Welche FW-Regeln für PiHole?

[bread]

Hi,

der Umstieg von ipfire kommt voran. Die ipfire wurde abgesetzt. Jetzt gehts um 'Feinschliff'.

Da ich bisher nen PiHole genutzt habe, will ich das auch weiterhin tun. Ich weiß zwar, dass die OPNsense mit Unbound die Sache ähnlich regeln kann, habe ich gehört, dass es wohl besser (und übersichtlicher) mit PiHole funktioniert.

PiHole läuft in einem extra Subnet. Der Zugang von LAN zu PiHole und von PiHole zum Internet ist gegeben.
Ping von PiHole nach außen funktioniert.
WebGUI von PiHole kann erreicht werden.

Der Live LogView zeigt alles grün bisher was das angeht.

Das Problem ist, dass der PiHole nicht auflöst.

Bei OPNsense sind zwei externe DNS-Sever konfiguriert, da ich vermute, dass es besser ist, wenn OPNsense die Verbindung zum DNS nach außen aufbaut. Bei PiHole (192.168.33.250) ist die FW (192.168.33.1) als Upstream DNS eingetragen.

DNSSEC ist bei PiHole und bei OPNsense an.
Rebinding-Schutz ist bei OPNsense ebenfalls an, da die FW ja rausgeht.

Jemand ne Idee, warum es nicht auflöst?

Danke!
bread

[Monviech (Cedrik)]

Ich betreibe auch einen Pihole. Aber ich nutze ihn so:

https://docs.pi-hole.net/guides/dns/unbound/

Auf der OPNsense ist als DNS Server der Pihole eingetragen.

So ist die Kette:
- Client bekommt als DNS Server das OPNsense Unbound
- OPNsense Unbound leitet alle DNS Anfragen an Pihole weiter
- Pihole leitet die DNS Anfragen an den eigenen Pihole Unbound weiter
- Unbound auf Pihole löst rekursiv auf (aka geht zu den DNS root servern): https://de.wikipedia.org/wiki/Root-Nameserver

[bread]

ok, also so rum.
Wie ist es sicherheitstechnisch, wenn PiHole quasi am Ende der Kette ist?
Ich erinnere mich, dass manch einer eher die FW am Ende sehen will.

Hab jetzt mal am PiHole rumgebastelt.
Bekomme bei dig dnssec.works @127.0.0.1 -p 5335 ebenfalls ein FAIL.
Irgendwas funktioniert da nicht.

Beim Status sehe ich folgende Fehler:
"warning: subnetcache: serve-expired is set but not working for data originating from the subnet module cache"
"warning: subnetcache: prefetch is set but not working for data originating from the subnet module cache"

Schalte ich serve-expired und prefetch aus, dann sind die Fehler zwar weg, dnssec.works gibt aber weiterhin nen FAIL aus.

[bread]

Jetzt scheint es grundsätzlich zu laufen. Bekomme nur dauernd SERVFAIL bei Replies.
Wenn ichs recht verstehe, funktioniert dann DNSSEC nicht.

Ne Idee, was es auslösen kann?

Als DNS wird jetzt der ISP-DNS angezeigt bei einem Test. Das ist glaub korrekt, wenn Unbound bei PiHole eingerichtet ist, oder? Der ISP-DNS liest die Anfragen dann glaub doch nicht mit, weils der Rootserver macht. Aber warum wird nochmal der ISP-DNS beim Check angezeigt?

[Monviech (Cedrik)]

Ich verstehe nicht was für einen Check du machst.

[bread]

achso, sorry, DNS leak Test bei browserleaks.com/ip

[Monviech (Cedrik)]

Was ist denn so ein DNS Leak?

Wenn man einen rekursiven DNS Server verwendet, dann gehen die DNS Anfragen rekursiv von den Root DNS Servern, zu denen die autoritativ für die jeweilige Domain sind.

Ich verstehe nicht, wo DNS denn hinleaken sollte, die Anfragen gehen doch eh durch die ganze verteilte DNS Hierarchie, und zwar ausgehend von deiner eigenen öffentlichen IP.

[bread]

Das kann ich dir nicht genau erklären, aber die Wiki: https://en.wikipedia.org/wiki/DNS_leak

Teste doch mal, was du auch PiHole mit Unbound betreibst, obs bei dir die von mir genannte Seite beim DNS Leak ebenfalls den ISP DNS-Server anzeigt. Ich erinnere mich, dass (ich glaub, ich habs beim Kuketz gelesen) das beim Unbound aus irgendeinem Grund normals ist, es aber nicht bedeutet, dass der ISP mitlesen kann.

Da kann gerne jemand mit mehr Fachwissen das Ganze erklären 

[Monviech (Cedrik)]

So zur Info dein ISP kann den gesamten Verkehr mitschneiden, da du durch deren autonomes System gehst. (Thema Vorratsdatenspeicherung)

Der normale DNS Verkehr ist unverschlüsselt und wird von deiner öffentlichen IP Adresse ausgelöst.

Vor DNS Leaks haben Leute Angst die ein VPN benutzen um ihre Identität zu verschleiern. Wenn du in einem Land wohnst, wo der Aufruf einer Webseite strafbar ist, kann es fatal sein wenn der staatliche DNS Resolver deine Anfrage ausversehen mitbekommt und sie nicht durch den verschlüsselten VPN Tunnel zum DNS Server des VPN betreibers geht.

Aber auch der könnte es mitschneiden und dich eindeutig identifizieren, die versprechen nur es nicht zu tun.

Und wenn man jetzt denkt man könnte DNS over TLS oder sowas nutzen, das geht auch zu einem der großen DNS Resolver wie Cloudflare, und die loggen dann auch mit was du machst.

Alles was du machst kann irgendwo geloggt werden.