Unbound DNS oder BIND mit Root-Servers

Started by guest30486, September 27, 2021, 01:36:40 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 27, 2021, 01:36:40 PM
Hallo Community,

bin neu im Universum OPNsense, davor wurde OpenWRT verwendet. Bin kein Fachinformatiker. OPNsense verwende ich auf einem APU4D4 Board.

böse Internet --Glasfaser--> Medienkonverrter v. Anbieter --> FritzBox v. Anbieter (statische Routen) --> OPNsense --> Clients

Habe auf die "Schnelle" (zwei Tage gebraucht), dass ich Internet habe, eingerichtet. Jetzt fehlen noch Feineinstellungen. Dafür brauche ich eure Hilfe.
Momentane DNS Konfiguration sieht folgendes aus:

* Unbound DNS aktiv
    * DNS over TLS (dnsforge.de, digitalcourage.de und dismail.de)
* AdGuard Home Plugin filtert verkehr

AdGuard Home - weil ich den Clients verschiedene Filter zuweisen will. Bei meiner Freundin sollen Facebook, Insta und Co. nicht geblockt werden. Später dann Kinderregeln.

Ich möchte gerne Unbound anders einstellen. Dafür habe ich eine schöne aktuelle Anleitung https://forum.kuketz-blog.de/viewtopic.php?p=85244#p85244 gefunden. Die Anleitung ist aber für PiHole. Jetzt weiss ich nicht, ob es auch in OPNsense funktioniert und wo was ich eintragen soll. Oder funktioniert es mit BIND?
September 28, 2021, 06:40:22 PM #1
Hi,

warum möchtest du dann Unbound anders einstellen wenn du doch extra zum Filtern AdGuard Home nutzt - was ja ungefähr wie der PiHole funktioniert?

Ein paar Unbound Einstellungen in der UI machen und gut, mehr sehe ich da nicht wirklich notwendig. Zumal sich dein Unbound + DoT eh schon beißt, denn Kuketz baut den Unbound mit Resolving Mode via ROOT Servern, du machst simples Forwarding von allem zu DNS Servern die du eingestellt hast. Somit lassen sich seine Settings eh nicht einfach auf dich anwenden.

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 29, 2021, 08:23:00 AM #2
Danke für die Antwort.
wie gesagt, ich wollte auf die "schnelle" erst mal was einstellen damit ich Internet habe. Das was ich gefunden, kannte und verstanden habe, konnte ich machen. Habe sogar das Buch "Der OPNsense-Praktiker: Enterprise-Firewalls mit Open Source" durchgelesen. Da steht leider über DNS nicht viel.
Vielleicht habe ich Gedankenfehler und das macht gar kein Sinn wie ich mir das vorstelle, auch von der Performance her.
Meine Vorstellung:

  • Unbound (als Hauptauflöser?) mit Resolving Mode via ROOT Servern (wusste davor nicht wie das heißt) laufen, wenn das mit OPNSense funktioniert. Dann bin ich von den zwischen Servern nicht abhängig. Oder verstehe ich das falsch? DoT wird dann natürlich gelöscht.
  • Allgemein Tracking Filter in OPNSense für alle Geräte. Da weiß ich noch nicht obs über Unbound oder BIND oder sonst etwas in der Sense gibt.
  • AdGuard macht dann nur Geräte spezifische Filterung. Kann die Sense vielleicht das auch?
  • danach wollte ich noch IDS, MGMNT-Interface, Benachrichtigungen, automatische Herunterfahren per Zeitschaltuhr usw. einrichten, aber das gehört jetzt nicht zu der Thema.
September 29, 2021, 03:25:46 PM #3
Quote from: Lignumium on September 29, 2021, 08:23:00 AM
Danke für die Antwort.
wie gesagt, ich wollte auf die "schnelle" erst mal was einstellen damit ich Internet habe. Das was ich gefunden, kannte und verstanden habe, konnte ich machen. Habe sogar das Buch "Der OPNsense-Praktiker: Enterprise-Firewalls mit Open Source" durchgelesen. Da steht leider über DNS nicht viel.
Vielleicht habe ich Gedankenfehler und das macht gar kein Sinn wie ich mir das vorstelle, auch von der Performance her.
Meine Vorstellung:

  • Unbound (als Hauptauflöser?) mit Resolving Mode via ROOT Servern (wusste davor nicht wie das heißt) laufen, wenn das mit OPNSense funktioniert. Dann bin ich von den zwischen Servern nicht abhängig. Oder verstehe ich das falsch? DoT wird dann natürlich gelöscht.
  • Allgemein Tracking Filter in OPNSense für alle Geräte. Da weiß ich noch nicht obs über Unbound oder BIND oder sonst etwas in der Sense gibt.
  • AdGuard macht dann nur Geräte spezifische Filterung. Kann die Sense vielleicht das auch?
  • danach wollte ich noch IDS, MGMNT-Interface, Benachrichtigungen, automatische Herunterfahren per Zeitschaltuhr usw. einrichten, aber das gehört jetzt nicht zu der Thema.

1) Unbound als Resolver tut genau schon das: Auflösung (Resolving) über die Root Server. Da muss nichts angepasst oder konfiguriert werden, das ist schon konfiguriert. Dass ein Blog da noch Dutzende Zeilen Code reinballert wenn er gerade den Unbound neu installiert hat, ist nicht so unverständlich ;) aber du hast hier keinen Service nackt neu installiert, sondern ne Firewall die dafür schon konfiguriert wurde :)
Sobald du DoT machst, machst du auch Forwarding. Dann läuft nichts mehr über ROOT-Server, sondern alles zentral über die 2-3 Kisten die du definierst. Wenn da was nicht mehr geht, ist dein DNS komplett down - nur als Beispiel.
Bei ordentlichem Resolver (und sofern man nicht irgendwie geblockt wurde) läuft aber die Auflösung das erste Mal immer via ROOTs, dann die TLD DNSe hoch bis zur SOA der entsprechenden DNS Zone. Also "wer ist ROOT", dann den fragen "wer ist .de?", dann die DNSe der TLD .de fragen "wer ist denn test.de?" -> DNS Server von test.de bekommen und dort die Auflösung anfordern.
Klar, das sind mehr Steps als einfach die Antwort weiterzugeben, der DNS dort muss das aber auch tun (und ist oft nur deshalb schneller, weil andere das schon gefragt haben und die Antwort gecached wurde). Und nach dem ersten Hit wirds eh gecached, danach ist Geschwindigkeit nebensächlich :)

2) Warum machst du Tracking Filter und sonstiges DNS Blocking nicht direkt in AdGuard?

3) Was soll die Sense tun? AdGuard macht DNS Filtering - und kann dabei von Netzen über Gruppen bis einzelne Geräte konfigurieren. Warum dann noch an anderer Stelle im DNS herumbasteln statt das alles an einer zentralen Stelle ordentlich zu verwalten? Soweit ich AdGuard Home noch im Kopf habe, kann man da doch problemlos auch ganze Netze oder Netzsegmente einstellen statt alles einzeln, sollte doch damit alles einfach zu handhaben sein, was man nicht auflösen lassen will?

4) IDS naja. Aber automatisches Herunterfahren? Der Firewall?! Huh?

Cheers
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
September 29, 2021, 03:57:50 PM #4

  • Danke für die Erklärung
  • Gute Frage. Ich dachte - von der Performance besser, wenn es direkt von der Sense geblockt wird
  • gleich wie zweite Punkt.
  • Wieso IDS naja?
    automatisches Herunterfahren - ja, ich wollte die Kiste und den Router über Nachts herunterfahren und morgens dann per Zeitschaltuhr wieder hochfahren. Hab keinen Server oder etwas was ständig Internetverbindung braucht. Hatte mit OpenWRT auch so gemacht, nur hart aus ohne herunterfahren. Mit Sense würde ich lieber Cron Job dafür erstellen, wenn das geht.
Print
Go Up Pages1
User actions