Wie change ich meinen DNS?

[August8828]

Nabend alle,

ist eine Weile her. Wo wechsel ich den DNS Server? Ich habe aktuell meinen Telekom DNS drin, würde den aber gerne ändern. In den "General" Settings habe ich testweise Google eingetragen und meinen DHCP Lease erneuert, aber das scheint nichts zu bringen.

Bei Dnsmasq DNS und DHCP finde ich nur Ranges, die ich via DHCP ändern kann. Unbound ist auf Port 53 aktiv.

[viragomann]

Unbound ist auf Port 53 aktiv.

Dann ist Unbound wohl der DNS, der die Geräte bedient. Und diesen möchtest du vermutlich ändern.

Unbound nutzt standardmäßig Root-DNS-Server zur Auflösung. Wenn du aber jene verwenden möchtest, die in den General Settings gesetzt sind, musst du in Serivces: Unbound DNS: Query Forwarding oben bei "Use System Nameservers" einen Haken setzen und die Einstellung speichern.

[patient0]

In den "General" Settings habe ich testweise Google eingetragen und meinen DHCP Lease erneuert, aber das scheint nichts zu bringen.

Etwas weiter unten auf der 'General' Seite gibt es die Einstellung "Allow DNS server list to be overriden by DHCP/PPP on WAN". Wenn die Option aktiv ist, dann werden die DNS Server verwendet welche per DHCP vom WAN/ISP geliefert werden. Den Haken raus und dann sollte es klappen.

[August8828]

Unbound lauscht auf Port 53. Ich habe nun DoT aktiviert und der DNS Server wird auch genommen. Port 853 ist dort eingetragen.

Wieso gehen die Anfragen jetzt dennoch über Port 53 raus? Woher weiß ich denn jetzt, ob die DNS requests verschlüsselt sind?

[meyergru]

Es gibt hier zwei Sorten Anfragen:

1. Welche von Deinen Clients zu OpnSense - die laufen auch bei Nutzung von DoT weiter über Port 53.
2. Welche von OpnSense zu den Upstream DNS-Servern. Die hast Du anscheinend auf DoT per Port 853 umgestellt.

Wenn diese #2-Anfragen nicht mehr per normalem DNS auf Port 53 laufen, funktionieren sie auf Port 853 nur verschlüsselt, weil das Zertifikat des Zielservers geprüft wird. Stimmt dort der Name nicht, geht's nicht. Auf welchem Port wirklich DNS-Anfragen rausgehen, kannst Du z.B. per TCPDUMP auf dem WAN-Interface prüfen.

Am Rande bemerkt, gehen nicht alle DNS-Anfrage per 853 raus - beispielsweise die erste nach der IP des DoT-Servers nicht - aus Gründen.

[viragomann]

Wieso gehen die Anfragen jetzt dennoch über Port 53 raus? Woher weiß ich denn jetzt, ob die DNS requests verschlüsselt sind?

Anfragen woher? Von OPNsense selbst oder von intenen Clients?

Um sicher zu gehen, dass Unbound verwendet wird, leite ich per Port Forwarding Regel sämtliche DNS Anfrage auf Unbound um.
Würde ein Client dennoch einen öffentlichen DNS abfragen, bekäme er die Antwort von Unbound und würde es nicht mal bemerken.

Wenn alles korrekt konfiguriert ist, sollte das dann nicht mehr nötig sein, aber um seine Paranoia zu stillen, kann man noch am WAN eine Floating Regel für die Direction out setzen, die sämtlichen ausgehende Verbindungen auf Port 53 blockiert (Hatte ich auch so konfiguriert).
Voraussetzung ist, dass auch OPNsense Unbound verwendet.

Am Rande bemerkt, gehen nicht alle DNS-Anfrage per 853 raus - beispielsweise die erste nach der IP des DoT-Servers nicht - aus Gründen

Die Server IP fragt Unbound auf OPNsense ab?? Man gibt die IP doch schon in der Konfiguration vor.

Ich hatte eine solche Konfiguration auf pfSense. Da hatte ich eben alle ausgehenden Verbindungen auf Port 53 blockiert - soweit ich mich erinnern kann, ausnahmslos.
Und nachdem in OPNsense ebenso die Server IP gefordert ist, denke ich nicht, dass hier was aufgelöst werden muss.
Den CN kann man angeben, damit der Server per TLS verifiziert werden kann. Der Eintrag ist aber optional, doch empfohlen, wenn ein öffentlicher Server verwendet wird.

[meyergru]

Es gab mal einen Thread, wo darüber berichtet wurde, dass es trotzdem für bestimmte Abfragen noch Traffic über Port 53 gibt - ich weiß nicht mehr, wofür das genau benötigt würde. Mir ging es hier nur darum, festzuhalten, dass es weiterhin Traffic über Port 53 gibt aus mindestens zwei Ursachen:

1. Client -> OpnSense
2. OpnSense -> Internet (trotz DoT)