OPNsense Forum

International Forums => German - Deutsch => Topic started by: Thomas on February 05, 2021, 04:36:43 pm

Title: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: Thomas on February 05, 2021, 04:36:43 pm
Hallo,

wollte mal kurz eine Anleitung über DNS over TLS + DNSSEC schreiben, für die die es auch interessant finden :)

OPNsense 21.1
Internet: Vodafone 1Gbit Kabel (über Bridge)

Anleitung:

1.) Services -> Unbound DNS -> General

2.)
     a) Unbound aktivieren
     b) Listen Port: 53
     c) Network Interfaces: LAN, VLAN, etc. (Schnittstelle auswählen)
     d) DNSSEC aktivieren
     e) Local Zone Type: transparent
-----------------------------------------------------------
     f) Custom Options:
     server:
        tls-cert-bundle: /etc/ssl/cert.pem
-----------------------------------------------------------
     g) Outgoing Network Interfaces: WAN
     h) Speichern klicken

3.) Services -> Unbound DNS -> Miscellaneous

4.) DNS over TLS Servers:
     1.1.1.2@853
     1.0.0.2@853
     2606:4700:4700::1113@853
     2606:4700:4700::1003@853

--> Cloudflare mit Malware Schutz (Cloudflare Family)

5.) "Apply" klicken

6.) Dienst "Unbound DNS" neu starten

Fertig :)

Unter der Adresse: "https://www.cloudflare.com/de-de/ssl/encrypted-sni/" kann man es testen, ob alles funktioniert.

Viel Spaß und Grüße,

Thomas



 
Title: Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: Perun on February 17, 2021, 04:38:06 pm
vielen Dank für die Anleitung!

Ein Problem habe ich noch, die Auflösung von: www.dnssec-failed.org funktioniert nur auf opnsense selbst. Die Domain löst nur auf wenn man DNSSEC benutzt.
Wenn ich auf nem Linux Client via host die Domain auflösen will, funktioniert es nicht obwohl als resolver die opnsense Kiste eingetragen ist... Wieso?
Ich muss doch intern zwischen clients und opnsense kein DNSSEC benutzen oder? Nur wenn's nach "Außen" geht dann soll DNSSEC benutzt werden.
Denke ich irgendwie falsch?
Title: Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: Thomas on February 17, 2021, 07:48:15 pm
Hallo Perun,

die Seite bekomme ich auf dem iPad auch nicht auf. Ich werde es morgen auf meinen PC und MAC testen.

Versuch mal diese Seite:
http://www.dnssec-or-not.com/
https://dnssec.vs.uni-due.de/

Das funktioniert auf dem iPad :)

Der DNSSEC wird über die OPNsense abgewickelt, auf dem Client musst du nichts machen.

Gruß,
Thomas

Title: Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: Perun on February 17, 2021, 07:58:21 pm
Danke für deine schnelle Antwort. Habe erst richtig gelesen dass die http://www.dnssec-failed.org/ eine Fehler ergeben SOLL heheheh Aber nicht desto trotz ich habe immer noch nen "Wurm" drinnen... Die Webseiten die du genannt hast sind auch deutlich besser zum testen :) Danke noch mal!
Title: Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: Perun on February 17, 2021, 07:59:53 pm
bist du sicher das die Einstellung:

 server:
        tls-cert-bundle: /etc/ssl/cert.pem

korrekt ist? Da sind doch die Certs der opnsense drinnen... Sollte sies nicht auf /usr/local/share/certs/ca-root-nss.crt zeigen wo die root CA's drinnen sind?
Title: Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: Thomas on February 17, 2021, 08:25:26 pm
Hi Perun,

ja, die Einstellung ist korrekt. Bei mir funktioniert soweit alles :)

Der globale Standardspeicherort für CAs liegt im Verzeichnis    /etc/ssl/cert.pem

Aber du hast auch Recht, es ist verlinkt mit /usr/local/share/certs/ca-root-nss.crt
Siehe hier: https://forum.opnsense.org/index.php?topic=9197.0

Gruß,
Thomas
Title: Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: Perun on February 19, 2021, 09:07:09 am
Alles hinbekommen! Danke noch mal für deine Anleitung!
Title: Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: Thomas on February 19, 2021, 10:21:00 pm
Kein Problem :)
Title: Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: QP1808 on May 15, 2021, 05:31:13 pm
Auch von mir vielen Dank für deine Anleitung.  :)
Title: Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: Nisch on December 11, 2021, 06:42:23 am
-----------------------------------------------------------
     f) Custom Options:
     server:
        tls-cert-bundle: /etc/ssl/cert.pem
-----------------------------------------------------------

Hi

Bei unbound 1.13.2 ist diese Feld nicht-mehr vorhanden.
Title: Re: Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare
Post by: KHE on December 11, 2021, 04:10:32 pm
Hi,

-----------------------------------------------------------
     f) Custom Options:
     server:
        tls-cert-bundle: /etc/ssl/cert.pem
-----------------------------------------------------------

Hi

Bei unbound 1.13.2 ist diese Feld nicht-mehr vorhanden.

die Custom options könntest du über das Repository von mimugmail (https://www.routerperformance.net/opnsense-repo/) hinzufügen.
Ist aber nicht notwendig, wenn du unter Services: Unbound DNS: DNS over TLS im Feld Hostname (so heißt es in der Tabelle) bzw Verify CN (im Edit Server Menü) den Namen des DoT Servers angibst. Dann wird der Eintrag in die Konfigurationsdatei automatisch hinzugefügt. Jedenfalls ist er bei mir drin ;).

Zum Beispiel
1.1.1.1/1.0.0.1: one.one.one.one oder 1dot1dot1dot1.cloudflare-dns.com
1.1.1.2/1.0.0.2: security.cloudflare-dns.com
1.1.1.3/1.0.0.3: family.cloudflare-dns.com

8.8.8.8/8.8.4.4: dns.google

9.9.9.9/149.112.112.112: dns.quad9.net

Die Namen habe ich auf Wikipedia (https://de.wikipedia.org/wiki/DNS_over_TLS) gefunden.
Die IPv6 Adressen funktionieren genauso.

Gruß
KH