Messages

Hallo,

ich würde meine Opnsense gerne so von den Policies anpassen, dass mein DoT DNS Server genutzt wird, den ich unter Unbound konfiguriert habe. Leider können meine Clients kein DNS auflösen, wenn ich die Regel wie folgt konfiguriere:

Wieso wird mein DNS Traffic geblockt, wenn ich oben eine Regel habe, die 853 erlaubt und darunter 53 blockiert? Wenn ich oben die 53 erlaube funktioniert es. Das ergibt für mich wenig Sinn.

Danke dafür. Gibt es ansonsten Alternativen um Websites oder Kategorien effektiv zu blockieren? Falls nicht, werde ich wohl bei Zenarmor bleiben.

Hallo,

ich möchte meine Zenarmor ggf. langfristig ablösen und nur die Opnsense ohne weitere, zusätzliche Kosten betreiben.

Mein Ziel ist folgendes: Ich möchte Websites einfach blockieren und freigeben können. Bei der Zenarmor kann ich nach URL Kategorien filtern und diese manuell erlauben oder verbieten. Gibt es so eine Möglichkeit auch bei der Opnsense? Ich könnte auch mit FQDNs und Firewall rules arbeiten, aber ich denke das lässt sich zu einfach bypassen und ich weiß nicht, wie oft die Opnsense ein DNS Lookup zu der Domain macht und die Policy matcht (andere IP der Website aufgrund Load-Balancer z. B.)

Könnt ihr mir was empfehlen?

Hallo,

ich habe mein Netzwerk erfolgreich auf Layer 2 und 3 segmentiert. Alle Geräte funktionieren soweit, nur meine Magenta TV Box nicht. Ich nutze bei unbound DOT, blocke aber gleichzeitig über Zenarmor DOT und DOH über das Netz. Zusätzlich habe ich ein Redirect eingerichtet, der alle DNS Anfragen über meine Firewall leiten soll.

Kann es sein, dass Zenarmor ebenfalls die Redirect / lokalen DNS Anfragen blockiert?

Anbei ein Auszug meiner Zenarmor. Manchmal nutzt die Magenta Box auch via DOT.

Gibt es eine Möglichkeit das zu lösen ohne den Block via DOT/H zu deaktivieren?

How do I redirect ipv6 dns queries? Redirecting it to ::1?

Would it also be advised to create a blockrule for port 53 dns when using dot or is enabling the redirect rule enough?

Hey all,

been playing around with my paid subscription and with some blocklists.

I enabled blocking DoT on my profile but unfortunately that does not seem to work. I use unbound as my dns resolver and set up quad 9 with ipv6 and ipv4 over port 853.

As you can see in my screenshot, I blocked DoT. Funny thing is, that I can't access websites who offer DoT so they get blocked succesfully. Unfortunately I can still browse the internet. I shouldn't because I set this to block.

Do you guys have an idea what that is? Using an iPhone plus browsing the internet with my Linux machine.

Is it because of ipv6?

Checking the live logs it shows that the connection is blocked. I can still browse.

Guten Morgen,

gibt es eine Möglichkeit um zu sehen, dass ein Cronjob durchgeführt wurde? Ich nutze unbound dnsbl Listen, die ich selbst ausgewählt habe und würde gerne prüfen, ob der Cronjob das Update ordentlich durchgeführt hat. Ich weiß nicht, in welches Log ich dafür gucken muss.

Grüße

Hey all,

been playing around with Unbound DNS blocklists and I wonder which format to chose.

Using this site: https://github.com/hagezi/dns-blocklists

Got like a "RPZ" format which says I can use it with Unbound but also there's a Wildcard
Asterisk list which says I can use it with Opnsense. Now I don't know which the correct format is when using the "URLs of Blocklists" format. Can anybody enlighten me?

Kann mir jemand erklären, wieso das der Fall ist? Ich habe Private Relay _nicht_ aktiviert. Wenn ich einen anderen Browser wie Chrome nutze, habe ich das Problem auf dem iPhone nicht und die Website laden schnell und ohne großes Delay.

Wenn du Private Browsing in iOS/iPadOS verwendest, dann wird das iCloud Privat Relay verwendet, auch wenn du nicht iCloud Privat Relay aktiviert hast.

Eine Möglichkeit, iCloud Privat Relay komplett zu deaktivieren, ist deinen DNS-Server so einzurichten, dass für mask.icloud.com und mask-h2.icloud.com NXDOMAIN zurückgegeben werden.
Nur so als Beispiel: in Adguard Home kann man es unter Blocked Services ausschalten.
Vorher hatte ich es mit einer Filter-Regel in Adguard Home deaktiviert. Wie man das mit unbound umsetzen kann, weiß ich leider nicht. Müsste aber auch gehen. Eventuell kann man ja 0.0.0.0 bzw. ::0 als Adresse zurückgeben ...

Die Info gibt es unter anderem auf: https://developer.apple.com/icloud/prepare-your-network-for-icloud-private-relay/

Gruß
KH

Danke. Ich muss noch einmal nachfragen. Wenn ich Safari auf IOS benutze, triggern manche Filterregeln nicht, weil Safari die anscheinend umgeht. Ob ich das im private Tab mache oder nicht ist egal.

Wie kann ich das ändern? Ich würde gerne, dass alles, auch vom iPhone gefiltert wird. Ich nutze Adguard Home und DNSleaktest erkennt meine DNS Server. Ich habe private Relay in der iCloud nicht aktiviert.

Private Browsing wurde nicht genutzt. Konnte das Problem beheben, indem ich in den WIFI Einstellungen "Tracking-der-IP-Adresse-beschränken" deaktiviert habe.

Thanks. I had to disable "ip address tracking" in the wifi settings. I wonder why that even uses icloud private relay even when it's disabled in general...

Hallo,

aktuell habe ich Probleme bei einer Policy, die ich bei Zenarmor erstellt habe. Ich habe für meine Gäste Applications und Webfilter für Proxies gesetzt, sodass diese nicht einfach meine Security bypassen können. Jetzt ist es so, dass das Browsing über den Safari Browser auf dem iPhone total langsam ist. Wenn ich in die Live Sessions auf der Zenarmor nachsehe, sehe ich, dass das "iCloud Private Relay" erkannt wird und geblockt wird. Es wird ständig "mask-h2.icloud.com" aufgerufen.

Kann mir jemand erklären, wieso das der Fall ist? Ich habe Private Relay _nicht_ aktiviert. Wenn ich einen anderen Browser wie Chrome nutze, habe ich das Problem auf dem iPhone nicht und die Website laden schnell und ohne großes Delay.

Hey guys,

I've got a problem and I do not know how to fix it. I'm currently testing a guest wifi profile which blocks sexual content, proxies and other sort of stuff I do not want my guests to use / browse.

Unfortunately my browsing experience in Safari is hell slow. I checked the live sessions and the live sessions show me that my device is using private relay / proxy even though the setting is disabled (mask-h2.icloud.com).

Is there a setting which I forgot to deactivate on my iPone?

Do you guys use the unbound dns as well besides the Adguard homes one? If so: Why?