pfsense: DNS-Resolver und Forwarding richtig verstehen

[Shutterfly]

Moin moin,

leider funktioniert das offizielle pfsense Forum bei mir derzeit irgendwie nicht und daher suche ich mal bei euch Hilfe, vielleicht findet man einen klugen Kopf.

Meine Firewall übernimmt für mein LAN auch die DNS-Auflösung. Hierzu habe ich z.B. die öffentlichen DNS-Server von Google in der Firewall hinterlegt. Wenn ich nun jedoch avm.de aufrufen möchte, dann sagt mir mein Browser, dass er die Domain nicht kennt. Die DNS-Auflösung schlägt fehl.

Prüfe ich per dig unter Linux die Domain, dann sollte Google sie hingegen kennen:

logic@box ~ % dig @8.8.8.8 avm.de    

; <<>> DiG 9.13.3 <<>> @8.8.8.8 avm.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 8187
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;avm.de.				IN	A

;; ANSWER SECTION:
avm.de.			2670	IN	A	212.42.244.122

;; Query time: 17 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Sat Nov 03 13:34:16 CET 2018
;; MSG SIZE  rcvd: 51

Frage ich hingegen meine Firewall samt DNS-Resolver erhalte ich ein Timeout. Frage ich hingegen heise.de oder google.com an, dann erhalte ich über den lokalen DNS-Resolver sehr wohl eine Antwort. Dies verdeutlicht mein Problem, dass ich offenbar nicht bei allen Anfragen Probleme habe.

Ich habe mir die Einstellungen im DNS-Resolver nun einmal angesehen und gemerkt, dass die Option "Enable Forwarding Mode" nicht aktiv ist. Sobald ich diese aktiviere habe ich bei den DNS-Anfragen keine Probleme mehr. Deaktiviere ich das Forwarding wieder, habe ich die bestehenden Probleme.

Nun könnte ich einfach Forwarding an lassen und mich damit zufrieden geben. Gelesen habe ich jedoch, dass Forwarding oft negativ mit der Privatsphäre in Verbindung gebracht wird und man daher, wenn man auf Privatsphäre darauf Wert legt, kein Forwarding nutzen sollte.

An dieser Stelle eröffnet sich mir eine Verständnisfrage: Wenn ich das Forwarding nicht aktiviere, woher holt sich der Resolver dann seine Informationen? Vom SOA direkt? Gerne möchte ich mein System "so privat" wie möglich konfigurieren, weswegen ich gerne die Arbeitsweise verstehen und somit besser beurteilen können möchte.

Vielleicht gibt es hier einen klugen Kopf, der helfen kann

 

[Gelöschtes Mitglied 144635]

Gerne möchte ich mein System "so privat" wie möglich konfigurieren

Mit Google DNS wird das bestimmt nicht.

 

[Shutterfly]

Korrekt, deswegen fällt dem aufmerksamen Leser auch auf, dass es nur ein Beispiel ist Ist dir sicherlich auch aufgefallen aber du wolltest mich - nur zur Vorsicht - auf den Umstand mit Google durch einem knappen, ohne jegliche Informationen versorgenden, so dass jmd. ohne das Wissen nicht wüsste was du meinst, Beitrag darauf hinweisen.

Danke für diese Sorgfalt!

Um es abschließend noch einmal klarer auszudrücken: Es ist scheiß egal, welchen DNS ich nehme. Es geht nur wenn Forwarding aktiv ist. Und ich möchte verstehen wieso.

 

[AliManali]

Hi

Wenn das bei Dir dann wie gewünscht läuft, unbedingt nacher auf die open-resolver-detected Lücke überprüfen:

Open recursive DNS resolver test

Das Loch hatte ich auch schon offen bei meiner Zywall. Da hat mich dann mein Provider darauf aufmerksam gemacht.

 

[Shutterfly]

Danke für den Hinweis. Jetzt schon mal kein Problem, egal ob Forwarding an oder nicht:

IP address <WAN IP> is not vulnerable to DNS Amplification attacks.

Nachtrag: Würde mich auch wundern wenn ich davon betroffen wäre. Die Firewall öffnet derzeit nach außen keinen einzigen Port. Selbst der DNS dahinter nicht korrekt konfiguriert wäre und für jeden Anfragen beantworten würde, würde der Anfragende nicht über die FW hinaus kommen.

 

[Benqer]

Alternativ kann ich dir noch OPNsense an's Herz legen.
Da ist im Forum auch jeder Willkommen

 

[Shutterfly]

Den Grund mit dem Forum habe ich inzwischen aufs VPN eingrenzen können. Dies scheint wohl gelöscht zu sein.

OPNsense kenne ich seit dem Fork und ich schaue gelegentlich mal rein, jedoch habe ich bislang keinen Grund feststellen können, weswegen O besser als P sein sollte. Zumindest in meinem Anwendungsfall. Wenn ich die FW irgendwann mal neu aufsetze, dann schaue ich mal rein. Derzeit sehe ich aber kein wirklichen Grund dafür

 

[magicteddy]

...Ich habe mir die Einstellungen im DNS-Resolver nun einmal angesehen und gemerkt, dass die Option "Enable Forwarding Mode" nicht aktiv ist. Sobald ich diese aktiviere habe ich bei den DNS-Anfragen keine Probleme mehr. Deaktiviere ich das Forwarding wieder, habe ich die bestehenden Probleme.

Nun könnte ich einfach Forwarding an lassen und mich damit zufrieden geben. Gelesen habe ich jedoch, dass Forwarding oft negativ mit der Privatsphäre in Verbindung gebracht wird und man daher, wenn man auf Privatsphäre darauf Wert legt, kein Forwarding nutzen sollte.

An dieser Stelle eröffnet sich mir eine Verständnisfrage: Wenn ich das Forwarding nicht aktiviere, woher holt sich der Resolver dann seine Informationen? Vom SOA direkt? Gerne möchte ich mein System "so privat" wie möglich konfigurieren, weswegen ich gerne die Arbeitsweise verstehen und somit besser beurteilen können möchte. ...

Du solltest das Forwarding aktiv lassen, da Du sicherlich keinen eigenen Namserver in Deinem Netz aktiv hast. Alternative: Eigenen Nameserver einrichten, aber auch der muss seine Informationen irgendwoher beziehen, dazu befragt er übergeordnete DNS. Das ist erstmal die Funktionsweise. Du solltest halt die upstream DNS des geringsten Misstrauens eintragen und wirst damit wohl leben müssen

Warum einige Hosts aufgelöst werden können? Sind sich in irgendeinem Cache? Sind sie unter Linux in /etc/hosts eingetragen?


-teddy

 

[Shutterfly]

Nein, Hosts habe ich keine irgendwo definiert. Gefühlt funktionieren 90% aller Domains. Je kleiner und "unbekannter" die Seite bzw. Domain wird, desto höher ist die Chance, dass es Probleme gibt.

Ein DNS-Server selbst habe ich. Dafür soll ja der DNS Resolver sein. Inzwischen bin ich soweit, dass ohne Forwarding der DNS Resolver direkt die Root-Server oder SOA anfragt. Beim Forwarding fragt er stattdessen die definierten DNS-Server an. Daher ist Forwarding auch als Problem bzgl. Privätsphare zu sehen, da alle DNS-Anfragen gebündelt an einige wenige weitergereicht werden.

Wieso nun jedoch z.B. avm.de keine Informationen erhält, kann ich bislang noch nicht verstehen.

 

[Bib]

Hallo, kurze Frage zu DNS mit pfsense:

Ich hab mir die pfsense zum testen als Ersatz für meinen pihole eingerichtet. Ich habe pihole ohne Provider-DNS am laufen, es ist unbound installiert, der pihole fragt also direkt bei den Root-DNS-Servern nach, ohne Umwege über google-dns 8.8.8.8, cloudflare 1.1.1.1 oder wie sie alle heissen.

Angeblich soll das die pfsense auch so machen, wenn ich keinen separaten dns-server eintrage und auch kein forwarding aktiviere. Ist das so korrekt?


Wenn ich unter Windows die pfsense als dns eintrage und dann ein nslookup mache, sehe ich die ip der pfsense und dann sofort die ip der angefragten Seite. Müsste dort in der Ausgabe dann z.B. der google-dns mit drin stehen, wenn dieser für die Anfragen genutzt werden würde oder wäre die Ausgabe die selbe, egal ob provider-dns dazwischen oder direkt Anfrage an die Root-DNS-Server?

 

[Ceiber3]

OPNsense kenne ich seit dem Fork und ich schaue gelegentlich mal rein, jedoch habe ich bislang keinen Grund feststellen können, weswegen O besser als P sein sollte. Zumindest in meinem Anwendungsfall. Wenn ich die FW irgendwann mal neu aufsetze, dann schaue ich mal rein. Derzeit sehe ich aber kein wirklichen Grund dafür

Sind beide eigentlich auch das gleiche, nur das Opensense ne Deutsche Community hat. Von den Funktionen sind die doch gleich.