Unbound unter OpenVPN

[trixter]

Aktuelles Szenario:

Mehrere OpenVpn-Tunnel, die als DNS den Tunnel-Server mitgeben Bsp: 192.168.200.0/24 Tunnelnetz und GW/DNS/NTP ist die .200.1.
Damit Unbound funktioniert, sind as Interfaces "alle" angegeben.

Nun möchte ich aber auf dem WAN den DNS abschalten - klar könnte man das auch per Regel blocken, das ist nur ein Workaround. Macht man bei den Regeln einen Fehler, ist wieder alles offen.

Bei den Interfaces kann man nur physische Interfaces angeben - die Logischen für die OpenVpn-Instanzen kann man hier, warum auch immer, nicht angeben. Dabei würde das aus meiner Sicht so viel mehr Sinn ergeben.
>>Möchte meinen VPN-lern die internen Servernamen mitgeben, die den Rest der Welt nichts angehen!

Kann ich Unbound auf den VPN-Servern betreiben, ohne das auch auf WAN preiszugeben (wo sie vermutlich dran hängen)?

 

[viragomann]

Nun möchte ich aber auf dem WAN den DNS abschalten - klar könnte man das auch per Regel blocken, das ist nur ein Workaround. Macht man bei den Regeln einen Fehler, ist wieder alles offen.

Ich denke, da hast die eine falsche Sichtweise. Natürlich sind Regeln hier das geeignet Mittel, um Zugriffe zu beschränken.

Die Interfaces, die man in Unbound auswählt, sind lediglich jene, auf welche Unbound lauscht. Ihn auf die Interface IP lauschen zu lassen ist komfortabel in Verbindung mit einem DHCP Server, weil dieser die Interface IP automatisch auch gleich an die Clients als DNS verteilt. Als Zugriffsbeschränkung ist das aber gar nicht geeignet.
Clients am LAN könnten eben so gut ihre DNS-Anfragen an die Management-IP richten. Wenn da ein DNS läuft und die Firewall-Regen den Zugriff erlauben, werden sie eine Antwort erhalten.
Das gilt natürlich auch für alle anderen Services, die auf OPNsense laufen.
Firewall-Regeln sind also in jedem Fall das Werkzeug der Wahl, um unerwünschte Zugriffe zu unterbinden.

>>Möchte meinen VPN-lern die internen Servernamen mitgeben, die den Rest der Welt nichts angehen!

In der OpenVPN Server-Konfiguration musst du ohnehin einen DNS-Server eintragen. Das kann dann auch die LAN-IP oder sonst eine sein, auf der Unbound lauscht. Wenn die Clients nur die Hostnamen, nicht den gesamten FQDN, auflösen können sollen, musst du die lokale Domäne auch als Suchdomänen pushen.
Erlaube den Zugriff ggf. noch mit einer Regel, dann sollten die Clients Namen auflösen können.

[trixter]

Die Interfaces, die man in Unbound auswählt, sind lediglich jene, auf welche Unbound lauscht. Ihn auf die Interface IP lauschen zu lassen ist komfortabel in Verbindung mit einem DHCP Server, weil dieser die Interface IP automatisch auch gleich an die Clients als DNS verteilt. Als Zugriffsbeschränkung ist das aber gar nicht geeignet.

Das ist mir schon klar - wollte bloß keinen Roman schreiben den eh keiner lesen will.

Kernfgrage : Auf welchem Interface laufen die Unbound-Anfragen für OpenVPN - meine Vermutung ist, dass das WAN hierfür verwendet wird.

Wenn man nun DNS für die VPN-User braucht, unbound aber nicht auf WAN veröffentlichen möchte (aus genannten Gründen)... Was ist die eleganteste Methode?

[Patrick M. Hausen]

Kernfgrage : Auf welchem Interface laufen die Unbound-Anfragen für OpenVPN - meine Vermutung ist, dass das WAN hierfür verwendet wird.

Das OpenVPN-Interface, naheliegenderweise. Das hat doch eine IP-Adresse im Infrastruktur-Modus.

[viragomann]

Das OpenVPN-Interface, naheliegenderweise.

Das setzt aber voraus, dass Unbound auf allen Interfaces lauscht.
Möchte man das nicht, und die OpenVPN Server IP als DNS bereitstellen, muss der Instanz ein explizites Interface zugewiesen werden, damit es in Unbound auswählbar ist.

Aber den VPN Clients ist es egal, ob sie ihre Anfragen auf die Server IP oder sonst eine richten. D.h. es könnte auch jede beliebige andere Interface IP sein. Sie müsste nur den Clients über die OpenVPN Option gepusht und der Zugriff erlaubt werden.
Ich verwende jedenfalls eine andere Interface-IP.

Kernfgrage : Auf welchem Interface laufen die Unbound-Anfragen für OpenVPN - meine Vermutung ist, dass das WAN hierfür verwendet wird.

Nein, wie kommst du darauf?

In der OpenVPN Server Konfiguration gibt es die Option "DNS Servers", mit welche angegeben wird, welchen DNS die verbunden Clients nutzen sollen.
Dieser Server wird dann am Client der virtuellen VPN Schnittstelle zugewiesen.
Steht da nichts, nutzen sie ihren Standard-Server, glaube ich jedenfalls. Ich denke nicht, dass der OpenVPN Server die eigene Interface-IP an die Clients verteilt, wenn hier kein DNS eingetragen ist.

Wenn man nun DNS für die VPN-User braucht, unbound aber nicht auf WAN veröffentlichen möchte (aus genannten Gründen)... Was ist die eleganteste Methode?

Keine Firewall Regel am WAN hinzufügen, die DNS erlauben würde.

[trixter]

Nein, wie kommst du darauf?

Naja, einfach, auf welchem Interface läuft der Anmelde-Dienst?

Hintergrund: ich möchte auf WAN nicht unbound, sondern Adguard antworten lassen, um Inhalte auch für Clients zu blocken, die nicht hinter der FW sitzen.
Dazu muss unbound auf WAN allerdings die Klappe halten.

[viragomann]

Die VPN-Client nutzen die WAN IP nur für die VPN, nicht für andere Services, solange das nicht auf den Client ausdrücklich so konfiguriert wird.

Ich nehme an, du routest sämtlichen Traffic der Clients über die VPN, um diesen zu filtern?
Dann sollte auch ein DNS-Server gepusht werden, wie schon erwähnt. Ansonsten, würden sie bspw. einen öffentlichen DNS nutzen, würde dieser natürlich auch über die VPN und zum WAN raus geroutet werden. Ist das, was du meinst?
Dann hast du von ausgehenden DNS-Verbindungen gesprochen und ich habe an eingehende gedacht.

Wenn du das DNS der Client in den Griff bekommen möchtest, bedenke auch, dass diese DoH nutzen könnten. Da braucht es also auch Firewall-Regeln, die das unterbinden.