DNS over TLS + Diagnostic > DNS Lookup
-
@jegr Und nutzt nie 853. Weiß aber nicht, ob ich das wirklich schlimm finden soll oder man einfach mindestens einen DNS Server nutzt, der auch Port 53 kann.
-
@jegr
Wäre interessant, was da im Hintergrund läuft. In der Shell bietet pfSense sowohl dig als auch nslookup.
Mit dig kann ich DoT-Server abfragen, mit nslookup hatte ich das nur auf Windows geschafft. -
@bob-dig said in DNS over TLS + Diagnostic > DNS Lookup:
oder man einfach mindestens einen DNS Server nutzt, der auch Port 53 kann.
Dann bleibe mir immer noch, die Timeouts der anderen abzuwarten, um ein Ergebnis zu sehen.
-
@viragomann Wo bei mir gerade gar nichts ging, kamen auch sofort die timeouts...
Das Logging aller DNS requests hat meine Sense außerdem in die Knie gezwängt, musste ich feststellen. -
@bob-dig said in DNS over TLS + Diagnostic > DNS Lookup:
Das Logging aller DNS requests hat meine Sense außerdem in die Knie gezwenkt, musste ich feststellen.
?
Was loggst du da? -
@viragomann hab mal alles mit Port 53 und 853 loggen wollen, hab außerdem währenddessen das Logfile löschen wollen, damit kam sie dann nicht mehr so recht klar...
-
@bob-dig
Packet capture mit full-details?
Hast wohl eine Menge DNS Abfragen. -
Was ist denn eigentlich der große Nutzen von DoH oder DoT, wenn die IP aus der aufgelösten DNS-Query dann doch danach wieder direkt "kontaktiert" wird?
Ich nutze Unbound in Resolver-Modus, das LAN redirected auf die pfSense, DoH-Server blockiert.
-
@wkn
Das Vertrauen in unseren Provider ist nicht mehr gegeben und wir werden uns mittelfristig auch von ihm trennen. Aber bis dahin möchte ich unser Netz möglichst von ihm abschotten.Unverschlüsseltes DNS könnte auf einen eigenen Server umgeleitet und mit Overrides belegt werden. Mit DoT oder DoH geht das nicht.
-
@viragomann said in DNS over TLS + Diagnostic > DNS Lookup:
Aber bis dahin möchte ich unser Netz möglichst von ihm abschotten.
WireGuard auf einen Server des Vertrauens ... done
Unverschlüsseltes DNS könnte auf einen eigenen Server umgeleitet und mit Overrides belegt werden. Mit DoT oder DoH geht das nicht.
Ohne DoT oder DoH auch nicht, denn DNSSEC sichert die Integrität der unverschlüsselten DNS Antwort ab.
-
@thiasaef
VPN ist jetzt nicht die Option. Wir nutzen IPs des Providers für eingehende Verbindungen.Danke für den Link zum DNSSEC Guide.
DNSSEC setzt demnach voraus, dass die erfragte Domain signiert ist. Wie verbreitet ist denn das? Das ist irgendwie schlecht greifbar für mich.
Ich nehme an, dass die "Großen", die für beispw. Updates kontaktiert werden, alle signierte Domains haben.(?) Damit wäre wohl das Wichtigste eh schon abgedeckt. -
@viragomann said in DNS over TLS + Diagnostic > DNS Lookup:
DNSSEC setzt demnach voraus, dass die erfragte Domain signiert ist.
Nein!Authentizität != Integrität.Wie verbreitet ist denn das?
-
@thiasaef said in DNS over TLS + Diagnostic > DNS Lookup:
Nein! Authentizität != Integrität.
Dann versteh ich wohl nicht, wie DNSSEC die Integrität sicherstellt. So wie ich das lese, ist die Signatur dafür nötig.
-
@viragomann ich bin bisher davon ausgegangen, dass es zur Wahrung der Integrität der Antwort genügt, wenn der verantwortliche autoritative Nameserver DNSSEC unterstützt, aber jetzt, wo du nachfragst, bin ich mir nicht mehr sicher, ob das stimmt.
