Kurzanleitung: Unbound DNS - DNS over TLS und DNSSEC über Cloudflare

Started by Thomas, February 05, 2021, 04:36:43 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
February 05, 2021, 04:36:43 PM Last Edit: February 05, 2021, 04:39:50 PM by Thomas
Hallo,

wollte mal kurz eine Anleitung über DNS over TLS + DNSSEC schreiben, für die die es auch interessant finden :)

OPNsense 21.1
Internet: Vodafone 1Gbit Kabel (über Bridge)

Anleitung:

1.) Services -> Unbound DNS -> General

2.)
     a) Unbound aktivieren
     b) Listen Port: 53
     c) Network Interfaces: LAN, VLAN, etc. (Schnittstelle auswählen)
     d) DNSSEC aktivieren
     e) Local Zone Type: transparent
-----------------------------------------------------------
     f) Custom Options:
     server:
        tls-cert-bundle: /etc/ssl/cert.pem
-----------------------------------------------------------
     g) Outgoing Network Interfaces: WAN
     h) Speichern klicken

3.) Services -> Unbound DNS -> Miscellaneous

4.) DNS over TLS Servers:
     1.1.1.2@853
     1.0.0.2@853
     2606:4700:4700::1113@853
     2606:4700:4700::1003@853

--> Cloudflare mit Malware Schutz (Cloudflare Family)

5.) "Apply" klicken

6.) Dienst "Unbound DNS" neu starten

Fertig :)

Unter der Adresse: "https://www.cloudflare.com/de-de/ssl/encrypted-sni/" kann man es testen, ob alles funktioniert.

Viel Spaß und Grüße,

Thomas



February 17, 2021, 04:38:06 PM #1
vielen Dank für die Anleitung!

Ein Problem habe ich noch, die Auflösung von: www.dnssec-failed.org funktioniert nur auf opnsense selbst. Die Domain löst nur auf wenn man DNSSEC benutzt.
Wenn ich auf nem Linux Client via host die Domain auflösen will, funktioniert es nicht obwohl als resolver die opnsense Kiste eingetragen ist... Wieso?
Ich muss doch intern zwischen clients und opnsense kein DNSSEC benutzen oder? Nur wenn's nach "Außen" geht dann soll DNSSEC benutzt werden.
Denke ich irgendwie falsch?
February 17, 2021, 07:48:15 PM #2 Last Edit: February 17, 2021, 07:51:24 PM by Thomas
Hallo Perun,

die Seite bekomme ich auf dem iPad auch nicht auf. Ich werde es morgen auf meinen PC und MAC testen.

Versuch mal diese Seite:
http://www.dnssec-or-not.com/
https://dnssec.vs.uni-due.de/

Das funktioniert auf dem iPad :)

Der DNSSEC wird über die OPNsense abgewickelt, auf dem Client musst du nichts machen.

Gruß,
Thomas

February 17, 2021, 07:58:21 PM #3
Danke für deine schnelle Antwort. Habe erst richtig gelesen dass die http://www.dnssec-failed.org/ eine Fehler ergeben SOLL heheheh Aber nicht desto trotz ich habe immer noch nen "Wurm" drinnen... Die Webseiten die du genannt hast sind auch deutlich besser zum testen :) Danke noch mal!
February 17, 2021, 07:59:53 PM #4
bist du sicher das die Einstellung:

server:
        tls-cert-bundle: /etc/ssl/cert.pem

korrekt ist? Da sind doch die Certs der opnsense drinnen... Sollte sies nicht auf /usr/local/share/certs/ca-root-nss.crt zeigen wo die root CA's drinnen sind?
February 17, 2021, 08:25:26 PM #5 Last Edit: February 17, 2021, 08:27:33 PM by Thomas
Hi Perun,

ja, die Einstellung ist korrekt. Bei mir funktioniert soweit alles :)

Der globale Standardspeicherort für CAs liegt im Verzeichnis    /etc/ssl/cert.pem

Aber du hast auch Recht, es ist verlinkt mit /usr/local/share/certs/ca-root-nss.crt
Siehe hier: https://forum.opnsense.org/index.php?topic=9197.0

Gruß,
Thomas
February 19, 2021, 09:07:09 AM #6
Alles hinbekommen! Danke noch mal für deine Anleitung!
February 19, 2021, 10:21:00 PM #7
Kein Problem :)
May 15, 2021, 05:31:13 PM #8
Auch von mir vielen Dank für deine Anleitung.  :)
December 11, 2021, 06:42:23 AM #9
Quote from: Thomas on February 05, 2021, 04:36:43 PM
-----------------------------------------------------------
     f) Custom Options:
     server:
        tls-cert-bundle: /etc/ssl/cert.pem
-----------------------------------------------------------

Hi

Bei unbound 1.13.2 ist diese Feld nicht-mehr vorhanden.
December 11, 2021, 04:10:32 PM #10
Hi,

Quote from: Nisch on December 11, 2021, 06:42:23 AM
Quote from: Thomas on February 05, 2021, 04:36:43 PM
-----------------------------------------------------------
     f) Custom Options:
     server:
        tls-cert-bundle: /etc/ssl/cert.pem
-----------------------------------------------------------

Hi

Bei unbound 1.13.2 ist diese Feld nicht-mehr vorhanden.

die Custom options könntest du über das Repository von mimugmail hinzufügen.
Ist aber nicht notwendig, wenn du unter Services: Unbound DNS: DNS over TLS im Feld Hostname (so heißt es in der Tabelle) bzw Verify CN (im Edit Server Menü) den Namen des DoT Servers angibst. Dann wird der Eintrag in die Konfigurationsdatei automatisch hinzugefügt. Jedenfalls ist er bei mir drin ;).

Zum Beispiel
1.1.1.1/1.0.0.1: one.one.one.one oder 1dot1dot1dot1.cloudflare-dns.com
1.1.1.2/1.0.0.2: security.cloudflare-dns.com
1.1.1.3/1.0.0.3: family.cloudflare-dns.com

8.8.8.8/8.8.4.4: dns.google

9.9.9.9/149.112.112.112: dns.quad9.net

Die Namen habe ich auf Wikipedia gefunden.
Die IPv6 Adressen funktionieren genauso.

Gruß
KH


Print
Go Up Pages1
User actions