Unbound nur auf best. VLANs & redirect DNS für hardcoded devices

[Patrick M. Hausen]

Ja, klar. Wenn du die Anfragen wegNATest, gilt das für alle Geräte in dem Netz. Es sei denn, du formulierst die NAT-Regel so, dass du z.B. 1.1.1.1 als Ziel ausnimmst (destination invert).

Was genau willst du eigentlich lösen? Lass alle deine Geräte den Resolver auf der OPNsense nutzen, per Default Unbound, und gut ist.

[dumbo]

Dann war es doch das mit dem NAT aus dem ersten Beitrag. Dachte, dass wäre ausgeschlossen auf Grund deiner Antworten/Vorschläge.

Aber ok - verstanden und gelernt.

Im Grunde sollen auf dem Port nachher Geräte laufen, die nicht über "meinen" Unbound sollen und direkt über einen anderen DNS ins Netz sollen.
Wenn ich NAT Port Forward für das Notebook-Netz weglasse und dann auch direkt die Regel mit dem DNS weglasse für das Interface, dann sollte es gehen, oder?

[Patrick M. Hausen]

Sollte, ja. Aber weshalb sollen die Geräte nicht deinen Unbound benutzen? Lokaler Resolver ist immer besser, und man hat z.B. Logs, was die so alles abfragen ... AdGuard Home ist da eine klasse Ergänzung mit schöner Oberfläche.

[dumbo]

Danke Dir für den Tipp.

Manchmal hat man sich ja etwas in den Kopf gesetzt und will es irgendwie umsetzen.

Da hilft auch oft mal ein Blick von außen, der einem einen anderen Weg vorschlägt - wie in dem Falle jetzt.

Ich denke, ich werde es dann so machen wie Du schreibst.

AdGuard Home wollte ich auch mal testen. Aktuell laufen bei mir noch Blacklists im Unbound (aber da sieht man ja wenig bis nichts, was da so passiert - bzw. hat man da auch keine Kontrolle drüber).

[dumbo]

AdGuard Home ist da eine klasse Ergänzung mit schöner Oberfläche.

Wow - danke. Das lief wirklich sehr einfach. AdGuard ist drauf und läuft.

Jedoch habe ich noch zwei Probleme:
1. er löst meine IPs nicht auf in AdGuard - sprich ich sehe die Hostnamen der Devices nicht, sondern nur IPs
2. ich würde es gerne so einstellen, dass der Unbound meiner OPNsense der Upstream für meinen AdGuard ist - was muss man da tun?

Danke und Grüße

[KHE]

Hi,

du kannst das unter DNS settings den Unbound zusätzlich eintragen: [/example.com/]127.0.0.1:53
Port must halt anpassen. Dann nimmt er nur für example.com den Unbound. Wenn du example.com durch deine Heim-Domäne ersetzt, dann klappt die locale DNS-Auflösung für die Clients.
Wenn du nur die 127.0.0.1:<Unbound Port> einträgst, dann nimmt er den Unbound als Upstream.

Und für Reverse: Private reverse DNS servers dort auch den Unbound eintragen.

Gruß
KH

[Patrick M. Hausen]

Einfach für alles den lokalen Unbound eintragen und den ohne Upstream sein rekursives Ding machen lassen. DNS ist dezentral, Leute, man braucht keinen Upstream Server. Weder vom ISP noch von Google/Cloudflare/...

[dumbo]

Danke für die Hilfe.

Wenn ich das richtig verstehe, muss ich das so machen:

Port von Unbound wurde in der OPNsense auf 5353 angepasst, da der AGH ja Port 53 nutzt.

- Upstream DNS servers = 127.0.0.1:5353
- Bootstrap DNS servers = 127.0.0.1:5353
- Private reverse DNS servers = 127.0.0.1:5353

Bzgl. der private reverse und Host-Namensauflösung bin ich mir unsicher, ob das so richtig ist?

Oder muss dann noch der Eintrag [/example.com/]127.0.0.1:53 irgendwo rein? Und falls ja, ist das jetzt der Port für den AGH oder muss da auch 5353 rein?

[dumbo]

AdGuard Home ist da eine klasse Ergänzung mit schöner Oberfläche.

Das Problem was ich aktuell mit dem AdGuard Home dann habe ist, dass meine NAT Port Forward Regel jetzt nicht mehr klappt. Beim Test mit Yahoo ins Host-Override gesetzt kommt folgende Meldung.
nslookup yahoo.com 1.1.1.1
;; reply from unexpected source: 172.16.16.1#53, expected 1.1.1.1#53

[dumbo]

So - kurzes Update.

Unbound läuft, Namensauflösung läuft.

Habe im AGH jetzt einstellt:
- Upstream DNS servers = (IP der OPNsense):53053
- Bootstrap DNS servers = belassen wie es war
- Private reverse DNS servers = (IP der OPNsense):53053

Port 53053 deshalb, weil wohl der 5353 vom mDNS Responder genutzt wird bzw. es wohl da Probleme mit gibt.

Aktuell hängt jetzt nur noch die NAT Port Forward DNS Umschreibung (damit Clients keine Hard-Coded DNS nehmen können), die nicht geht. Da weiß ich aber noch nicht weiter woran es liegt.

[dumbo]

Einfach für alles den lokalen Unbound eintragen und den ohne Upstream sein rekursives Ding machen lassen. DNS ist dezentral, Leute, man braucht keinen Upstream Server. Weder vom ISP noch von Google/Cloudflare/...

Hi. Hierzu habe ich noch einmal eine Frage, da ich nicht weiß, ob das ganze so "sicher" ist wenn man seinen eigenen Unbound nutzt. Macht man sich da nicht gerade im Bereich von IPv6 identifizierbar?

vgl. https://forum.opnsense.org/index.php?topic=32441.0

Oder habe ich einen Denkfehler?

[Patrick M. Hausen]

Was soll der DNS-Dienst mit der Identifizierung deiner IPv6-Adressen zu tun haben?

Deine Clients fragen deinen lokalen DNS-Server. Der bearbeitet die rekursiven Anfragen selbständig. Dabei wird nirgends die Adresse des anfragenden Clients übertragen. Wozu auch? Dein lokaler DNS-Server ist natürlich sichtbar, normalerweise ist das dann die Adresse der OPNsense.

Moderne Client-Betriebssysteme benutzen darüberhinaus Privacy Extensions:
https://www.rfc-editor.org/rfc/rfc4941

HTH,
Patrick

[dumbo]

Deine Clients fragen deinen lokalen DNS-Server. Der bearbeitet die rekursiven Anfragen selbständig. Dabei wird nirgends die Adresse des anfragenden Clients übertragen. Wozu auch? Dein lokaler DNS-Server ist natürlich sichtbar, normalerweise ist das dann die Adresse der OPNsense.

Danke Dir für das Feedback... Ja ich weiß. Aber im Grunde steht dann ja jetzt die Adresse der OPNsense im Netz und macht mich doch damit identifizierbar. Sprich Browsing-Aktivitäten können so gut geloggt und profiliert werden.
Mit ext. Resolvern wäre das ja dann so nicht der Fall... Oder?

[Patrick M. Hausen]

Was meinst du mit "im Netz"?

Ein DNS Server für .org sieht und beantwortet deine Anfrage für opnsense.org.
Ein DNS Server für .opnsense.org sieht und beantwortet deine Anfrage für forum.opnsense.org.
Der Server mit dem Forum sieht die HTTPS-Verbindung vom Browser deines Clients.

Jeweils mit deren IP-Adressen. Logisch - es muss ja kommuniziert werden.

Nutzt du einen externen Resolver gibst du dem Betreiber des externen Resolvers die vollständige Info, dass du gerne auf forum.opnsense.org unterwegs bist, natürlich ebenfalls samt deiner IP-Adresse.

Warum sollte man dem Betreiber eines Resolvers trauen? Diese werden m.E. gezielt zum Datensammeln betrieben. Ich verwende grundsätzlich keine.

Ersetze forum.opnsense.org durch www.mecfs-beratung.de oder www.anonyme-alkoholiker.de oder ... (Domains frei erfunden) und du siehst hoffentlich, wo das Problem mit zentralen Instanzen liegt.

[dumbo]

Warum sollte man dem Betreiber eines Resolvers trauen? Diese werden m.E. gezielt zum Datensammeln betrieben. Ich verwende grundsätzlich keine.

Hi. Das ist mir klar und deshalb mag ich auch eigentlich selbst meinen Unbound nutzen (bzw. habe ich es bisher auch so gemacht).

Seit IPv6 ist es aber so, dass quasi die Adresse des lokalen Unbound-Resolvers offen im Netz steht.

Schau mal z.B. auf https://browserleaks.com/dns > dort steht neben der IPv4 (wenn Du eine hast) auch die IPv6 Adresse deines lokalen Unbound-Resolvers.

Und darum geht es mir - Websites loggen das und nutzen das zum Profiling. Die Adresse ist mehr oder weniger statisch (Präfix mag sich mal ändern) der Rest aber nicht.

Ja - bei statischen IPv4 ist es ähnlich / aber nicht bei dynamischen IPv4.
Bei wechselnden IPv6 Präfixen ist es hingegen schon nicht gut, da wie o.a. der Rest der Adresse unique bleibt. > Daraufhin kann man loggen/Profilen etc.

Findest Du das sicher? Das ist das was ich meine.