ssl handshake failed crypto error:1416F086:SSL Digitalcourage Unbound DNS

[ziegler]

Hallo,

ich verwende den Unbound DNS von Digitalcourage, dns3.digitalcourage.de
Heute klappt die DNS Auflösung nicht mehr.

Im Log taucht folgendes auf:

[76302:3] error: ssl handshake failed crypto error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed

Hat da jemand eine Idee woran es liegen könnte?
An meiner opnsense oder vielleicht am DNS Server selbst?

[chemlud]

Habe ich hier auch in den logs für diesen DNS seit heute morgen. Ich habe aber grundsätzlich mehrere DNS konfiguriert (freifunker, blahdns etc. pp.), daher funktioniert DNS weiter und ich merke es nur, wenn ich in die logs schaue...

"SSL routines:tls_process_server_certificate:certificate verify failed" als Fehlermeldung ist eigentlich selbsterklärend, oder? ;-)

[ziegler]

Ich habe "nur" den einen eingetragen, deshalb merke ich den Ausfall.

Die Fehlermeldung deute ich so --> Fehler des Zertifikats auf dem Server, die opnsense kann das Zertifikat nicht verifizieren.

Hier  https://forum.opnsense.org/index.php?topic=24996.msg119988#msg119988 wird von Let‘s Encrypt Zertifikaten auf der opnsense gesprochen.
Die Root CA dort austauschen.

Da steht auch was von einem Reboot, das werde ich als erstes heute abend dann mal testen.

Deshalb bin ich etwas irritiert.

[KHE]

Das Zertifikat von dns3.digitalcourage.de ist von heute morgen. Da hat das automatische erneuern scheinbar nicht geklappt.

Code: [Select]

srv1:~$ openssl s_client -connect dns3.digitalcourage.de:853 | openssl x509 -noout -dates
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = dns3.digitalcourage.de
verify return:1
notBefore=May  2 08:27:47 2022 GMT
notAfter=Jul 31 08:27:46 2022 GMT

KH

[chemlud]

Ich habe "nur" den einen eingetragen, deshalb merke ich den Ausfall.

Die Fehlermeldung deute ich so --> Fehler des Zertifikats auf dem Server, die opnsense kann das Zertifikat nicht verifizieren.
...

Ohne DNS kein Indernetz, das wäre mir mit nur einem DNS server zu heikel. Irgendein Heiopei erneuert sein Zertifikat nicht und bei dir bricht die (digitale) Welt zusammen...:-)

[Patrick M. Hausen]

Weshalb sich überhaupt auf einen Upstream-Server verlassen? Auf der OPNsense selbst gibt es mehrere rekursive Server zur Auswahl, die alle ganz prima funktionieren: Unbound, BIND, AdGuard Home, ...

[chemlud]

Weshalb sich überhaupt auf einen Upstream-Server verlassen? Auf der OPNsense selbst gibt es mehrere rekursive Server zur Auswahl, die alle ganz prima funktionieren: Unbound, BIND, AdGuard Home, ...

...der eine kauft Biorindersteak, der andere Schweinenacken zu 75 Cent das Kilo...

[ziegler]

Das Zertifikat von dns3.digitalcourage.de ist von heute morgen. Da hat das automatische erneuern scheinbar nicht geklappt.

Code: [Select]

srv1:~$ openssl s_client -connect dns3.digitalcourage.de:853 | openssl x509 -noout -dates
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = dns3.digitalcourage.de
verify return:1
notBefore=May  2 08:27:47 2022 GMT
notAfter=Jul 31 08:27:46 2022 GMT

KH

Es funktioniert jetzt auch wieder ohne mein Zutun.... das Zertifikat hat sich wohl erst jetzt erneuert.

Danke für die Erklärung :-)

[ziegler]

Weshalb sich überhaupt auf einen Upstream-Server verlassen? Auf der OPNsense selbst gibt es mehrere rekursive Server zur Auswahl, die alle ganz prima funktionieren: Unbound, BIND, AdGuard Home, ...

...der eine kauft Biorindersteak, der andere Schweinenacken zu 75 Cent das Kilo...

Mhhh.... ist dann der DNS von Digitalcourage jetzt das Biorindersteak oder das Billigdiscounter Fleisch?

Und ich nutze die opnsense ja privat, deshalb habe ich "nur" einen DNS eingetragen, wenn der mal ausfällt geht die Welt nicht unter, kann ja jederzeit wieder den vom Provider aktivieren.

[JeGr]

> Und ich nutze die opnsense ja privat, deshalb habe ich "nur" einen DNS eingetragen, wenn der mal ausfällt geht die Welt nicht unter, kann ja jederzeit wieder den vom Provider aktivieren.

Der Punkt von Patrick war ja, dass du rein technisch "überhaupt keinen" eintragen musst, wenn du statt dessen auf deiner Sense einen Resolver DNS Service - Unbound etc. - nutzt. Du musst DNS nicht zu einem Server "forwarden", du kannst auch schlicht selbst DNS "auflösen" (resolve). Geht dann manchmal ein Tacken langsamer als platt an nen Forwarder zu senden, aber der Resolver spricht dann eben mit jedem DNS Server, der zur Domain gehört selbst - also mit aberdutzenden DNSen und nicht mit einem einzigen. So ist DNS/das Internet eigentlich geplant - dezentral - und nicht als Netz in dem es nur zwei Hand voll DNS Anbieter gibt, die dann filtern können was sie wollen

> Mhhh.... ist dann der DNS von Digitalcourage jetzt das Biorindersteak oder das Billigdiscounter Fleisch?

Das wäre wahrscheinlich sowas wie gutes Haltungssiegel und ein Bio Logo, aber ohne die 10 BIO! logos von anderen
Im Ernst, der DNS von DC ist eben ein Forwarder. Heißt die bekommen ALLE DNS Anfragen von dir und könnten die theoretisch - wie auch dein Provider - auswerten. Ganz egal ob du das verschlüsselt da hinballerst oder nicht, auf dem Server selbst kann man mitlesen was du tust. Jetzt sagt DC natürlich dass sie das genau NICHT machen, und das kann man da auch gern glauben. Praktisch ist das aber

a) Vertrauen in den Diensterbringer, dass er wirklich nichts loggt
b) dass er nichts am DNS verändert oder blockt oder zensiert
c) dass er keine Daten über dich damit sammelt

Dafür bekommt dein ISP nichts mehr vom DNS mit, wenn du das verschlüsselt (DoT) dorthin schipperst. Aber dein Zielserver weiß dann - wie gesagt theoretisch - alles von dir.

Andersrum: du nutzt den DNS Resolver. Dann gehen alle Abfragen für DNS an deine Sense an bspw. Unbound und werden dann aufgelöst, so wie jeder andere Resolver das macht:

www.test.de
-> wer ist denn DNS für .de?
--> Frage DNS Server von .de wer DNS Server von test.de ist?
---> Frage DNS Server von test.de, welche Adresse denn www.test.de hat.

Jup, das sind 3 Schritte statt einem von einem Forwarder. Aber: das ist meistens egal, denn Forwarder oder Resolver - meistens werden DNS Anfragen eh vom Tool der Wahl gecached, also ist nur der erste Aufruf langsamer. Doof dabei: Die Anfragen sind nicht mehr verschlüsselt, heißt theoretisch kann dein ISP mitschnüffeln.

Praktischer Nutzen:
* du fragst immer direkt den DNS Server, der auch garantiert weiß wie die Antwort heißen müsste weil er für die Adresse zuständig ist
* du fragst automatisch verschiedene Server und dadurch hast du keine Probleme, wenn einer mal ausfällt - es geht dann höchstens die Domain/der Service nicht, dessen DNS kaputt ist
* es gibt keine zentrale Stelle (ausgeklammert dein Provider), die alles an DNS Abfragen über dich sammeln kann (wie DNS Server von Google, Quad9, Cloudflare, Digitalcourage etc.)
* ändert sich dann doch mal der Anbieter, das Credo oder der Eigentümer und ein DNS Forwarder loggt plötzlich im Geheimen alles mit - interessiert dich nicht
* Dein Provider DNS fällt aus, der DNS Server von DC hat Zertifikatsprobleme, Google nicht erreichbar, Quad9 zensiert (erzwungen) irgendwelche DNS Adressen? Juckt dich nicht, da du das Ziel direkt fragst.

Hat also beides Pros und Contras. Transportsicherheit vs. Dezentralisierung aber mit Möglichkeit dass mein Traffic ggf. redirected werden könnte.

Eben wie beim Biosiegel

PS: Einziger interessanter Ansatz aktuell ist DoHoT, was aber jetzt für diesen Thread out of scope ist, aber tatsächlich interessant sein könnte.

Cheers
\jens

[chemlud]

DoT und ein paar unterschiedliche privacy DNS server halte ich für eine gute Wahl. Bio ist es nicht ganz... ;-)

[JeGr]

> DoT und ein paar unterschiedliche privacy DNS server halte ich für eine gute Wahl. Bio ist es nicht ganz... ;-)

Das geht schon fast in die DoHoT Richtung. Loadbalancing über DoTs hat da seine ganz eigenen Böcke, aber ich muss mal endlich Zeit freibekommen, DoHoT aufzubauen, das müsste die meisten Probleme inkl. Privacy recht gut lösen

D (DNS) oH (also via HTTPS) oT (over TOR). TOR für die Anonymisierung/Privacy, dass die Verbindung nicht sinnvoll rückführbar ist. Darüber dann - weil sonst kein TOR sinnvoll - DoH auf multiple Server mit Failover Peers (also ~4-8 DoH Server angeben die dann notfalls durchiteriert werden können). Damit ist der "Server weiß die Abfrage" Fall irrelevant weil die Person durch TOR nicht erkennbar ist. Und TOR + HTTPS sorgt für kein Abschnorcheln am Anschluß. WinWin

[ziegler]

Erst mal vielen Dank an alle für die Unterstützung und Erklärungen :-)

Ich bin leider noch nicht so tief in der Materie drin, mir ging es darum einen "unabhänigeren" DNS zu nehmen.
Da bin ich auf Digitalcourage gestossen...... zensurfreier DNS.

Das Prinzip DNS Resolver war mir so noch gar nicht bekannt.
Ich betreibe die opnsense "nur" aus Hobby und Interesse an der IT, ist ein kleines APU Board mit 250 MBits Anbindung.

Ich werde mich da mal reinlesen und mich informieren was die opnsense so noch alles kann.....
Mir ist z.B. auch noch nicht der Begriff Unbound DNS geläufig...... ungebunden ok, aber was ist da mit genau gemeint?
DigitalCourage ist Forwarder, das verstehe ich, diesen habe ich in der opnsense unter Dienste --> "DNS over "TLS" eingetragen.  Unter Dienste --> Unbound DNS --> Allgemein habe ich "Unbound DNS" aktiviert.

Was ist der Unterschied, zwischen aktivierten Unbound und deaktivierten Unbound?

Ich habe noch viel zu lernen.....

[KHE]

Mir ist z.B. auch noch nicht der Begriff Unbound DNS geläufig...... ungebunden ok, aber was ist da mit genau gemeint?

OK, DNS = Domain Name Server = Software um Rechnernamen in IP-Adressen umzuwandeln. Nur über diese IP-Adressen können die Rechner über das Internet miteinander kommunizieren.
Unbound = Name einer Software die das tut. Wohl ein Wortspiel für:
Bind = Name der (vermutlich) bedeutendsten Software dafür. Und einer der ältesten. Akronym für Berkeley Internet Name Domain.

DigitalCourage ist Forwarder, das verstehe ich, diesen habe ich in der opnsense unter Dienste --> "DNS over "TLS" eingetragen.

Ich nehme https://dns.watch und https://blog.uncensoreddns.org/. Welche du nimmst, ist, wie @JeGe schon meinte, eine Frage des Vertrauens.

Unter Dienste --> Unbound DNS --> Allgemein habe ich "Unbound DNS" aktiviert.

Was ist der Unterschied, zwischen aktivierten Unbound und deaktivierten Unbound?

Wenn du Unbound deaktivierst, dann must du unter System: Settings: General -> Neworking -> DNS servers halt welche eintragen, damit die OPNsense selbst Rechnernamen im Internet auflösen kann. Und alle deine Rechner in deinem Netz brauchen auch einen DNS Server, damit sie richtig funktionieren, da die OPNsense das nicht für sie machen kann. Entweder statisch eingetragen, oder in den DHCP-Server Einstellungen übergeben. Lokale Rechner kannst du dann auch nicht mehr per Namen ansprechen. Alternativ kannst du auch eine andere DNS-Software aktivieren.

Du kannst auch anstatt unbound dann auch DNSmasq DNS aktivieren, der macht das ähnlich wie unbound, ist aber das ältere Produkt und nur noch Zwecks abwärtskompabilität installiert.
Eine weitere Möglichkeit ist das bind-Plugin os-bind oder das Adguard Home Plugin os-adguardhome-maxit aus dem Community Repository  https://www.routerperformance.net/opnsense-repo/.

Ich würde für den Anfang noch ein paar weitere DNS-Server unter Services: Unbound DNS: DNS over TLS eintragen.

Ich habe noch viel zu lernen.....

Ich auch ... 

KH

[ziegler]

Vielen Dank für die ausführliche Erklärung :-)

Ich werde mich mit der Materie mal intensiver befassen, ist aber ein komplexes Thema, aber interessant.

Nochmals vielen Dank