[gelöst] - Fragen zu AdGuardHome - Nutzung ohne DOH

[kruemelmonster]

Ich habe mir mal AdGuardHome auf der OpnSense installiert. Allerdings komme ich mit der Konfiguration noch nicht so ganz klar.

Mein Ziel ist, AdGuardHome (AGH) mit unbound als Resolver zu betreiben. ABER ohne DOH. Geht das überhaupt? Ich meine,  kann der AGH die Anfragen über DOH überhaupt filtern? Nach meinem Verständnis dürfte er das nicht können, weil die ja über https rausgehen.

Ich habe zum Test in der DNS-Konfig des AGH alle Upstream-Server auf den unbound (127.0.0.1:53) umgebogen. Da bekomme ich aber keinerlei DNS-Auflösungen, wenn ich die DNS-Anfragen auf Port 53053 des AGH umleite (NAT-Regel). Die NAT-Regel selbst kann es nicht sein, denn im Protokoll des AGH werden die Anfragen geloggt, kommen also dort an und werden auch beantwortet.

Alternativ - wie kann ich Anfragen an DOH-Server blockieren? Gibt es dazu etwas was ohne Aufbrechen der Verschlüsselung funktioniert? Oder kann ich in dem Fall nur versuchen, eine möglichst vollständige Liste von DOH-Servern über DNS zu blockieren?

[Zapad]

lies mal
https://forum.opnsense.org/index.php?topic=43222.0

[Tuxtom007]

Ich habe zum Test in der DNS-Konfig des AGH alle Upstream-Server auf den unbound (127.0.0.1:53) umgebogen. Da bekomme ich aber keinerlei DNS-Auflösungen, wenn ich die DNS-Anfragen auf Port 53053 des AGH umleite (NAT-Regel). Die NAT-Regel selbst kann es nicht sein, denn im Protokoll des AGH werden die Anfragen geloggt, kommen also dort an und werden auch beantwortet.

Verstehe nicht so ganz, was du da mit einer NAT-Regel machst.

[Patrick M. Hausen]

Ich beantworte das gerne später ausführlich. Ich habe genau so ein Setup laufen. Nur jetzt sofort keine Zeit.

Gruß
Patrick

[kruemelmonster]

Ich habe zum Test in der DNS-Konfig des AGH alle Upstream-Server auf den unbound (127.0.0.1:53) umgebogen. Da bekomme ich aber keinerlei DNS-Auflösungen, wenn ich die DNS-Anfragen auf Port 53053 des AGH umleite (NAT-Regel). Die NAT-Regel selbst kann es nicht sein, denn im Protokoll des AGH werden die Anfragen geloggt, kommen also dort an und werden auch beantwortet.

Verstehe nicht so ganz, was du da mit einer NAT-Regel machst.

Genau das, was Patrick hier vor 3 Tagen beschrieben hatte:

AdGuard Home braucht zwingend einen rekursiven Upstream-Server. Dafür nehme ich meinen lokalen Unbound? Was schlägst du sonst vor?

@loaded

Bei mir ist Unbound der Default-Nameserver auf Port 53 überall. AdGuard Home liegt auf 127.0.0.1:53530 und hat 127.0.0.1:53 als einzigen Upstream.

Auf allen Interface, bei denen ich will, dass die Clients AGH benutzen, habe ich eine NAT Port Forward Regel von TCP/UDP, Destination: this firewall:53 nach 127.0.0.1:53530.

Klappt ausgezeichnet. Statische Overrides und Registrierungen vom DHCPd in Unbound funktionieren auch.

Nur halt einen anderen Port (53053) für AGH. Funktioniert nur leider nicht, was aber wie schon beschrieben, nicht an der NAT-Regel liegt.

[kruemelmonster]

lies mal
https://forum.opnsense.org/index.php?topic=43222.0

Danke. Die Links in dem Beitrag

Ah, danke. Gehe ich dann richtig der Annahme, dass dieser dann auch DoH / DoT blocken kann?

nein, die Annahme ist falsch, du kannst aber Regeln erstellen das zb DoH Server(ip's) und Dot Port 853 geblockt werden....
eleganter weise DoH abgelehnt und Port 53 umgeleitet.

hier ein paar Adressen:

https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv4.txt
https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv6.txt

sind genau das, was ich suche. Das ich DoT problemlos blocken/umleiten kann, war mir klar. Der eigentliche Problemfall ist DoH.

[tiermutter]

DOH kannst du ohne es aufzubrechen nur mit möglichst vollständigen Listen blocken.
Ich verwende hier auch einige Listen, schaffe es heute aber nicht mehr zu schauen welche.

[Tuxtom007]

[quote author=kruemelmonster link=topic=43261.msg215110#msg215110 date=172831267
Nur halt einen anderen Port (53053) für AGH. Funktioniert nur leider nicht, was aber wie schon beschrieben, nicht an der NAT-Regel liegt.
[/quote]
Ok, ich machs etwas anders:
- Adguard auf Port 53, als Default in jedem LAN
- Unbound auf Port 53053  und als Upstream im Adguard
- ebenso Unbound als "Private inverse DNS-Server" in Adguard

Auflösung lokaler Host funktioniert, Overwrite ebenso ( beides über Unbound ), aber ich hab keine extra NAT-Regel erstellt.

Einzig das ich so nicht erzwinge, das Gerät über Adguard laufen oder nen eigenen DNS nutzen ( bei Apple ja ein Thema )

[Patrick M. Hausen]

Also mal Schritt für Schritt.

1. DNS und DoT außerhalb der eigenen OPNsense unterbinden:

Dazu habe ich eine Floating Rule, die für UDP und TCP Ports 53 und 853 zu jedem Ziel außer "This Firewall" blockt.



2. Unbound aufsetzen:

Eigentlich Standard, Port 53, Interfaces "All (recommended)", keine Access-Listen. Dass man den von außen nicht mißbraucht, dafür sorgen die Firewall-Regeln. Unbound hat keinen Upstream-DNS.

3. AdGuard Home (Ausschnitte aus der AdGuardHome.yaml):

Code Select Expand


http:
  address: 0.0.0.0:3000

dns:
  bind_hosts:
    - 127.0.0.1
  port: 53530

  upstream_dns:
    - 127.0.0.1
  upstream_dns_file: ""
  bootstrap_dns:
    - 127.0.0.1
  fallback_dns: []


Das "bind_hosts: 127.0.0.1" ist wichtig, weil sonst die Anfragen vom jeweils lokalen Interface aus beantwortet werden, aber mit einem anderen Source-Port als 53, und die Clients die Antworten dann ablehnen.

Um DoH zu unterbinden nun die passende Blockliste in AGH konfigurieren.



4. Clients zu AGH umleiten:

Hierzu benutze ich dort, wo ich das will, eine entsprechende NAT Port Forward Regel.



HTH,
Patrick

[kruemelmonster]

Ich danke allen Tipgebern für die teils sehr ausführliche Hilfe. Habe es damit mühelos hinbekommen. Derzeit funktioniert schon mal der AdGuardHome so, wie ich mir das vorgestellt habe.

Was das Blockieren der DoH-Server betrifft, muss ich mal sehen, wie ich die Listen am elegantesten in die OpnSense rein bekomme. Da melde ich mich sicher nochmals.

[Patrick M. Hausen]

Wenn deine Clients bei AGH aufschlagen, dann kannst du DoH an der Stelle blocken, z.B. mit HaGeZis Liste. 100% geht bei DoH nicht - du bist immer auf aktuelle Blocklisten angewiesen.

Das Repo auf Github von HaGeZi ist genial, m.E. Aktuell, gut dokumentiert, transparent - benutz es einfach  ;)

HTH,
Patrick

[kruemelmonster]

Wenn deine Clients bei AGH aufschlagen, dann kannst du DoH an der Stelle blocken, z.B. mit HaGeZis Liste. 100% geht bei DoH nicht - du bist immer auf aktuelle Blocklisten angewiesen.

Das Repo auf Github von HaGeZi ist genial, m.E. Aktuell, gut dokumentiert, transparent - benutz es einfach  ;)

HTH,
Patrick

Die Liste habe ich bereits aktiviert. Und ja, ich bin mir durchaus bewusst, das dieser Weg nie zu 100% "wasserdicht" sein kann. Aber die allermeisten Fälle von DoH dürfte ich damit erschlagen.

Habe mal diese Listen heruntergeladen:
- https://adguardteam.github.io/HostlistsRegistry/assets/filter_52.txt,
- https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv4.txt,
- https://raw.githubusercontent.com/dibdot/DoH-IP-blocklists/master/doh-ipv6.txt

und sie in Libreoffice-Calc eingelesen und mal kurz drüber geschaut. Die Liste von AdGuardHome scheint die umfangreichste zu sein.