Messages

46

German - Deutsch / Re: Unbound nur auf best. VLANs & redirect DNS für hardcoded devices

« on: February 13, 2023, 12:07:24 pm »

Was man natürlich noch machen kann ist in der server.conf für Unbound hingehen und

Code: [Select]

do-ip6:no einstellen.

47

German - Deutsch / Re: Unbound nur auf best. VLANs & redirect DNS für hardcoded devices

« on: February 13, 2023, 11:58:44 am »

Und selbst wenn - gibst du lieber alle deine Requests an Cloudflare oder Google?

Nein - das will ich mit Sicherheit nicht tun.

Aber worauf ich hinaus wollte ist dann ja mehr oder weniger doch der Fall. Sprich bei dynamischen IPs ist es sicherer keinen lokalen IPv6 Unbound Resolver zu haben, da man damit Daten leakt, welche man bei IPv4 nicht leakt.

48

German - Deutsch / Re: Unbound nur auf best. VLANs & redirect DNS für hardcoded devices

« on: February 13, 2023, 11:45:08 am »

Warum sollte man dem Betreiber eines Resolvers trauen? Diese werden m.E. gezielt zum Datensammeln betrieben. Ich verwende grundsätzlich keine.

Hi. Das ist mir klar und deshalb mag ich auch eigentlich selbst meinen Unbound nutzen (bzw. habe ich es bisher auch so gemacht).

Seit IPv6 ist es aber so, dass quasi die Adresse des lokalen Unbound-Resolvers offen im Netz steht.

Schau mal z.B. auf https://browserleaks.com/dns > dort steht neben der IPv4 (wenn Du eine hast) auch die IPv6 Adresse deines lokalen Unbound-Resolvers.

Und darum geht es mir - Websites loggen das und nutzen das zum Profiling. Die Adresse ist mehr oder weniger statisch (Präfix mag sich mal ändern) der Rest aber nicht.

Ja - bei statischen IPv4 ist es ähnlich / aber nicht bei dynamischen IPv4.
Bei wechselnden IPv6 Präfixen ist es hingegen schon nicht gut, da wie o.a. der Rest der Adresse unique bleibt. > Daraufhin kann man loggen/Profilen etc.

Findest Du das sicher? Das ist das was ich meine.

49

German - Deutsch / Re: Unbound nur auf best. VLANs & redirect DNS für hardcoded devices

« on: February 13, 2023, 11:18:10 am »

Deine Clients fragen deinen lokalen DNS-Server. Der bearbeitet die rekursiven Anfragen selbständig. Dabei wird nirgends die Adresse des anfragenden Clients übertragen. Wozu auch? Dein lokaler DNS-Server ist natürlich sichtbar, normalerweise ist das dann die Adresse der OPNsense.

Danke Dir für das Feedback... Ja ich weiß. Aber im Grunde steht dann ja jetzt die Adresse der OPNsense im Netz und macht mich doch damit identifizierbar. Sprich Browsing-Aktivitäten können so gut geloggt und profiliert werden.
Mit ext. Resolvern wäre das ja dann so nicht der Fall... Oder?

50

German - Deutsch / Re: Unbound nur auf best. VLANs & redirect DNS für hardcoded devices

« on: February 13, 2023, 09:40:06 am »

Einfach für alles den lokalen Unbound eintragen und den ohne Upstream sein rekursives Ding machen lassen. DNS ist dezentral, Leute, man braucht keinen Upstream Server. Weder vom ISP noch von Google/Cloudflare/...

Hi. Hierzu habe ich noch einmal eine Frage, da ich nicht weiß, ob das ganze so "sicher" ist wenn man seinen eigenen Unbound nutzt. Macht man sich da nicht gerade im Bereich von IPv6 identifizierbar?

vgl. https://forum.opnsense.org/index.php?topic=32441.0

Oder habe ich einen Denkfehler?

51

German - Deutsch / Lokaler Unbound DNS resolver und IPv6 - Sicher?

« on: February 12, 2023, 11:47:32 am »

Hi Zusammen,

mal eine theoretische Frage an Euch.

Wenn man einen IPv6 Anschluss hat und die OPNsense samt lokalem Unbound DNS Resolving nutzt welches auf die auth. Resolver direkt zugreift, leakt man dann nicht einen Teil seiner Daten?

Bei div. Testseiten sieht man ja auch schon, dass man quasi seinen eigenen DNS Resolver nutzt mittels seiner (meist dynamischen IPv4) und seiner IPv6. Beim vorderen Part der IPv6 ist das ja meist dynamisch - der hintere Part ist aber dann der Teil der Mac ID des Unbound bzw. letztendlich der hintere Part der gesamten IPv6 - und die ist ja immer gleich.

Kann das auf Websites dann nicht für Tracking genutzt werden?
IPv4 ändert sich ja oft komplett, die IPv6 des eigenen DNS dann ja aber nicht wirklich.

Ich hoffe, das war halbwegs verständlich was ich geschrieben habe?!

52

German - Deutsch / Re: IPv6 - am WAN Interface nur FE80 - aber trotzdem IPv6 Netz?

« on: February 05, 2023, 06:00:59 pm »

Also bei mir ist es total egal, was ich da auswähle. Ob er nur Präfix holen soll, oder nicht.

Habe es jetzt erstmal so gelassen:
Request only an IPv6 prefix ( )
Prefix delegation size (56)
Send IPv6 prefix hint  (x)

Die Ergebnisse sind immer gleich. Immer nur eine FE80: ...

Mit der Regel, dass am WAN ICMP auf IPv6 durch darf, klappt soweit auch alles, bis auf das der Hostname = "none" ist.
Rest ist jetzt grün soweit.

Ich hoffe, ich habe da jetzt nichts falsch gemacht?!

Mit Request only prefix und prefix hint bin ich mir halt einfach unsicher.

53

German - Deutsch / Re: IPv6 - am WAN Interface nur FE80 - aber trotzdem IPv6 Netz?

« on: February 05, 2023, 05:02:14 pm »

Hi.

Ja - das sehe ich ähnlich. Doch wenn man es neu einstellt will man es ja eigentlich "richtig" einstellen. Hilfe seitens Vodafone kann man sich ja abschminken. Da kommt nix. Habe nach diversen Nachfragen erfahren, dass es bei mir ein 56er Präfix sein soll.

Mehr weiß ich nicht.

Entsprechend habe ich es wie im Anhang probiert. Und im LAN dann entspr. mit Track Interface auf der IPv6.

Da ich dann im WAN nur FE80 bekomme habe ich gedacht, ich frage hier einmal nach.

54

German - Deutsch / Re: IPv6 - am WAN Interface nur FE80 - aber trotzdem IPv6 Netz?

« on: February 05, 2023, 04:49:09 pm »

Danke für euer Feedback.

Ich werde es später dann mal so ausprobieren, dass Request only an IPv6 prefix auszuschalten und dann berichten was so passiert.

Dachte eigentlich, dass das an sein muss.

55

German - Deutsch / IPv6 - am WAN Interface nur FE80 - aber trotzdem IPv6 Netz?

« on: February 05, 2023, 07:57:10 am »

Hi Zusammen,

ich habe heute bei mir (Vodafone Kabel Anschluss) einmal WAN IPv6 auf DHCP gestellt und dann nur eine FE80 Adresse auf dem WAN Interface bekommen.

Wenn ich aber dann im jeweiligen LAN auf Track Interface stelle, dann bekomme ich eine IPv6 Adresse und komme damit auch ins Netz über IPv6 (Regeln sind gesetzt).

Die Frage ist nur, warum zeigt er mir dann am WAN Interface nur eine FE80 Adresse an und klappen tut es trotzdem?

56

German - Deutsch / Interface Statistics: Traffic der VLANs über LAN summiert: Fehler, oder richtig?

« on: February 04, 2023, 06:21:08 am »

Hi Zusammen,

ich habe eine Frage, ob das so richtig ist, wie ich bei mir die OPNsense jetzt konfiguriert habe.

Ich habe an meiner OPNsense folgende Ausgangssituation:
- WAN über eth0
- LAN über eth1 (die VLANs Home und IoT-Net gehen über den Port eth1 via Switch raus)
- LAN selbst ist kein Gerät mehr drin > sozusagen das Management VLAN (das Netz der OPNsense)
- TestNet hängt separat an eth3 (und spielt hierbei keine Rolle)

Ist das normal, dass die VLANs Home & IoT dann summiert über das LAN Netz den Traffic rausschieben?


Das LAN Netz ist ja das Standard LAN was nach einer OPNsense Installation neben dem WAN vorhanden ist.
Hier laufen bei mir jetzt nur noch die Switches und Access Points drüber.
Den Rest habe ich wie geschrieben auf die VLANs ausgelagert.

Ist das vorgehen so richtig, oder habe ich an einer Stelle was falsch gemacht?

Weiter steigt der Counter ErrorsOut auch nach einer gewissen Zeit. Wo genau kann ich denn schauen was das ist und woran es liegt.

57

23.1 Legacy Series / Re: The new unbound reporting is pretty cool

« on: February 04, 2023, 06:05:40 am »

Hi,

enclosed a screenshot of my top passed domains from my testing system.

Why do I have so many _dns.resolver.arpa traffic and this other lb._dns-sd.udp.... traffic (the Subnet is one of my main VLANs)?

Am I doing something wrong or is this normal behavior?

58

23.1 Legacy Series / Re: The new unbound reporting is pretty cool

« on: February 03, 2023, 06:01:53 pm »

Is this the patch with also blocking HTTPS requests?

Yes, https://github.com/opnsense/core/commit/e0469001a672cf67cec126b7fe80e20bac6bfea1.

Thx. Can confirm - patch is working.

Another question concerning Unbound:

What did you all choose as ' Local Zone Type'?
Transparent or Static?

And does it make any difference concerning the Unbound reporting?

59

23.1 Legacy Series / Re: The new unbound reporting is pretty cool

« on: February 03, 2023, 01:20:43 pm »

@Fright Can you test with

Code: [Select]

# opnsense-patch e0469001a?

Is this the patch with also blocking HTTPS requests?

60

23.1 Legacy Series / Boot > Log Files > System - Severity empty & Categories not working

« on: February 02, 2023, 05:35:19 am »

Hi,

since the 23.1 update my Logs under Boot > Log Files > System aren't working as they should.

It's only the "Boot" category - others are working as they should.

Within Boot severity column is empty and when I want to change the categories (Warning, Notice, Debug, Error,...) nothing happens.

Can anyone confirm this issue?