Wireguard selektives Routing - DNS Leaks neue oder schlechte Idee ?

[kobelka]

Moin,
ich habe bei mir das selektive Routing mit Wireguard nach dieser Anleitung https://docs.opnsense.org/manual/how-tos/wireguard-selective-routing.html eingerichtet

Bis auf diese Änderungen:





Beim Gateway hatte ich zunächst wie in der Anleitung beschrieben einfach die Tunneladresse -1 also 10.14.0.1 genommen, da hatte ich aber immer viel Paketloss und Bildaussetzer beim Streamen, mit 10.13.1 nicht.



Und um die DNS Leaks zu beseitigen habe ich keine der Varianten in der Anleitung gewählt, sondern ich habe unt Firewall -> NAT -> Port Forward diese Regel eingerichtet, die Interfaces ist einmal das VPN Interface und die beiden VLAN Interfaces in den sich die Clients befinden



Jetzt die Frage, passt das so oder spricht etwas dagegen ? Auf jeden Fall habe ich so keine DNS Leaks

[Monviech (Cedrik)]

Du hast wahrscheinlich keine DNS leaks mit normalem DNS.

Aber es gibt noch:

DNS over TLS
DNS over HTTPS
DNS over QUIC

Die Liste wächst stätig und für sowas benötigt man DPI wenn es die Betriebssysteme und Browser irgenwann einfach selbstständig machen.

Wenn deine Clients außerdem IPv6 haben geht das auch an der Regel vorbei.

[kobelka]

Läuft alles nur über ip4, kann ich irgendwo feststellen ob noch etwas daneben geht ?

Bei dnsleaktest.com ist auch der extended test ok.

Was ist generell zu meiner Version mit dem NAT -Port forward zu sagen ?
Ist das irgendwie "schädlich" (da es ja im Wiki so nicht drin steht)

[Monviech (Cedrik)]

Mit Destination NAT die DNS Umfragen umzuleiten ist eine sehr verbreitete Konfiguration, alles in Ordnung damit.

Damit sollten keine DNS Anfragen an der Firewall vorbeigehen können.

Im Zweifelsfall noch eine Firewallregel machen die Port 53 ins Internet blockt.