netzer2021
Goto Top

Unbound - AdGuard - DoT - Client Namenauflösung

Hallo Community,

eine kurze Frage zur Config einer DNS Strecke. Aktuell verwende ich (auch Dank euerer Hilfe) folgendes Szenario:

  • Client fragt OPNsense - Unbound
  • Ubound gibt antwort für interne Domain
  • Externe Domain geht per DoT an AdGuard (auf OPNsense)
  • AdGuard geht dann per DoT an unterschiedliche Anbieter

Mein Ziel war es interne Anfragen nicht über den AdGuard zu spielen sondern direkt von der Sense bzw. Unbound beantworten zu lassen. Nun stehe ich aber vor der Herausforund, dass beim AdGuard natürlich nur Anfragen von einer IP bzw. Host nämlich der OPNsense landen. Gibt es eine Einstellung mit der ich die originale IP Addresse des Clients durchreichen / auslesen kann um auch in AdGuard eine Auswertung auf CLientebene auszuführen? Bisher hatte och mit den reverse resolver settings in AdGuard keinen Erfolg.

Danke euch!

Content-Key: 6026728136

Url: https://administrator.de/contentid/6026728136

Printed on: May 19, 2024 at 05:05 o'clock

Member: Dani
Dani Feb 18, 2023 updated at 14:43:39 (UTC)
Goto Top
Moin,
Nun stehe ich aber vor der Herausforund, dass beim AdGuard natürlich nur Anfragen von einer IP bzw. Host nämlich der OPNsense landen.
das das Standverhalten, wenn alle Beteiligten die RFCs einhalten. Damit AdGuard die IP-Adressen deiner Clients sehen, muss Unbound DNS die Option EDNS Client Subnetz (ECS) unterstützen. Ob dem so ist, muss du prüfen.


Gruß,
Dani
Member: Visucius
Visucius Feb 18, 2023 at 09:04:59 (UTC)
Goto Top
Darf man fragen, wofür so ein gestaffeltes Setup gut sein soll?
Member: netzer2021
netzer2021 Feb 18, 2023 at 14:41:55 (UTC)
Goto Top
wie genau habe ich den Satz zu verstehen: Unbound DNS die Option EDNS Client Subnetz (ECS) unterstützen?
Habe noch nichts finden können was mir sagt, wie ich das in OPNsense direkt oder ggf. auch direkt per terminal in unbound aktivieren kann. Unbound scheint es aber zu unterstützen.

Die Idee für dieses Setup kam einfacher daher, dass ich der Meinung bin, dass ich es gut finde, wenn ich alle meinen privaten internen Anfragen an meine internen Services auch in meinem Netz behalte. Bei der vorherigen Config war ich mir da nicht so sicher. Zu mal die auch eigentlich etwas blöd war.
Der Weg war Client -> Unbound -> AdGuard -> Unbound für DoT -> www

Also im Grunde von AdGuard wieder zurück.
Member: Visucius
Visucius Feb 18, 2023 updated at 16:17:42 (UTC)
Goto Top
Die Idee für dieses Setup kam einfacher daher, dass ich der Meinung bin, dass ich es gut finde, wenn ich alle meinen privaten internen Anfragen an meine internen Services auch in meinem Netz behalte.
Hm, mal davon abgesehen, dass die Privatssphäre ja Sinn und Zweck eines (lokalen) Adguard-Servers wäre, verstehe ich den Hype darum nicht so richtig. Die 2-3 lokalen IP-Adresse kann man doch auch direkt eingeben, dann umgeht man das DNS-Thema komplett?!

Grunddevise sollte doch sein "so kompliziert wie nötig" ... nicht "so kompliziert wie möglich"! Alleine schon wegen der Latenzen.

Üblich wäre doch daher beim Einsatz vom adguard, diesen einfach in der OPNsense unter "Services > DHCP4 > entspr. Interface > als DNS-Server zu hinterlegen?! Oder verstehe ich das falsch?!

Dann läuft natürlich alles über den adguard und Du bekommst die Clients aufgeschlüsselt.

Oder Du siehst Dir mal genauer den Unbound an. Der hat ja selber schon Filterlisten zum anklicken. Ich habe mir zusätzlich Aliase mit den "üblichen" Adguard-Default, -DNS, OISD, DanPollocks, FireHOL 2,3, Peter Lowe, Spamhaus drop, -edrop, -v6drop, Steven Black usw. erstellt und die einfach auf der Firewall geblockt.
Was Du da aber vermutlich nicht so schön machen kannst, ist es die Clients ggfs. freizugeben.
Member: netzer2021
netzer2021 Feb 18, 2023 at 19:32:10 (UTC)
Goto Top
Im Grunde gebe ich dir da Recht so ist auch mein Verständnis. Dennoch möchte ich AdGuard lediglich als DNS Blocker und naja jetzt auch als letzten internen Punkt zum bösen Internet nutzen.

Mit den Rules ist ein Interessanter Ansatz. Da nutze ich zur Zeit Spamhaus und Geoblocking Listen.
Member: Visucius
Visucius Feb 18, 2023 updated at 20:36:25 (UTC)
Goto Top
Da nutze ich zur Zeit Spamhaus und Geoblocking Listen.
Genau, die laufen bei mir auch und ich bin hier noch über Firehol gestolpert und habe in dem Kontext noch einiges in Aliasen zusammengefasst.
https://forum.opnsense.org/index.php?topic=17596.msg79920#msg79920
Member: Dani
Dani Feb 19, 2023 at 09:38:03 (UTC)
Goto Top
Moin all.

@netzer2021
wie genau habe ich den Satz zu verstehen: Unbound DNS die Option EDNS Client Subnetz (ECS) unterstützen?
Es ist eine Konfiguration für den Unbound DNS. Unbound with ECS and DNSSEC. Ob dieses Flag bei der Implementierung von OPNsense gesetzt ist, weiß ich ad-hoc nicht und kann gerade auch nicht nachsehen.

Der Weg war Client -> Unbound -> AdGuard -> Unbound für DoT -> www
Warum zwei Mal Unbound? AdGuard kann doch DoH/DoT. Spar die Ehrenrunde...

Die Idee für dieses Setup kam einfacher daher, dass ich der Meinung bin, dass ich es gut finde, wenn ich alle meinen privaten internen Anfragen an meine internen Services auch in meinem Netz behalte.
Option B ist AdGuard (redundant) ins Internet zu stellen. Anfragen stellt die OPNsense über DoH. Das hat den großen Vorteil, dass die AdGuard App auf den mobilen Geräten auch außerhalb der bekannten WLANs funktionieren und uns weiterhin schützen. Wobei es für uns nicht relevant ist, welche IP-Adresse welche Seiten aufgerufen hat.

@Visucius
Die 2-3 lokalen IP-Adresse kann man doch auch direkt eingeben, dann umgeht man das DNS-Thema komplett?!
Das hängt davon ab, was man für Endgeräte hat und wie bequem es sein soll. auf einem iPad tue mich mir schwer mit der HOSTS-Datei.


Gruß,
Dani