verdacht herhaald DNS-verkeer met extern bron-IP, oorzaak onbekend

Started by Dutchman, Today at 12:42:37 PM

Previous topic - Next topic
Print
Go Down Pages1
User actions
Today at 12:42:37 PM
# Verdacht herhaald DNS-verkeer met extern bron-IP, oorzaak onbekend

## Setup
- OPNsense met AdGuard Home als plugin (`os-adguardhome-maxit`), Unbound als upstream resolver op `127.0.0.1:5335`
- LAN `192.168.188.0/24`, IoT VLAN `192.168.20.0/24`
- WireGuard actief op poort 51820, 3 peers (iPhone, iPad, MacBook)

## Probleem
In de AdGuard Home query log zie ik continue, herhaalde DNS-queries (meerdere per seconde, al uren/dagen actief) naar vier willekeurig aandoende domeinen:

```
setrol.com
holodisks.com
randomchoice.org
eletricalsheet.com
```

Alle queries worden geregistreerd met **client-IP `60.168.131.252`**, een publiek IP in China (WHOIS: CHINANET-AH, Anhui).

Ruwe entry uit `/usr/local/AdGuardHome/data/querylog.json`:
```json
{"T":"2026-06-29T12:07:57.804291543+02:00","QH":"eletricalsheet.com","QT":"A","QC":"IN","CP":"","IP":"60.168.131.252","Result":{"Rules":[{"Text":"||eletricalsheet.com^$important"}],"Reason":3,"IsFiltered":true},"Elapsed":99867}
```

## Wat ik al heb uitgesloten
1. **Open DNS-resolver op WAN**: vond een te brede WireGuard firewall-regel (UDP, source `*`, destination port `*` naar WAN-adres) die per ongeluk ook externe queries op poort 53 doorliet. Heb dit beperkt tot destination port 51820 (de WireGuard-poort). Bevestigd met `nslookup google.com <WAN-IP>` vanaf extern netwerk → nu terecht een timeout.
   - **Resultaat: queries in AdGuard query log gaan onverminderd door, ook na deze fix.** Wel zie ik nu "Geblokkeerd" i.p.v. "Verwerkt" sinds ik de 4 domeinen handmatig heb toegevoegd aan Custom filtering rules — dus AdGuard ontvangt deze queries nog steeds actief.

2. **WireGuard als doorgeefluik**: gecontroleerd via VPN → WireGuard → Status. Geen van de 3 peers heeft een recente handshake (oudste 4-6 dagen geleden) en alle peers laten 0 of zeer laag verkeer zien op dit moment. Sluit een actieve WireGuard-tunnel als directe bron uit.

3. **Lokaal apparaat dat de queries verstuurt**: Packet capture op LAN-interface (igc1), filter `udp port 53`, 100+ pakketten gevangen — geen van de vier verdachte domeinnamen kwam voorbij in de capture, ondanks dat ze in dezelfde periode wel in de AdGuard query log verschenen.

4. **IPv6 als alternatief pad**: gecontroleerd via Interfaces → Overview op de WAN-interface (OdidoWAN). Alleen een IPv4-adres aanwezig, geen routeerbaar IPv6-adres. Sluit een IPv6-gat naast de IPv4 WireGuard-regel uit als verklaring.

## De vraag
Hoe kan AdGuard Home queries registreren met een extern (Chinees) bron-IP als:
- de WAN-poort 53 niet meer bereikbaar is vanaf buiten (bevestigd met nslookup-test),
- er geen actieve WireGuard-sessie is,
- een packet capture op de LAN-interface deze queries niet laat zien?

Is er een mechanisme in AdGuard Home (bijv. EDNS Client Subnet, of iets in hoe de plugin/Unbound-koppeling werkt) waardoor een extern IP in het querylog terecht kan komen zonder dat het daadwerkelijk een binnenkomende request is? Of is er een ander lek dat ik nog niet heb gevonden (bijv. een ander geopend poort, IPv6 in plaats van IPv4, een tunnel/proxy die ik niet heb gecontroleerd)?

Elke suggestie over waar ik verder moet zoeken is welkom.
Print
Go Up Pages1
User actions