[Solved] VPN - DNS Resolver - DNS Leak



  • Meine pfSense hängt als 'exposed host' hintter einer Fritz!Box.
    Provider ist die Telekom.

    In meiner Konfiguration ist der DNS-Forwarder deaktiviert und der DNS-Resolver mit folgenden Einstellungen aktiv:
    DNSSEC Support: aktiviert
    Enable Forwarding Mode: deaktiviert

    Bei den Einstellungen unter 'General Setup' sind drei DNS-Server eingetragen:

    208.67.220.220 (OpenDNS Server)
    208.67.222.222 (OpenDNS Server)
    172.xx.yy.1    (IP der Fritz!Box)

    DNS Server Override: nicht angehakt
    Disable DNS Forwarder: angehakt

    Ich bin der Meinung, dass mit dieser Konfiguration DNS-Anfragen - da im Resolver der DNS-Forwarder disabled ist - über die DNS Root Server laufen.
    Wenn ich aber einen DNS-Leaktest aufrufe (z.B. https://www.perfect-privacy.com/german/dns-leaktest/) wird mir als DNS-Server die aktuelle IP meines Clients angezeigt. Ich vermute, das ist soweit auch korrekt, weil die pfSense mit dieser IP ja auch die root server anfragt und das Ergebnis dann quasi "weiterverarbeitet". Mache ich da einen Denkfehler oder ist meine Konfiguration diesbezüglich o.k.?

    Der zweite Teil der Frage bezieht sich auf Verbindungen, die über einen externen VPN-Anbieter laufen. Alle Verbindungen von Clients in einem bestimmten VLAN laufen über dieses VPN (dazu ist ein openVPN Client auf der pfSense entsprechend konfiguriert und das VLAN-Netz wird über das VPN geroutet). Clients, die über das VPN online sind, nutzen nun allerdings auch den DNS-Resolver der pfSense statt einen DNS-Server des VPN-Anbieters. Was muss ich konfigurieren, damit die VPN-Verbindungen auch den DNS-Server des VPN-Anbieters nutzen?





  • Moin,

    Ich kann dir deine zweite Frage beantworten.  Du hast ja das eigene vlan. Dort vermute ich ist die pfsense der dhcp Server.
    Dort trägst du als Option ein, in diesem Netz was deinem vlan entspricht, die ips der DNS Server des vpn Anbieters zu verteilen.

    Gruß blex



  • Hallo!

    @cantor:

    Ich bin der Meinung, dass mit dieser Konfiguration DNS-Anfragen - da im Resolver der DNS-Forwarder disabled ist - über die DNS Root Server laufen.
    Mache ich da einen Denkfehler oder ist meine Konfiguration diesbezüglich o.k.?

    Wenn du als Root Server jene bezeichnest, die im General Setup eingetragen sind, ja.

    Hast du für das Setzen von "Disable DNS Forwarder" einen bestimmten Grund? Diese Einstellung wirkt sich nur auf die pfSense selbst aus.

    Nachdem du auch die FB als DNS Server gesetzt hast, ist für das Anfragenziel auch die Einstellung dieser zu berücksichtigen.
    Ich sehe keinen Sinn in dieser Einstellung.

    Um für das VPN VLAN DNS Leaks zu vermeiden, darf DNS-Zugriff auf die pfSense hier nicht erlaubt sein, solange du Anfragen der pfSense auf allen Interfaces raus lässt.

    Falls du auf dem VPN VLAN nicht DHCP einsetzt, kannst du DNS-Anfragen auch mit einer simplen NAT Portforwarding Regel an einem beliebigen DNS Server weiterleiten, den die Clients nur über die VPN erreichen können.

    Grüße