Hello,
ich habe soeben meine Opnsense erfolgreich über meine Connectbox und als Bridge einrichten können. Bei der Einrichtung habe ich mich für die DNS Server von Cloudflare (1.1.1.1) und Quad9 (9.9.9.9) entschieden. Ich habe eben einen DNSLeak Test gemacht und mir wird als DNS Server noch immer eine von Vodafone angezeigt.
Könnt ihr mir sagen, wie das passieren kann? Bei der Einrichtung habe ich die Box deaktiviert, die meinen ISP meine DNS Einstellungen überschreiben lässt. Der Leaktest müsste also einen oder beide DNS Server, die ich eingrichtet habe, anzeigen.
Ich nutze DualStack. Mein WAN Interface hat eine IPV6, und eine IPV4 Adresse.
Quote from: August8828 on October 05, 2024, 02:25:58 PM
Bei der Einrichtung habe ich mich für die DNS Server von Cloudflare (1.1.1.1) und Quad9 (9.9.9.9) entschieden.
Die da angegebenen DNS Server werden erstmal nur von der OPNsense selbst genutzt. Deine Geräte könnten aber andere Server abfragen.
Normalerweise sollten sie aber die Interface-IP der OPNsense nützen. Da läuft standardmäßig Unbound. Das wird vom DHCP-Server so vorgegeben. Wenn du die IP-Konfiguration manuell gemacht hast, musst du den DNS Server auch manuell umstellen.
Es empfiehlt sich, eine Port Forwarding Regel für TCP/UDP Zielport 53 einzurichten, die auf localhost umleitet.
Wenn du die in der OPNsense angegebenen Server für alles verwenden möchtest, musst du in Unbound den Forwarding Modus aktivieren.
Hast du dann immer noch einen DNS Leak?
Dann könnte der Provider ebenso ein Umleitung machen und du könntest dir nur mit DNS over TLS Abhilfe verschaffen.
Danke. Habe das jetzt vorerst über die DHCP settings mitgegeben. Funktioniert soweit.
Was hat das mit dem Unbound DNS auf sich? Habe ich noch nicht von gehört. Habe gehört, dass man dies jedenfalls in Kombination mit adblock nutzen kann. Ich glaube aber, ein pihole bringt mehr, oder?
Unbound ist ein DNS Resolver, den OPNsense mitbringt und der standardmäßig läuft und auf allen Interface IPs lauscht. Der DHCP Server auf der OPNsense liefert die jeweilige Interface IP als DNS Server an die Clients.
Das heißt, standardmäßig nutzen interne Geräte Unbound zur Namensauflösung. Und Unbound fragt seinerseits standardmäßig Root-DNS Server ab.
Möchtest du anstatt der Root Server bestimmte verwenden, muss du die Weiterleitung aktivieren.
Services: Unbound DNS: Query Forwarding
Was du aktuell gemacht hast, externe DNS Server den Geräten zuweisen, hat den Nachteil, dass du keine lokalen Überschreibungen verwenden kannst.
QuoteHabe ich noch nicht von gehört. Habe gehört, dass man dies jedenfalls in Kombination mit adblock nutzen kann. Ich glaube aber, ein pihole bringt mehr, oder?
Ist wohl die elegantere Lösung. Aber am Ende arbeitet er mit Filterlisten, die du auch in Adblock verwenden können solltest. Habe aber keine Erfahrung damit.
Die Kombination aus AdGuard Home und Unbound auf der OPNsense bietet eigentlich alles, was PiHole auch kann.
Ah, danke. Gehe ich dann richtig der Annahme, dass dieser dann auch DoH / DoT blocken kann?
Quote from: August8828 on October 06, 2024, 07:45:01 AM
Ah, danke. Gehe ich dann richtig der Annahme, dass dieser dann auch DoH / DoT blocken kann?
nein, die Annahme ist falsch, du kannst aber Regeln erstellen das zb DoH Server(ip's) und Dot Port 853 geblockt werden....
eleganter weise DoH abgelehnt und Port 53 umgeleitet.
hier ein paar Adressen:
https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv4.txt
https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv6.txt
Edit: hatte ich missverstanden.
Die Anfragen umleiten macht Sinn, ein lokaler DoT ist nicht nötig.
Ich leite alle DNS Anfragen an Adguard um, Adguard zum Resolver über DoT zb. tls://9.9.9.10
DoH wird abgelehnt, DoT gesperrt außer AdGuard, so das die Clients "sanft" zum Default/Fallback DNS gezwungen werden.
test:
https://dnsleaktest.org/dns-over-https
sollte leer sein.... also ohne Ausgabe.