Ich sag jetzt mal nicht, dass das auch bei meinem Link zum Nachlesen war, ist ja genau die Anleitung aus dem Forum; als das Forum zugemacht worden ist habe ich die mal, mit Erlaubnis natürlich, weg gesichert.
an meine haut lasse ich nur wasser und cd äh forum.kuketz-blog.de
Danke, das beantwortet meine Frage.
[F] Aber beim DNS-Server X ist alles mit DNS over TLS (DoT) oder DNS over HTTPS (DoH) verschlüsselt und keiner sieht meine Anfragen. Hier ist alles unverschlüsselt!
[A] Auch beim DNS-Server X sind die Anfragen nur von uns bis zum Server verschlüsselt. Dieser entschlüsselt die Anfragen und hat diese im Klartext vorliegen. Übrigens erhält er auch unverschlüsselt seine Daten von den autoritativen Servern. Die zentrale Instanz mit der kompletten Kenntnis aller Anfragen bliebe also – nämlich der DNS-Server X. Andere Entitäten dazwischen, bspw. der Internetprovider (ISP), sehen allerdings die DNS-Anfragen nicht mehr, soweit richtig. Doch kontaktieren wir direkt nach der DNS-Anfrage ohnehin meist die entsprechende Stelle. Selbst wenn dies verschlüsselt wäre, stünde die Ziel-IP-Adresse im Klartext in den Kopf-Daten der Pakete. Da können wir DNS-Anfragen verschlüsseln wie wir wollen, wir Posaunen unser Ziel anschließend sowieso raus. Der Informationsgehalt ist dabei nicht exakt derselbe, aber vergleichbar. Hier ist also kein Blumentopf zu gewinnen. Es ist derzeit auch schlicht nicht möglich, die Anfragen an die autoritativen Server zu verschlüsseln. Es gab u. A. schon eine Bestrebung in diese Richtung durch die IETF, allerdings sollten wir uns für die nahe Zukunft nicht allzu große Hoffnungen machen. Vertraulichkeit ist demzufolge nicht das beste Argument. Integrität der DNS-Daten schaffen DoT oder DoH auch nicht, da wir damit nicht überprüfen können, ob der DNS-Server überhaupt korrekte Daten losschickt, sondern nur, ob die Daten auf dem Weg zu uns nicht verändert wurden.da es lokal aufgelöst wird, ist das total irrelevant
Vielleicht verstehe ich das Prinzip immer noch nicht richtig.
Ok, alles was im Cache von unbound ist wird lokal aufgelöst.
Aber der unbound muss ja auch mal in die weite Welt hinaus telefonieren um neue IPs zu holen die er noch nicht kennt.
Das ist dann doch unverschlüsselt, oder?
Ich hatte das mit unbound nie wirklich verstanden, dachte immer ich muss explizit einen DNS Server
angeben, deshalb den von Digitalcourge. Das jede DNS Anfrage an diesen gestellt wird ist mir bewusst.
Die könnten wenn Sie wollten mich tracken, das werden die aber nicht tun.
Das selbst hosten finde ich trotzdem besser. Also wenn ich Digitalcourage in
der opnsense deaktiviere, das meinst Du dann mit selber hosten?
Über Digitalcourage hatte ich DNS over TLS eingestellt, also jede Anfrage von
mir an den DNS von Digitalcourage war verschlüsselt. Der Server bietet diese Option.
Beim selber gehosteten DNS, macht da DNS over TLS Sinn, oder braucht das in diesem
Fall dann nicht mehr?
Finde da auch kein Punkt wo ich das aktiviern kann. Eine verschlüsselte Übertragung finde
ich schon wichtig, oder macht das unbound schon so automatisch?
Unbound ist schon recht kompliziert.
Vorallem weil ich es unter opnsense nutze, da ist es halt nur ein plugin von vielen und die Dokumentation davon ist sehr dürftig. opnsense ist halt ne firewall.
Aber unbound klappt ja bei mir und scheint richtig eingestellt zu sein.
Nur ob ich den DNS von Digitalcourage oder lieber unbound per Round-Robin Verfahren betreiben soll, da bin ich noch unschlüssig was besser ist.
Das sind übrigens meine LOG's, aber da werde ich nicht draus schlau:
Informational unbound [88427:2] info: generate keytag query _ta-4f66. NULL IN
Informational unbound [88427:0] info: start of service (unbound 1.17.1).
Notice unbound [88427:0] notice: init module 2: iterator
Notice unbound [88427:0] notice: init module 1: validator
Informational unbound [88427:0] info: dnsbl_module: blocklist loaded. length is 1162535
Informational unbound [88427:0] info: dnsbl_module: updating blocklist.
usw......Ihr habt mir jedenfalls schon sehr weitergeholfen.
Danke dafür.
Nun, ich habe meinem Router gesagt er möge bitte beim pihole und damit bei unbound und nicht beim Provider nachfragen
Das ist mir auch so alles klar.
Bei Dir ist der unbound auf dem pihole bei mir auf der opnsense,
Der unbound muss ja auch bei einem DNS nachfragen wenn der die Anfrage nicht im cache hat. Wie wird entschieden vom unbound welche DNS Server er befragt und wo kann ich das sehen welche das sind?
Ah.... dann habe ich das wohl immer falsch interpretiert.
http://www.dnsleaktest.com liefert mir folgendes:
ip-077-256-133-069.um21.pools.vodafone-ip.de. Vodafone GermanyDas ist meine WAN IP drin.
Das heisst also meine opnsense ist der DNS und nicht der Vodafone DNS Standardserver?
Sojan: mit welcher Seite hast Du den DNS Check gemacht?
Wenn ich unter DNS over TLS wieder Digitalcourage aktiviere steht folgendes:
168.119.141.43 dns3.digitalcourage.de. Hetzner Online GmbHDas ist die IP vom DNS von Digitalcourage
Jetzt noch eine Frage:
Was ist denn besser? Es über Digitalcourage laufen lassen, das ist es ja auch verschlüsselt, DNS over TLS, oder so wie oben über meinen Router laufen lassen? Wobei ich mich aber immer noch frage, wenn über mein Router, woher kennt mein Router denn die IP's, weil der kann ja nicht alles wissen und muss DNS Server ja auch befragen. Welche befragt der dann?
Fragen über Fragen.... aber ich bin jetzt schon ein Stück schlauer geworden.
Vielleicht drücke ich mich die ganze Zeit missverständlich aus.
Das unbound sich durch seine Liste bzw. Cache eine Root-Server Befragung sparen kann, das verstehe ich.
Was ich nicht verstehe, wenn ein DNS Server befragt werden muss, und ich habe expliziet bei unbound keinen externen eingetragen, ist es dann also ganz normal das immer der Provider DNS genommen wird?
Ich war nämlich immer der Annahme unbound nimmt da dann keinen bestimmten DNS (in meinem Fall der Provider DNS) sondern nimmt immer zufällig welche aus dem Internet, nach dem Zufallsprinzip.
Aber das ist dann wohl doch nicht so.
Trotzdem verstehe ich nicht wie unbound sich einen DNS Server "aussucht".
Warum bei mir immer der Provider DNS und kein anderer, es sei denn ich trage einen anderen ein?
Hast du Ubound entsprechend konfiguriert? Schau dazu mal meinen Link weiter oben.
Ich habe ja keinen PiHole sondern opnsense, da ist das anders.
Ich habe bei mir den Punkt DNS over TLS, da habe ich den DigitalCourage DNS Server eingetragen.
Der wird auch verwendet. DNSLeakTest zeigt mir diesen auch an.
Wenn ich diesen Eintrag deaktiviere, dann wird immer ein DNS vom Provider verwendet, in meinem Fall vodafone.
Und das verstehe ich nicht. Da müsste doch dann ein Wechsel stattfinden, immer ein anderer DNS oder etwa nicht?
Aber DNSLeakTest zeigt mir immer nur vodafone an, egal welche Seite ich aufrufe.
Ich kann in der opnsense unter System --> Settings --> General DNS Server eintragen.
Das gilt dann anscheinend global. Wenn ich z.B. 8.8.8.8 eintrage wird auch dieser verwendet.
Hallo,
danke für die ausführliche Erklärung. Etwas klarer ist es mir jetzt geworden, aber noch Nebel vorhanden.
Ich habe mir einen eigenen Router gebaut mit opnsense. Darauf habe ich den unbound laufen.
Die ROOT-Server werden befragt, das habe ich auch so verstanden bzw. unbound lädt sich deren Liste runter.
Die Liste des Root-Servers beinhaltet alle .tld Domäns, also .de .fr .com usw
Alle .de Domäns werden wiederum von DNS Server der Denic verwaltet, die sogenannten .tld Server.
Jetzt ändern sich die Einträge bei den Root-Servern ja recht selten.
Folgendes Beispiel:
Da unbound jetzt die Root-Server Liste gecacht hat werden die Root-Server nur befragt wenn unbound in seiner zwischengespeicherten Liste eine Domäne nicht findet? .de ist in der Liste, also erfolgt direkt die Befragung eines .tld Servers der Denic? Der .tld Server leitet dann meine Anfrage an einen google Server weiter?
Dieser google-Server gibt mir dann die IP von http://www.google.de zurück?
Kann ich mir in unbound die Liste der gecachten Root-Server in einem bestimmten Verzeichnis anschauen?
Und cachet unbound auch die .tld Liste?
Was ich aber gar nicht verstehe:
Ich kann einen DNS in unbound eintragen, das klappt auch, dieser wird benutzt. Wenn ich jedoch keinen Eintrage, dann wird immer der DNS vom Provider genommen. Und das verstehe ich nicht, weil unbound doch eigentlich keinen festen DNS benutzen sollte, oder? Die Wahl sollte doch immer "zufällig" erfolgen, oder?
So habe ich bei mir mein unbound eingestellt:
1.) Grundkonfiguration
2.) Blocklisten
3.) DNS Eintrag --> wenn ich den deaktiviere wird immer der Provider DNS genommen
Hallo,
kennt jemand eine Seite im Internet wo mal genau beschrieben wird wie ein unbound DNS wirklich funktioniert?
Ich find nur Seiten die eine Einrichtung beschreiben oder Videos wo jemand bind und unbound in Kombination installiert was eigentlich sinnfrei ist.
Es gibt da draussen leider sehr viel Halbwissen.
Ich verstehe die Funktionsweise von unbound irgendwie nicht.
Dieser soll sich ja der root-Server bedienen usw.
Aber trotzdem wird bei mir trotz eingerichtetem unbound der DNS vom Provider genutzt.
Deshalb wäre es toll wenn jemand eine Seite kennt wo das mal alles genau erklärt wird wie der funktioniert oder vielleicht kann mir ja auch hier jemand das mal genauer erklären wie der unbound funktioniert.
Vielen Dank im Vorraus