[solved] Unbound Blacklist und wachsende Selbstzweifel

Started by inkasso, July 16, 2021, 06:46:57 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
July 16, 2021, 06:46:57 AM Last Edit: July 17, 2021, 01:18:48 PM by inkasso
Moin!

Ich hab nun schon eine Weile bei Unbound verschiedene Blacklists im Einsatz. Seither habe ich mich gefragt, wo ich innerhalb der Firewall sehen kann, welche Domains auf den jeweiligen Listen stehen, bzw. noch besser: wie ich Log-Einträge davon bekomme, dass etwas wegen einer Liste (und insbesondere wegen WELCHER Liste) geblockt wurde.

Leider hab ich dazu rein gar nichts gefunden und trotz LogLevel 5 beim Unbound finde ich die gewünschte Information nicht. Das macht das Ganze etwas knifflig, weil man so immer nur "herumrät" woher ein mögliches Problem kommt.

Ferner komme ich nicht auf die Internetseite einer bekannten online Apotheke. Ich weiß nicht, ob es seit Einsetzen der Sense (ist noch nicht sooo lange in Betrieb bei mir) je funktioniert hat, weil ich die Seite eh selten besuche. Jedenfalls: Eintragen bei Whitelist oder Abschalten der ganzen Blacklist-Funktion (incl. Neustart von Unbound) helfen nicht.

Wenn ich von einem Windows-Rechner ein nslookup mache, bekomme ich mit eingeschalteter Blacklist-Funktion und ohne Whitelist-Eintrag definitiv keine IP für die fragliche Domain. Wenn ich allerdings die Blacklistfunktion abschalte, bekomme ich beim Test 2 IPv4 und 2 IPv6 Adressen als Response. Trotzdem kann ich die Seite in 2 verschiedenen Browsern nicht öffnen. Wenn ich es dann z.B. auf einem Tablet im selben Netz versuche, geht es auch dort nicht. Wenn ich aber mein Handy nutze über Mobilfunk (also bewusst WLAN abgeschaltet), bekomme ich die Seite problemlos auf.

Ein Traceroute zur Domain ist ebenfalls völlig unauffällig. Von allen Zwischenstationen bis zur ZielIP gibt's response.

Spaßeshalber hab ich mir ne Floating Firewall Regel gemacht Source = mein Arbeitsrechner, Destination != Alle lokalen Netze, Allow, Log - und die hab ich an die erste Stelle geschoben. Im Log sehe ich, wie die Firewall die Verbindung zum fraglichen Server durchwinkt (was auch ohne die Regel gehen muss - hab da nix geblockt, aber so bekomm ich einen Log darüber). Trotzdem ist die Seite nicht zu öffnen.

Mir gehen so langsam die Ideen aus, wo ich noch gucken kann, warum das nicht geht. Daher frag ich hier mal, ob jemand vielleicht noch einen Tipp für mich hat.

Versions    OPNsense 21.1.8_1-amd64
FreeBSD 12.1-RELEASE-p19-HBSD
OpenSSL 1.1.1k 25 Mar 2021

Hinter einer Fritzbox7490, die aktuell noch die Internetverbindung herstellt, am Gast-Port.
July 16, 2021, 07:25:29 AM #1
Ich denke da hilft nur die Listen einzeln auszumachen und nen Ping abschicken über die Sense. Das Problem hatte ich bei dem dnscrypt-proxy auch, man sieht zwar das er blockt aber nicht welche Liste.
Beim Unbound sieht man noch weniger ;)

Grüße
July 16, 2021, 07:43:50 AM #2
Oder du nimmst AdGuardHome vom community repo

https://www.routerperformance.net/opnsense-repo/
July 16, 2021, 07:52:49 AM #3 Last Edit: July 16, 2021, 08:38:14 AM by KHE
Hi

Quote from: inkasso on July 16, 2021, 06:46:57 AM
Versions    OPNsense 21.1.8_1-amd64
FreeBSD 12.1-RELEASE-p19-HBSD
OpenSSL 1.1.1k 25 Mar 2021

Hinter einer Fritzbox7490, die aktuell noch die Internetverbindung herstellt, am Gast-Port.

Und welche Filter sind im Gastnetzwerk der Fritz!Box aktiv? Eventuell die Kinderschutzliste (BPjM-Modul)?

Gruß KH
July 16, 2021, 10:20:57 AM #4 Last Edit: July 16, 2021, 10:23:39 AM by inkasso
Quote from: mimugmail on July 16, 2021, 07:43:50 AM
Oder du nimmst AdGuardHome vom community repo

https://www.routerperformance.net/opnsense-repo/

Das schau ich mir mal an, danke!


Quote from: KHE on July 16, 2021, 07:52:49 AM
Hi

Und welche Filter sind im Gastnetzwerk der Fritz!Box aktiv? Eventuell die Kinderschutzliste (BPjM-Modul)?

Gruß KH

Ja, die Idee hatte ich auch. Ist aber komplett ungefiltert. Die aktuelle konstellation ist auch nur noch, bis hier endlich das FTTH freigeschaltet ist. Liegt alles - die T-Com muss nur endlich auf den Knopf drücken. Danach wandert die Fritz hinter die Firewall und hoffentlich bekomme ich dann das VoIP korrekt durchgeschleust :D

Aufgrund der aktuellen Verkabellungssituation hab ich die Sense am Gast Port um das interne LAN strikt vom Weg in das Internet zu trennen. Das bau ich während meines Urlaubs jetzt aber auch noch um. Dann steckt im Gast nichts mehr und nur noch die Sense in der Fritzbox als exposed Host. Baustellen über Baustellen halt...
July 16, 2021, 01:37:00 PM #5
Moin, moin inkasso,

In meinem Browser arbeite ich mit der Erweiterung NoScript, um JavaScirpt pro Domain zu sperren.

Da sehe ich häufiger leere Seiten, wenn ich xyz.com aufrufe. Wenn ich die Scripte für xyz.com aktiviere, bleibt die Seite häufig weiterhin leer. In NoScript taucht dann häufig ein neue Domain auf, die ich freigeben muss. Je nach Seit klappt das oder ich muss alle Domains in diesem Browser-Reiter zulassen.

Damit will ich sagen, dass die Inhalte nicht nur von der Domain Deiner Apotheke kommen mpüssen, sondern eventuell auch von ganz anderen Domains (nicht unbedingt Sub-Domains der Apotheke). Falls diese Domains mit den Inhalten geblockt werden, kann Deine Apotheken-Seite nicht richtig angezeigt werden.

Gruß
Thomas
Don't forget to [applaud] those offering time and brainpower to help you!
July 16, 2021, 08:02:01 PM #6
Hilfreich ist meistens auch die Konsole im Browser, um zu sehen, welche Adressen nicht gezogen werden konnten.

Gesendet von meinem ONEPLUS A5000 mit Tapatalk
July 17, 2021, 01:18:32 PM #7
Quote from: thogru on July 16, 2021, 01:37:00 PM
Moin, moin inkasso,

In meinem Browser arbeite ich mit der Erweiterung NoScript, um JavaScirpt pro Domain zu sperren.

Da sehe ich häufiger leere Seiten, wenn ich xyz.com aufrufe. Wenn ich die Scripte für xyz.com aktiviere, bleibt die Seite häufig weiterhin leer. In NoScript taucht dann häufig ein neue Domain auf, die ich freigeben muss. Je nach Seit klappt das oder ich muss alle Domains in diesem Browser-Reiter zulassen.

Damit will ich sagen, dass die Inhalte nicht nur von der Domain Deiner Apotheke kommen mpüssen, sondern eventuell auch von ganz anderen Domains (nicht unbedingt Sub-Domains der Apotheke). Falls diese Domains mit den Inhalten geblockt werden, kann Deine Apotheken-Seite nicht richtig angezeigt werden.

Gruß
Thomas

Ich sehe, ihr versuchts wie ich mit jedem Strohhalm. Vielen Dank!

Ich verwende übrigens auch NoScript und weiß um die Tücken. Ich bekam aber keine leere Seite, sondern "Page not found".

Testweise habe ich es mal mit wget auf der Konsole versucht. Damit kam ich heute dahinter, was passiert.
Der Aufruf der Domain führt zu einem 301 Moved permanently auf die subdomain www. - und die konnte dann nicht mehr aufgelöst werden, weil die nicht in den Ausnahmen der Blacklists stand (nehme ich an). Ich hatte die ja weil es nicht ging abgeschaltet, aber entweder hat er es auf der Sense nicht gleich korrekt übernommen oder mein Rechner hat noch was im DNS Cache gehabt... jedenfalls heute gehts nun endlich.

Und damit ich mir das in Zukunft nicht nochmal antun muss, schau ich mir mal an, ob das von mimugmail erwähnte Plugin besser zu dem passt, was ich hier tun möchte.

Danke an alle, die sich mit bemüht haben!
July 17, 2021, 05:59:59 PM #8
Wenn Du an den Listen spielst immer Apply und dann am besten nochmal den Service neu starten, am Client musst natürlich immer nen dns flush machen.
Print
Go Up Pages1
User actions