Google hat ungewöhnlichen Traffic aus meinem Computernetzwerk festgestellt

[emmitt]

Hallo,

zeitlich zusammenhängend mit dem Update von 24.7 auf 25.1 (vermutlich ein Zufall) erhalte ich bei nahezu jeder Abfrage den o.g. Hinweis bei Suchanfragen über Google.

Natürlich kann ich einen Malwarebefall nicht völlig ausschließen - allerdings nutze ich ausschließlich iOS und macOS Devices mit Software aus dem App-Store. Sicherheitshalber habe ich aber nochmal einen Virenscan durchgeführt - ohne das etwas Verdächtiges gefunden wurde. Als Browser nutze ich Safari ohne irgendwelche Plugins.

Auf der OPNsense läuft Adguard Home - dort sehe ich keinen auffälligen Traffic Richtung Google.
Welche Möglichkeiten bietet mir die OPNsense, mich einer Lösung zu nähern. Oder habt Ihr andere Tipps? Ich weiß, man kann Startpage nutzen, aber dennoch ist ja die Meldung auffällig... :-)

[kruemelmonster]

Ich kann dir in Richtung OpnSense leider nicht viel raten. Bin da auch eher Anfänger. 
Aber nimm doch mal entweder alle Geräte bis auf eines oder der Reihe nach immer ein Gerät komplett runter von deinem Netz. Vielleicht kommst du da schon weiter. Außerdem könntest du natürlich auch einen älteren Rechner einfach mal mit Linux bespielen. Das geht recht fix. Dann kannst du das ohne andere Geräte im Netz testen. Nebenbei könntest du damit ein garantiert sauberes Bootmedium beim Apfel abbeißen und vielleicht damit deine Rechner booten und die Platten mit einem Virenscanner quälen. Oder notfalls neu bespielen;-)

[KHE]

Hi,

zeitlich zusammenhängend mit dem Update von 24.7 auf 25.1 (vermutlich ein Zufall) erhalte ich bei nahezu jeder Abfrage den o.g. Hinweis bei Suchanfragen über Google.

hat sich durch den Reboot beim Update die WAN IP geändert?
Wenn ja, hat der "Vorbesitzer" der IP das Problem verursacht.

Gruss
KH

[emmitt]

Vielen Dank für Eure Tipps

hat sich durch den Reboot beim Update die WAN IP geändert?

Nein ich habe eine feste IP-Adresse...

Mittlerweile habe ich die Apple Geräte nochmal mit anderen Scannern geprüft - nix.

Kann man mit der OPNsense nicht sämtliche Google-Anfragen inkl. der jeweiligen Device-IP sichtbar machen?
Mit würde es natürlich sehr helfen, wenn ich wüsste, welches Gerät diesen Traffic erzeugt.

Es müsste ja eigentlich ein Device sein, dass Adguard umgeht, denn dort sehe ich keine auffälligen Google-Aufrufe. Oder denke ich da falsch?

[kruemelmonster]

Es müsste ja eigentlich ein Device sein, dass Adguard umgeht, denn dort sehe ich keine auffälligen Google-Aufrufe. Oder denke ich da falsch?

Bist du sicher, das die Äpfel nicht DOH nutzen (im Zweifelsfall auch ohne dich zu fragen)? Damit kann man AdGh sehr leicht umgehen. Und dummerweise kannst du das auch kaum zu 100% unterbinden. Die Listen für DNS-Blockaden dürften kaum zu jedem Zeitpunkt vollständig sein :-(

[viragomann]

Bist du sicher, das die Äpfel nicht DOH nutzen (im Zweifelsfall auch ohne dich zu fragen)?

Nach meiner Erfahrung tun sie das. Vorzugsweise fragen sie Apples eigene DNS Server ab. Die wollen ja schließlich auch wissen, was die Nutzer mit ihren Geräten so treiben.

Und dummerweise kannst du das auch kaum zu 100% unterbinden. Die Listen für DNS-Blockaden dürften kaum zu jedem Zeitpunkt vollständig sein :-(

Der / die Apfel-DNS sollten schon bekannt und in den Listen enthalten sein. Ich sehe jedenfalls viele Blocks diesbezüglich. Ob die Geräte dann aber auf Standard-DNS zurückfallen oder versuchen, andere DoH Server abzugragen, habe ich noch nicht überprüft.

[Lochkartenknipser]

Hallo emmitt,

als erstes würde ich mal eine Deny Regel für DNS einrichten was von den Clients kommt. Nur die OPNsense darf DNS beantworten. Dann siehst Du schon mal was da alles aufschlägt und ob die Äpfel eigene DNS-Server abfragen möchten.

Als nächstes würde ich einen Mirror-Port auf dem Switch einrichten (wenn Du einen gemanagten Switch hast) und einen Wireshark mitlaufen lassen. Dann siehst Du genau wo die Clients hinmöchten und wie oft.

Grüße
Markus

[emmitt]

Vielen Dank für Eure Anregungen.

Deny Regel für DNS einrichten was von den Clients kommt. Nur die OPNsense darf DNS beantworten. Dann siehst Du schon mal was da alles aufschlägt und ob die Äpfel eigene DNS-Server abfragen möchten.

Das klingt nach einem guten Plan - ich hoffe nur, dass ich es selber umsetzen kann.
Habe Adguard Home in Verbindung mit Unbound nach folgendem Leitfaden und Option1 umgesetzt.
Ich hoffe, es ist nicht unverschämt zu fragen, wie man da jetzt vorgehen müsste, ohne alles kaputt zu machen?


5 - In Adguard Home - DNS Configuration - Upstream Servers:   Set the desired servers ( 1.1.1.1,   8.8.8.8     etc )

6 - In Opnsense disable Unbound. In case you want to use it leave it activated by changing the port to 5353 and in Adguard Home - DNS Configuration - Upstream Servers  add router_ip:5353

- It is not necessary to activate the internal opnsense dns ( 127.0.0.1 ) in Opnsense in System-Settings-General

- No need to make port forward rules to forward all DNS (Port 53) traffic to AdGuard

- No need to set dns servers to DHCP

DNS over HTTPS - DNS over TLS:

Option 1:

- In Opnsense - Unbound - Miscellaneous   set the desired dns servers 1.1.1.1@853     8.8.8.8@853

- Active Unbound in port 5353

- In Adguard Home - DNS Configuration - Upstream Servers add router_ip:5353

[osmom]

Nur das es nicht deine DNS-Anfragen sind, nimm die Google-Server 8.8.8.8 und 8.8.4.4 aus deiner DNS-Konfiguration und ersetzte diese durch andere. Z. B. die deines Providers.