschrieben. Hier hatte ich testweise mal den 853 drin, dann ging nichts mehr. Laut Adguard examples müsste das ja tcp://ip oder tls://ip lauten
Bootstrap und privete resver servers stehen auch auf der 127.0.0.1
Im Firewalllog sehe ich von einigen Geräten aktuell folge geblockte Eintrage SourceIP -> OPNSenseIP:15442 und Port 853, dass ist doch DNS over HTTP und DND over TLS oder nicht? Warum machen das von Haus nur einige und nicht alle Geräte? Zu mal zumindest der 853 eigentlich für alle Geräte im Netz freigegeben ist.

Ich frage mich auch, ob ein verschlüsseltes DNS in meiner Umgebung überhaupt Sinn macht. Da ich Unbound nutze, gehe ich doch eben keinen Weg über einen vom Provider verpflichtenden oder public DNS Service a la cloudfalre, google, etc. Oder ist das ein Irrtum?

Habt ihr eine gute Quelle oder mir ggf. drei, vier Eckpunkte für die Einrichtung mitgeben?

Content-Key: 4022581111

Url: https://administrator.de/contentid/4022581111

Ausgedruckt am: 24.09.2022 um 17:09 Uhr

Mitglied: aqui
aqui 22.09.2022 um 18:54:59 Uhr
Goto Top
Ich habe aktuell keinen Weg gefunden, wie ich nun DNS over TLS oder HTTPS für Adguard
Da hattest du dann beim Adguard wohl 🍅 auf den 👀 denn das hat beides ja von sich aus an Bord und springt einem ja förmlich ins Gesicht beim Setup!
adg
Vertrauenswürdige DNS Server in der EU findet man, wie immer, hier:
https://www.privacy-handbuch.de/handbuch_93d.htm
Mitglied: netzer2021
netzer2021 22.09.2022 um 19:03:11 Uhr
Goto Top
Naja die Einstellung habe ich am Anfang wohl gesehen, dann aber erstmal mit 127.0.0.1:5353 überschrieben. WEnn ich hier als Upstream einen aus dem Privacy Handbuch eintrage umgehe ich doch meinen Unbound oder nicht?

Device -> Adguard -> externalDNS

Ich strebe ja nach:
Device -> Adguard -> Unbound -> ...
Mitglied: aqui
aqui 22.09.2022 um 19:13:33 Uhr
Goto Top
dann aber erstmal mit 127.0.0.1:5353
Macht ja wenig Sinn wenn man aus guten Gründen DoH oder DoT nutzen möchte.
umgehe ich doch meinen Unbound oder nicht?
Das ist richtig. Aber welchen tieferen Sinn sollte der dann noch haben wenn du eh Adguard nutzt?!
Mitglied: netzer2021
netzer2021 22.09.2022 aktualisiert um 22:32:09 Uhr
Goto Top
anbei mal mein setup. Vielleicht komme ich ja selber drauf face-smile

192.168.10.1 - OPNsense gleichzeitig auch host für adguard home

Aus dem AdGuard Setup Guide lese ich gerade, dass Adguard auf alle Gateway IPs meiner VLANs als auch der 10.1 hört. Was ich ebenfalls sehe, dass für https und tls ebenfalls ein eintrag existiert z.B.: tls://adguard.meineinternedomain.home - nie gesehen face-smile

Richte ich im VLAN kein DNS Server ein wird über das Gateway zb 192.168.20.1:53 direkt weiter geleitet an 192.168.10.1:53. Hier antwortet, dann also AdGuard da auf 53 konfiguriert. Kann ich statt IP auch den tls Eintrag in OPNsense setzen?? Wie gesagt habe ich als upstream, private, bootstrap immer die 127.0.0.1:5353 im Adguard angegeben, welches ja der Zeiger zum Unbound ist.

Als nächstes ,laut meiner setup logig, wird Unbound gefragt. Der auf der 192.168.10.1:5353 hört. Der macht z.B.: noch interes DNS was ich für meine internen Services benötige.

In den VLANs habe ich Port 53, 5353, 853 per vlan_net auf vlan_address freigeben.

Somit habe ich dann doch den Weg: Device - Gateway - Adguard - Unbound - public (root - keine cloudflare, google, etc.). Anfragen cached der Unbound lokal.

Es scheint so auch alles zu funktionieren, Adguard blockt fleißig alle DNS Anfragen sehe ich auch im Log.



Habe gerade mal ins unbound log geschaut, nachdem ich unter DNS over TLS als override mal die adguard tls url eingetragen habe. Im Log sehe ich nun ständig: [50885:2] notice: ssl handshake failed 192.168.10.1 port 853 kann das ein Hinweise daruaf sein, dass mein self-sign cert nicht korrekt ist? Zumindest sagt mir das AdGuard auch, dass die chain nicht stimmt. wird dann statt 853, die normale 53 genommen? Die Anfragen sehe ich nämlich ohne den override im Firewall log
Nur wo bringe ich jetzt die https und tls addressen an?
Mitglied: aqui
aqui 23.09.2022 um 11:33:35 Uhr
Goto Top
kann das ein Hinweise daruaf sein, dass mein self-sign cert nicht korrekt ist?
Ja, vermutlich. Fakt ist das dann die TLS Verbindung gar nicht zustande kommt und damit natürlich die DNS Verbindung an sich scheitert.
Mitglied: netzer2021
netzer2021 23.09.2022 um 14:29:24 Uhr
Goto Top
Also das Problem mit dem invalid cert habe ich gelöst. Steht nun alles auf grün.

Ich verstehe es trotzdem noch noch nicht so ganz.

Wo kann ich denn der OPNsense beibringen Anfragen nicht mehr per 53 an den Adguard sondern per 853 zu stellen? Versuche ich dies in den Unboundsettings unter DNS over TLS trage dort meinen adguard mit ip und CN ein, geht kein Public internet access mehr. Und im Firwall log sehe ich dann nur port 53 geblockt.

Mal Stück für Stück der Reihenach:
1. Adguard läuft auf OPNsense hat eine IP und hört ims tandard auf port 53
2. Ich muss den Adguard nun beibringen über 853 zu empfangen - habe ich getan in den settings Port gestzt, Cert - alles grün
3. OPnsense oder besser allen Geräten sagen, dass DNS nun per TLS an den Adguard per 853 laufen soll - Wo sage ich jetzt wem das nicht Port 53 sondern 853 oder die tls Adresse genutzt wird?
4. Adguard beibringen, dass er Unbound nutzen soll. Getan mittels settings auf 127.0.0.1:5353. So wird dann doch aber die TLS Kette nciht funktionieren. Muss der Unbound nicht auch auf 853 hören um die Anfragen dann an die root Server zu senden? Ist es vielleicht so einfach, dass ich den Port 5353 auf 853 änder? aber das ändert ja nicht direkt eine verschlüsselung.

Ich sehe im Firewall log z.B.: Einträge mit SRC meine oublic IP die zu einer DST auf Port 53 funkt. Daraus lese ich, dass meine DNS ANfragen trotzdem an irgendwelche vom Procider ausgewählten public DNS geschickt werden?? ace-sad"