OPNsense Forum
International Forums => German - Deutsch => Topic started by: Thomas on February 05, 2021, 04:36:43 pm
-
Hallo,
wollte mal kurz eine Anleitung über DNS over TLS + DNSSEC schreiben, für die die es auch interessant finden :)
OPNsense 21.1
Internet: Vodafone 1Gbit Kabel (über Bridge)
Anleitung:
1.) Services -> Unbound DNS -> General
2.)
a) Unbound aktivieren
b) Listen Port: 53
c) Network Interfaces: LAN, VLAN, etc. (Schnittstelle auswählen)
d) DNSSEC aktivieren
e) Local Zone Type: transparent
-----------------------------------------------------------
f) Custom Options:
server:
tls-cert-bundle: /etc/ssl/cert.pem
-----------------------------------------------------------
g) Outgoing Network Interfaces: WAN
h) Speichern klicken
3.) Services -> Unbound DNS -> Miscellaneous
4.) DNS over TLS Servers:
1.1.1.2@853
1.0.0.2@853
2606:4700:4700::1113@853
2606:4700:4700::1003@853
--> Cloudflare mit Malware Schutz (Cloudflare Family)
5.) "Apply" klicken
6.) Dienst "Unbound DNS" neu starten
Fertig :)
Unter der Adresse: "https://www.cloudflare.com/de-de/ssl/encrypted-sni/" kann man es testen, ob alles funktioniert.
Viel Spaß und Grüße,
Thomas
-
vielen Dank für die Anleitung!
Ein Problem habe ich noch, die Auflösung von: www.dnssec-failed.org funktioniert nur auf opnsense selbst. Die Domain löst nur auf wenn man DNSSEC benutzt.
Wenn ich auf nem Linux Client via host die Domain auflösen will, funktioniert es nicht obwohl als resolver die opnsense Kiste eingetragen ist... Wieso?
Ich muss doch intern zwischen clients und opnsense kein DNSSEC benutzen oder? Nur wenn's nach "Außen" geht dann soll DNSSEC benutzt werden.
Denke ich irgendwie falsch?
-
Hallo Perun,
die Seite bekomme ich auf dem iPad auch nicht auf. Ich werde es morgen auf meinen PC und MAC testen.
Versuch mal diese Seite:
http://www.dnssec-or-not.com/
https://dnssec.vs.uni-due.de/
Das funktioniert auf dem iPad :)
Der DNSSEC wird über die OPNsense abgewickelt, auf dem Client musst du nichts machen.
Gruß,
Thomas
-
Danke für deine schnelle Antwort. Habe erst richtig gelesen dass die http://www.dnssec-failed.org/ eine Fehler ergeben SOLL heheheh Aber nicht desto trotz ich habe immer noch nen "Wurm" drinnen... Die Webseiten die du genannt hast sind auch deutlich besser zum testen :) Danke noch mal!
-
bist du sicher das die Einstellung:
server:
tls-cert-bundle: /etc/ssl/cert.pem
korrekt ist? Da sind doch die Certs der opnsense drinnen... Sollte sies nicht auf /usr/local/share/certs/ca-root-nss.crt zeigen wo die root CA's drinnen sind?
-
Hi Perun,
ja, die Einstellung ist korrekt. Bei mir funktioniert soweit alles :)
Der globale Standardspeicherort für CAs liegt im Verzeichnis /etc/ssl/cert.pem
Aber du hast auch Recht, es ist verlinkt mit /usr/local/share/certs/ca-root-nss.crt
Siehe hier: https://forum.opnsense.org/index.php?topic=9197.0
Gruß,
Thomas
-
Alles hinbekommen! Danke noch mal für deine Anleitung!
-
Kein Problem :)
-
Auch von mir vielen Dank für deine Anleitung. :)
-
-----------------------------------------------------------
f) Custom Options:
server:
tls-cert-bundle: /etc/ssl/cert.pem
-----------------------------------------------------------
Hi
Bei unbound 1.13.2 ist diese Feld nicht-mehr vorhanden.
-
Hi,
-----------------------------------------------------------
f) Custom Options:
server:
tls-cert-bundle: /etc/ssl/cert.pem
-----------------------------------------------------------
Hi
Bei unbound 1.13.2 ist diese Feld nicht-mehr vorhanden.
die Custom options könntest du über das Repository von mimugmail (https://www.routerperformance.net/opnsense-repo/) hinzufügen.
Ist aber nicht notwendig, wenn du unter Services: Unbound DNS: DNS over TLS im Feld Hostname (so heißt es in der Tabelle) bzw Verify CN (im Edit Server Menü) den Namen des DoT Servers angibst. Dann wird der Eintrag in die Konfigurationsdatei automatisch hinzugefügt. Jedenfalls ist er bei mir drin ;).
Zum Beispiel
1.1.1.1/1.0.0.1: one.one.one.one oder 1dot1dot1dot1.cloudflare-dns.com
1.1.1.2/1.0.0.2: security.cloudflare-dns.com
1.1.1.3/1.0.0.3: family.cloudflare-dns.com
8.8.8.8/8.8.4.4: dns.google
9.9.9.9/149.112.112.112: dns.quad9.net
Die Namen habe ich auf Wikipedia (https://de.wikipedia.org/wiki/DNS_over_TLS) gefunden.
Die IPv6 Adressen funktionieren genauso.
Gruß
KH