DNS-over-TLS (DoT) mit unbound funktioniert nicht

pmeinhardt · February 01, 2021, 02:09:05 PM

Hallo zusammen,

an erster Stelle bedanke ich mich vielmals bei den Entwickler.
Ihr macht alle einen sehr guten Job mit OPNsense - bisher konnten sämtliche Wünsche erfüllt werden, auch wenn ich lediglich nur Bruchteile nutze - aber was nicht ist, kann ja noch werden. :)

Aktuell ist mein Plan, dass die OPNsense zukünftig DHCP-Server wird, damit die FRITZ!Box nach und nach abgelöst wird.
Die OPNsense betreibe ich nicht mit der WAN-Schnittstelle, sondern lediglich im lokalen Netz, welches derzeit noch von der FRITZ!Box verwaltet wird. Die FRITZ!Box ist somit aktuell noch das Gateway der OPNsense.
In Zukunft werde ich das auch ablösen, muss mir jedoch noch Gedanken machen bzgl. WLAN-AP's, da die WLAN-Funktionalität der FRITZ!Box wegfallen wird, sobald diese in den 'Modem-only-Modus' geht.

Aber zurück zu meinem Problem!
Unbound funktioniert grundsätzlich, gelauscht wird auf dem LAN-Interface über Port 53, Anfragen der Clients werden angenommen, dann wird genattet an der localhost-Adresse und die Anfragen gehen über einen VPN-Tunnel über Zielport 53 an den jeweiligen DNS-Server aus der root.hints, so wie ich das verstehe.
Ich habe KEINE DNS-Server unter System -> Einstellungen -> Allgemein hinterlegt, und keinen der Haken in diesem Menü aktiviert.

Unbound ist, wie bereits erwähnt, aktiv und funktioniert.
Wenn ich nun jedoch in dem unbound-Reiter unter 'Verschiedenes' z.B. den vorgeschlagenen Quad9-Server eintrage (9.9.9.9@853), speichere und unbound durchstarte, funktioniert DNS nicht mehr.
Oft findet man auch, wie es für mich klingt, veraltete Konfigurationsmöglichkeit über unbound -> Allgemein -> 'Benutzerdefinierte Optionen'. Hier jedoch das gleiche Problem, dass DNS nicht mehr funktioniert, z.B. mit der folgenden Einstellung:

Code Select


server:
  minimal-responses: yes
  qname-minimisation: yes
  rrset-roundrobin: yes
  use-caps-for-id: yes
  tls-cert-bundle: /etc/ssl/cert.pem

forward-zone:
  name: "."
  forward-addr: 1.1.1.1@853
  forward-addr: 1.0.0.1@853
  forward-ssl-upstream: yes

Wenn ich nun in der Shell die TCP-Pakete überwache sehe ich jedoch, dass die Kommunikation grundsätzlich funktioniert, über den Befehl schaue ich:

Code Select

tcpdump -i ovpnc1 tcp port 853

Folgendes wird ausgegeben, wenn ein Client einen Namen auflösen möchte:

Code Select


tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ovpnc1, link-type NULL (BSD loopback), capture size 262144 bytes
14:02:22.502391 IP 10.3.0.49.63042 > 9.9.9.9.853: Flags [S], seq 2785287238, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3849911503 ecr 0], lengt                                                                                                                                                                h 0
14:02:22.531760 IP 9.9.9.9.853 > 10.3.0.49.63042: Flags [R.], seq 0, ack 2785287239, win 0, length 0
14:02:22.532796 IP 10.3.0.49.35427 > 9.9.9.9.853: Flags [S], seq 3856694086, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3188684237 ecr 0], lengt                                                                                                                                                                h 0
14:02:22.561063 IP 9.9.9.9.853 > 10.3.0.49.35427: Flags [R.], seq 0, ack 3856694087, win 0, length 0
14:02:22.562199 IP 10.3.0.49.42376 > 9.9.9.9.853: Flags [S], seq 3826160848, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1731544879 ecr 0], lengt                                                                                                                                                                h 0
14:02:22.590183 IP 9.9.9.9.853 > 10.3.0.49.42376: Flags [R.], seq 0, ack 3826160849, win 0, length 0
14:02:22.590918 IP 10.3.0.49.29225 > 9.9.9.9.853: Flags [S], seq 3567870247, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 139156683 ecr 0], length                                                                                                                                                                 0
14:02:22.619992 IP 9.9.9.9.853 > 10.3.0.49.29225: Flags [R.], seq 0, ack 3567870248, win 0, length 0
14:02:22.621089 IP 10.3.0.49.29527 > 9.9.9.9.853: Flags [S], seq 572661636, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 431635948 ecr 0], length                                                                                                                                                                 0
14:02:22.649074 IP 9.9.9.9.853 > 10.3.0.49.29527: Flags [R.], seq 0, ack 572661637, win 0, length 0
14:02:22.649802 IP 10.3.0.49.54683 > 9.9.9.9.853: Flags [S], seq 1337467487, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1723645148 ecr 0], lengt                                                                                                                                                                h 0
14:02:22.677801 IP 9.9.9.9.853 > 10.3.0.49.54683: Flags [R.], seq 0, ack 1337467488, win 0, length 0
14:02:22.678875 IP 10.3.0.49.52114 > 9.9.9.9.853: Flags [S], seq 2726793685, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1077631058 ecr 0], lengt                                                                                                                                                                h 0
14:02:22.706692 IP 9.9.9.9.853 > 10.3.0.49.52114: Flags [R.], seq 0, ack 2726793686, win 0, length 0
14:02:22.707461 IP 10.3.0.49.56044 > 9.9.9.9.853: Flags [S], seq 1047816315, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3289540704 ecr 0], lengt                                                                                                                                                                h 0
14:02:22.736267 IP 9.9.9.9.853 > 10.3.0.49.56044: Flags [R.], seq 0, ack 1047816316, win 0, length 0
14:02:22.737323 IP 10.3.0.49.46338 > 9.9.9.9.853: Flags [S], seq 93539290, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1049715453 ecr 0], length                                                                                                                                                                 0
14:02:22.765852 IP 9.9.9.9.853 > 10.3.0.49.46338: Flags [R.], seq 0, ack 93539291, win 0, length 0
14:02:22.766553 IP 10.3.0.49.37387 > 9.9.9.9.853: Flags [S], seq 584300937, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2454885227 ecr 0], length                                                                                                                                                                 0
14:02:22.794271 IP 9.9.9.9.853 > 10.3.0.49.37387: Flags [R.], seq 0, ack 584300938, win 0, length 0
14:02:22.795469 IP 10.3.0.49.34662 > 9.9.9.9.853: Flags [S], seq 114870144, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2472432843 ecr 0], length                                                                                                                                                                 0
14:02:22.823892 IP 9.9.9.9.853 > 10.3.0.49.34662: Flags [R.], seq 0, ack 114870145, win 0, length 0
14:02:22.824634 IP 10.3.0.49.26481 > 9.9.9.9.853: Flags [S], seq 1655650083, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3290191884 ecr 0], lengt                                                                                                                                                                h 0
14:02:22.852512 IP 9.9.9.9.853 > 10.3.0.49.26481: Flags [R.], seq 0, ack 1655650084, win 0, length 0
14:02:22.853584 IP 10.3.0.49.24692 > 9.9.9.9.853: Flags [S], seq 1989463049, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 979452901 ecr 0], length                                                                                                                                                                 0
14:02:22.881313 IP 9.9.9.9.853 > 10.3.0.49.24692: Flags [R.], seq 0, ack 1989463050, win 0, length 0
14:02:22.882095 IP 10.3.0.49.53396 > 9.9.9.9.853: Flags [S], seq 3826485197, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3626410781 ecr 0], lengt                                                                                                                                                                h 0
14:02:22.909907 IP 9.9.9.9.853 > 10.3.0.49.53396: Flags [R.], seq 0, ack 3826485198, win 0, length 0
14:02:22.910986 IP 10.3.0.49.4152 > 9.9.9.9.853: Flags [S], seq 112424327, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1804621547 ecr 0], length                                                                                                                                                                 0
14:02:22.938867 IP 9.9.9.9.853 > 10.3.0.49.4152: Flags [R.], seq 0, ack 112424328, win 0, length 0
14:02:22.939597 IP 10.3.0.49.30769 > 9.9.9.9.853: Flags [S], seq 2146707797, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 372169510 ecr 0], length                                                                                                                                                                 0
14:02:22.967773 IP 9.9.9.9.853 > 10.3.0.49.30769: Flags [R.], seq 0, ack 2146707798, win 0, length 0
14:02:22.968986 IP 10.3.0.49.13660 > 9.9.9.9.853: Flags [S], seq 721463978, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1414601499 ecr 0], length                                                                                                                                                                 0
14:02:22.996897 IP 9.9.9.9.853 > 10.3.0.49.13660: Flags [R.], seq 0, ack 721463979, win 0, length 0
14:02:22.997647 IP 10.3.0.49.1335 > 9.9.9.9.853: Flags [S], seq 2289727905, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3408266057 ecr 0], length                                                                                                                                                                 0
14:02:23.025601 IP 9.9.9.9.853 > 10.3.0.49.1335: Flags [R.], seq 0, ack 2289727906, win 0, length 0
14:02:23.026699 IP 10.3.0.49.16842 > 9.9.9.9.853: Flags [S], seq 3302272450, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3397963609 ecr 0], lengt                                                                                                                                                                h 0
14:02:23.054303 IP 9.9.9.9.853 > 10.3.0.49.16842: Flags [R.], seq 0, ack 3302272451, win 0, length 0
14:02:23.055046 IP 10.3.0.49.35087 > 9.9.9.9.853: Flags [S], seq 2473249632, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2464899995 ecr 0], lengt                                                                                                                                                                h 0
14:02:23.083139 IP 9.9.9.9.853 > 10.3.0.49.35087: Flags [R.], seq 0, ack 2473249633, win 0, length 0
14:02:23.084177 IP 10.3.0.49.55293 > 9.9.9.9.853: Flags [S], seq 261292703, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2271303757 ecr 0], length                                                                                                                                                                 0
14:02:23.111932 IP 9.9.9.9.853 > 10.3.0.49.55293: Flags [R.], seq 0, ack 261292704, win 0, length 0
14:02:23.112643 IP 10.3.0.49.54620 > 9.9.9.9.853: Flags [S], seq 307996862, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 4123093961 ecr 0], length                                                                                                                                                                 0
14:02:23.140430 IP 9.9.9.9.853 > 10.3.0.49.54620: Flags [R.], seq 0, ack 307996863, win 0, length 0
^C
44 packets captured
44 packets received by filter
0 packets dropped by kernel

=> demnach passiert ja irgendwas, was sagt das unbound-LOG im Webinterface?

Code Select


2021-02-01T14:02:23	unbound[93335]	[93335:3] info: 127.0.0.1 9.9.9.9.in-addr.arpa. PTR IN	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: cache memory msg=133044 rrset=132120 infra=13854 val=0	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: return error response SERVFAIL	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: configured stub or forward servers failed -- returning SERVFAIL	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] info: processQueryTargets: 9.9.9.9.in-addr.arpa. PTR IN	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] info: iterator operate: query 9.9.9.9.in-addr.arpa. PTR IN	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: iterator[module 0] operate: extstate:module_wait_reply event:module_event_noreply	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: tcp error for address 9.9.9.9 port 853	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: outnettcp got tcp error -1	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] error: SSL_handshake syscall: Broken pipe	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: outnettcp got tcp error -1	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] error: SSL_handshake syscall: Broken pipe	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: cache memory msg=132854 rrset=132120 infra=13854 val=0	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: sending to target: <.> 9.9.9.9#853	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] info: sending query: 9.9.9.9.in-addr.arpa. PTR IN	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] info: processQueryTargets: 9.9.9.9.in-addr.arpa. PTR IN	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] info: iterator operate: query 9.9.9.9.in-addr.arpa. PTR IN	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: iterator[module 0] operate: extstate:module_wait_reply event:module_event_noreply	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: tcp error for address 9.9.9.9 port 853	 
2021-02-01T14:02:23	unbound[93335]	[93335:0] debug: outnettcp got tcp error -1

Installiert ist die aktuellste productive-Version von OPNsense.
Ich hoffe, dass mir jemand helfen kann. Ich hatte gestern noch diverse Einstellungen getestet, jedoch keinen Ansatz finden können.
Dass unbound funktioniert zeigt ja, wenn ich den DNS-over-TLS-Server herausnehme, dann fliegen die unverschlüsselten Port 53 Pakete über die VPN-Schnittstelle.

Ich bedanke mich vielmals im Voraus.
Patrick

chemlud · February 01, 2021, 02:28:28 PM

Code Select

server: tls-cert-bundle: "/etc/ssl/cert.pem"

Anführungszeichen, vielleicht?

pmeinhardt · February 01, 2021, 02:36:41 PM

Vielen Dank für die schnelle Antwort!
Konnte ich sofort testen, jedoch das gleiche Ergebnis, dass die Namensauflösung sowohl von einem Client, als auch direkt von der OPNsense, nicht funktioniert:

Code Select


2021-02-01T14:33:57	unbound[46349]	[46349:3] info: 192.168.10.253 avm.de. AAAA IN	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] info: 192.168.10.253 avm.de. A IN	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] debug: cache memory msg=132836 rrset=132120 infra=10866 val=0	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] debug: return error response SERVFAIL	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] debug: configured stub or forward servers failed -- returning SERVFAIL	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] info: processQueryTargets: avm.de. AAAA IN	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] info: resolving avm.de. AAAA IN	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] debug: iterator[module 0] operate: extstate:module_state_initial event:module_event_new	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] info: 192.168.10.253 avm.de. AAAA IN	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] debug: cache memory msg=132660 rrset=132120 infra=10866 val=0	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] debug: return error response SERVFAIL	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] debug: configured stub or forward servers failed -- returning SERVFAIL	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] info: processQueryTargets: avm.de. A IN	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] info: resolving avm.de. A IN	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] debug: iterator[module 0] operate: extstate:module_state_initial event:module_event_new	 
2021-02-01T14:33:57	unbound[46349]	[46349:3] info: 192.168.10.253 avm.de. A IN

Auf jeden Fall vielen Dank für die Hilfe!

chemlud · February 01, 2021, 02:44:45 PM

Mal probieren, ob es hiermit geht:

Code Select

server: tls-cert-bundle: "/etc/ssl/cert.pem"
do-tcp: yes
do-ip6: no
qname-minimisation: yes
qname-minimisation-strict: yes
harden-below-nxdomain: yes

forward-zone:
name: "."
forward-tls-upstream: yes
forward-addr: 5.1.66.255@853#dot.ffmuc.net
forward-addr: 185.95.218.42@853#dns.digitale-gesellschaft.ch
forward-addr: 5.9.164.112@853#dns3.digitalcourage.de

"forward-tls-upstream: yes" anstatt "forward-ssl-upstream: yes" (in deiner Konfig). - Sehe gerade in der man page fr unbound, das ist äquivalent.

pmeinhardt · February 01, 2021, 02:49:54 PM

Danke, ich habe Deine Config 1:1 in die benutzerdefinierten Optionen kopiert und KEINEN DNS-over-TLS-Server unter 'Verschiedenes' hinterlegt.
Jedoch noch immer exakt das gleiche Ergebnis.

Code Select


2021-02-01T14:46:57	unbound[74619]	[74619:1] info: 192.168.10.253 microsoft.com. AAAA IN	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] info: 192.168.10.253 microsoft.com. A IN	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] debug: cache memory msg=133421 rrset=132120 infra=11115 val=0	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] debug: return error response SERVFAIL	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] debug: configured stub or forward servers failed -- returning SERVFAIL	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] info: processQueryTargets: microsoft.com. AAAA IN	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] info: resolving microsoft.com. AAAA IN	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] debug: iterator[module 0] operate: extstate:module_state_initial event:module_event_new	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] info: 192.168.10.253 microsoft.com. AAAA IN	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] debug: cache memory msg=133238 rrset=132120 infra=11115 val=0	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] debug: return error response SERVFAIL	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] debug: configured stub or forward servers failed -- returning SERVFAIL	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] info: processQueryTargets: microsoft.com. A IN	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] info: resolving microsoft.com. A IN	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] debug: iterator[module 0] operate: extstate:module_state_initial event:module_event_new	 
2021-02-01T14:46:57	unbound[74619]	[74619:1] info: 192.168.10.253 microsoft.com. A IN

chemlud · February 01, 2021, 02:51:54 PM

Mal reboot? Nur zur Sicherheit...

Welcher Provider?

pmeinhardt · February 01, 2021, 02:59:20 PM

Eben durchgeführt, keine Änderung, folgendes sagt der TCPdump:

Code Select


tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ovpnc1, link-type NULL (BSD loopback), capture size 262144 bytes
14:56:18.073994 IP 10.3.6.251.24950 > 5.9.164.112.853: Flags [S], seq 2524047155, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1593524197 ecr 0],                                                                                                                                                                 length 0
14:56:18.074811 IP 10.3.6.251.62393 > 185.95.218.42.853: Flags [S], seq 3822200443, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3439569701 ecr 0]                                                                                                                                                                , length 0
14:56:18.080028 IP 10.3.6.251.34356 > 5.1.66.255.853: Flags [S], seq 3817523066, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2527083889 ecr 0], l                                                                                                                                                                ength 0
14:56:18.102293 IP 5.9.164.112.853 > 10.3.6.251.24950: Flags [R.], seq 0, ack 2524047156, win 0, length 0
14:56:18.102710 IP 185.95.218.42.853 > 10.3.6.251.62393: Flags [R.], seq 0, ack 3822200444, win 0, length 0
14:56:18.103426 IP 10.3.6.251.20845 > 5.9.164.112.853: Flags [S], seq 236749151, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3153277490 ecr 0], l                                                                                                                                                                ength 0
14:56:18.104386 IP 10.3.6.251.36002 > 185.95.218.42.853: Flags [S], seq 748274994, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 289312771 ecr 0],                                                                                                                                                                 length 0
14:56:18.108214 IP 5.1.66.255.853 > 10.3.6.251.34356: Flags [R.], seq 0, ack 3817523067, win 0, length 0
14:56:18.109411 IP 10.3.6.251.17953 > 5.1.66.255.853: Flags [S], seq 1616419688, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3260619520 ecr 0], l                                                                                                                                                                ength 0
14:56:18.131433 IP 5.9.164.112.853 > 10.3.6.251.20845: Flags [R.], seq 0, ack 236749152, win 0, length 0
14:56:18.132541 IP 185.95.218.42.853 > 10.3.6.251.36002: Flags [R.], seq 0, ack 748274995, win 0, length 0
14:56:18.137544 IP 5.1.66.255.853 > 10.3.6.251.17953: Flags [R.], seq 0, ack 1616419689, win 0, length 0
14:56:18.138676 IP 10.3.6.251.xmpp-server > 5.9.164.112.853: Flags [S], seq 1318180049, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1425745684 ec                                                                                                                                                                r 0], length 0
14:56:18.166690 IP 5.9.164.112.853 > 10.3.6.251.xmpp-server: Flags [R.], seq 0, ack 1318180050, win 0, length 0
14:56:18.167398 IP 10.3.6.251.4670 > 5.9.164.112.853: Flags [S], seq 3479384145, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1397955238 ecr 0], l                                                                                                                                                                ength 0
14:56:18.195578 IP 5.9.164.112.853 > 10.3.6.251.4670: Flags [R.], seq 0, ack 3479384146, win 0, length 0
14:56:18.196628 IP 10.3.6.251.11351 > 5.9.164.112.853: Flags [S], seq 3622781490, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 3215581863 ecr 0],                                                                                                                                                                 length 0
14:56:18.224939 IP 5.9.164.112.853 > 10.3.6.251.11351: Flags [R.], seq 0, ack 3622781491, win 0, length 0
14:56:18.225672 IP 10.3.6.251.61954 > 5.9.164.112.853: Flags [S], seq 1171700603, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 4234753610 ecr 0],                                                                                                                                                                 length 0
14:56:18.253833 IP 5.9.164.112.853 > 10.3.6.251.61954: Flags [R.], seq 0, ack 1171700604, win 0, length 0
14:56:18.254889 IP 10.3.6.251.28801 > 5.1.66.255.853: Flags [S], seq 1496224754, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 562969699 ecr 0], le                                                                                                                                                                ngth 0
14:56:18.282968 IP 5.1.66.255.853 > 10.3.6.251.28801: Flags [R.], seq 0, ack 1496224755, win 0, length 0
14:56:18.283673 IP 10.3.6.251.54518 > 5.1.66.255.853: Flags [S], seq 1203454179, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2333055479 ecr 0], l                                                                                                                                                                ength 0
14:56:18.311652 IP 5.1.66.255.853 > 10.3.6.251.54518: Flags [R.], seq 0, ack 1203454180, win 0, length 0
14:56:18.312703 IP 10.3.6.251.58812 > 5.1.66.255.853: Flags [S], seq 3485739765, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2418281246 ecr 0], l                                                                                                                                                                ength 0
14:56:18.340768 IP 5.1.66.255.853 > 10.3.6.251.58812: Flags [R.], seq 0, ack 3485739766, win 0, length 0
14:56:18.341531 IP 10.3.6.251.50454 > 5.1.66.255.853: Flags [S], seq 1305837981, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 464223347 ecr 0], le                                                                                                                                                                ngth 0
14:56:18.369433 IP 5.1.66.255.853 > 10.3.6.251.50454: Flags [R.], seq 0, ack 1305837982, win 0, length 0
14:56:18.370498 IP 10.3.6.251.36796 > 185.95.218.42.853: Flags [S], seq 2518800201, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1450136799 ecr 0]                                                                                                                                                                , length 0
14:56:18.398792 IP 185.95.218.42.853 > 10.3.6.251.36796: Flags [R.], seq 0, ack 2518800202, win 0, length 0
14:56:18.399504 IP 10.3.6.251.16523 > 185.95.218.42.853: Flags [S], seq 2513270136, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 729940534 ecr 0],                                                                                                                                                                 length 0
14:56:18.427460 IP 185.95.218.42.853 > 10.3.6.251.16523: Flags [R.], seq 0, ack 2513270137, win 0, length 0
14:56:18.428559 IP 10.3.6.251.54506 > 185.95.218.42.853: Flags [S], seq 3598218853, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2911318246 ecr 0]                                                                                                                                                                , length 0
14:56:18.457052 IP 185.95.218.42.853 > 10.3.6.251.54506: Flags [R.], seq 0, ack 3598218854, win 0, length 0
14:56:18.457765 IP 10.3.6.251.40954 > 185.95.218.42.853: Flags [S], seq 3356267029, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1631281361 ecr 0]                                                                                                                                                                , length 0
14:56:18.485712 IP 185.95.218.42.853 > 10.3.6.251.40954: Flags [R.], seq 0, ack 3356267030, win 0, length 0
14:56:18.486749 IP 10.3.6.251.36418 > 185.95.218.42.853: Flags [S], seq 2012335020, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2277789714 ecr 0]                                                                                                                                                                , length 0
14:56:18.515076 IP 185.95.218.42.853 > 10.3.6.251.36418: Flags [R.], seq 0, ack 2012335021, win 0, length 0
14:56:18.515839 IP 10.3.6.251.36419 > 185.95.218.42.853: Flags [S], seq 2658880295, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 4104408330 ecr 0]                                                                                                                                                                , length 0
14:56:18.543743 IP 185.95.218.42.853 > 10.3.6.251.36419: Flags [R.], seq 0, ack 2658880296, win 0, length 0
14:56:18.544779 IP 10.3.6.251.36420 > 5.9.164.112.853: Flags [S], seq 4133889344, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 1257839126 ecr 0],                                                                                                                                                                 length 0
14:56:18.574254 IP 5.9.164.112.853 > 10.3.6.251.36420: Flags [R.], seq 0, ack 4133889345, win 0, length 0
14:56:18.575000 IP 10.3.6.251.36421 > 5.9.164.112.853: Flags [S], seq 1211480505, win 65228, options [mss 1460,nop,wscale 7,sackOK,TS val 2437771651 ecr 0],                                                                                                                                                                 length 0
14:56:18.603144 IP 5.9.164.112.853 > 10.3.6.251.36421: Flags [R.], seq 0, ack 1211480506, win 0, length 0

und folgendes das LOG im Webinterface (Auszug):

Code Select


2021-02-01T14:56:18	unbound[81876]	[81876:1] info: 127.0.0.1 255.66.1.5.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] debug: cache memory msg=133421 rrset=132120 infra=11115 val=0	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] debug: return error response SERVFAIL	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] debug: configured stub or forward servers failed -- returning SERVFAIL	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] info: processQueryTargets: 255.66.1.5.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] info: resolving 255.66.1.5.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] debug: iterator[module 0] operate: extstate:module_state_initial event:module_event_new	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] info: 127.0.0.1 255.66.1.5.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:1] info: 127.0.0.1 42.218.95.185.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] debug: cache memory msg=133228 rrset=132120 infra=11115 val=0	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] debug: return error response SERVFAIL	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] debug: configured stub or forward servers failed -- returning SERVFAIL	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] info: processQueryTargets: 42.218.95.185.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] info: resolving 42.218.95.185.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] debug: iterator[module 0] operate: extstate:module_state_initial event:module_event_new	 
2021-02-01T14:56:18	unbound[81876]	[81876:0] info: 127.0.0.1 42.218.95.185.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] info: 127.0.0.1 112.164.9.5.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] debug: cache memory msg=133032 rrset=132120 infra=11115 val=0	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] debug: return error response SERVFAIL	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] debug: configured stub or forward servers failed -- returning SERVFAIL	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] info: processQueryTargets: 112.164.9.5.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] info: iterator operate: query 112.164.9.5.in-addr.arpa. PTR IN	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] debug: iterator[module 0] operate: extstate:module_wait_reply event:module_event_noreply	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] debug: tcp error for address 5.9.164.112 port 853	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] debug: outnettcp got tcp error -1	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] error: SSL_handshake syscall: Broken pipe	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] debug: outnettcp got tcp error -1	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] error: SSL_handshake syscall: Broken pipe	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] debug: cache memory msg=132838 rrset=132120 infra=11115 val=0	 
2021-02-01T14:56:18	unbound[81876]	[81876:2] debug: sending to target: <.> 5.9.164.112#853

pmeinhardt · February 01, 2021, 03:02:52 PM

Quote from: chemlud on February 01, 2021, 02:51:54 PM
Welcher Provider?

Mein ISP ist 1und1.
VPN ist PerfectPrivacy.

Aber egal wie ich rauskommuniziere, es kommt immer das gleiche Ergebnis.

pmeinhardt · February 01, 2021, 05:54:44 PM

Update

Ich glaube das was gefunden zu haben, siehe:
https://forum.netgate.com/topic/159538/upgrading-unbound-for-dns-over-tls-connection-reuse

Wie es aussieht, gibt es einen Bug bei der Verwendung von FreeBSD und unbound Version 1.13.0.

Unbound befindet sich bei mir in der Version 1.13.0_1, laut Paketübersicht im Webinterface.

Ist zufällig jemand auf dem gleichen Stand und kann von diesen Problemen berichten?

JeGr · February 01, 2021, 06:04:28 PM

mit einer OPNsense kann ichs gerade nicht testen, aber die pfSense 2.5 Snapshots laufen mit Unbound 1.13.0_2 und ich habe da manuell DoT mit 1.1.1.1 und den HE.net Servern konfiguriert. Läuft ein wenig langsamer als ohne DoT aber DNS läuft trotzdem sauber. Kann das also nicht unbedingt auf die Unbound Version eingrenzen/schieben. Werd aber das ggf. später nochmal mit einer OPNsense testen.

chemlud · February 01, 2021, 06:16:08 PM

Ick habe hier

Code Select

unbound 1.13.0_1 8.32MiB BSD3CLAUSE

Funzt einwandfrei mit der Konfig. oben

pmeinhardt · February 03, 2021, 11:50:56 AM

Hallo zusammen,

ich konnte unbound partout nicht dazu bringen, DoT zu machen.
Am Ende musste ich dann doch aufgeben, da es zu viel Zeit kostete.

Jedoch konnte ich eine alternative Lösung finden mit DNScrypt, welche nun wie folgt aufgebaut ist:
- unbound lauscht weiterhin über Port 53 im LAN
- unbound cached Anfragen, um einen Performancegewinn zu erzeugen, wenn Anfragen häufig wiederholt werden
- zu dem Punkt habe ich gelesen, dass es sinnvoller ist, unbound dieses Caching zu überlassen und nicht DNScrypt, da unbound optimiert für diese Aufgabe ist
- unbound leitet DNS-Anfragen an 127.0.0.1:5335 weiter, was den DNScrypt darstellt
- DNScrypt wurde mit ausgewählten Servern von mir versehen und löst erfolgreich entweder per DoH, DoT oder DNScrypt auf

Diese Konstellation funktioniert sehr gut.
Wäre auch interessant gewesen, hätte unbound mit DoT funktioniert, aber irgendwas wollte da einfach nicht laufen.

Danke an die Leute, welche unterstützt hatten. :)

DNS-over-TLS (DoT) mit unbound funktioniert nicht

pmeinhardt

February 01, 2021, 02:09:05 PM

chemlud

February 01, 2021, 02:28:28 PM #1

pmeinhardt

February 01, 2021, 02:36:41 PM #2

chemlud

February 01, 2021, 02:44:45 PM #3 Last Edit: February 01, 2021, 02:51:10 PM by chemlud

pmeinhardt

February 01, 2021, 02:49:54 PM #4

chemlud

February 01, 2021, 02:51:54 PM #5 Last Edit: February 01, 2021, 02:54:11 PM by chemlud

pmeinhardt

February 01, 2021, 02:59:20 PM #6

pmeinhardt

February 01, 2021, 03:02:52 PM #7

pmeinhardt

February 01, 2021, 05:54:44 PM #8

JeGr

February 01, 2021, 06:04:28 PM #9

chemlud

February 01, 2021, 06:16:08 PM #10

pmeinhardt

February 03, 2021, 11:50:56 AM #11