Unbound durch OpenVPN Client tunneln, sofern verfügbar

Bob.Dig

Eine Möglichkeit, die bei mir ganz gut zu funktionieren scheint, ist, den "VPN-Nutzern" per DHCP zu erst den Resolver und danach weitere DNS-Server, wie google, Quad9 oder eines VPN-Providers, vorzugeben und gleichzeitig im Resolver diesen VPN-Nutzern nicht-lokale Anfragen zu verbieten.

Es ist zwar nicht wie in der Überschrift gefordert, aber für mich zumindest eine praktikable Lösung, keine bösen DNS-Leaks mehr.

Finde das Thema auch interessant, wer noch andere Lösungen kennt, nur her damit.

Logic

@bob-dig Vielleicht verstehe ich deine Antwort nicht (sehr wahrscheinlich sogar) aber wie soll es bei meinem Problem helfen?

Ziel bzw. Problem ist ja, dass ich den lokalen Resolver ebenfalls durchs VPN schicken möchte, dies aber nicht hinbekomme.

In wie weit soll die von dir vorgestellte Lösung da hilfreich sein? Vielleicht magst du mir es kurz einmal erklären, da ich - wie gesagt - vermutlich den springenden Punkt noch nicht sehen kann.

Bob.Dig

@logic Mir ging es um das Thema DNS-Leaks, vielleicht habe ich dich auch falsch verstanden.

Logic

@bob-dig Bei deiner Variante hat man aber doch dennoch Leaks oder sehe ich das falsch?

Also ja, mir geht es grundsätzlich auch um die Leaks. Aber um diese zu Verhindern müssten die DNS-Anfragen ja über den gleichen VPN-Tunnel wie die VPN-Nutzer.

Das ist praktisch mein Kernproblem, was ich angehen möchte.

Bob.Dig

@logic Genau auf DNS-Leaks geht meine Lösung ein.

Und ich habe es jetzt mal ein Stück weit verifiziert. In Unbound landen die Anfragen wirklich nicht, wenn es nach dem Log geht.

viragomann

@logic
Hallo,

dass du diesen Post in der Folge noch fein säuberlich ins Englische übersetzt hast, lässt annehmen, dass dich die Lösung von @Bob-Dig nicht zufriedenstellt.
Was stört dich daran? Ich denke, es sollte doch so funktionieren.

Logic

@viragomann So, kam leider erst jetzt darum mich weiter mit dem Thema zu beschäftigen.

Grundsätzlich habe ich den Beitrag zusätzlich eingestellt um einfach eine zweite Meinung bzw. weitere Vorschläge zu bekommen. Es kann ja gut sein, dass irgendwer noch eine andere Lösung hat, welche aufgrund von anderen Vor-/Nachteilen mir mehr zusagt.

Hab die Lösung von @Bob-Dig noch nicht verifizieren können, jedoch habe ich bislang aus seinen Antworten noch nicht erfassen können, wie er/sie sicherstellt, dass der Unbound-Traffic durch den VPN-Tunnel geht. Aber ich werds mal ausprobieren.

viragomann

@logic said in Unbound durch OpenVPN Client tunneln, sofern verfügbar:

Hab die Lösung von @Bob-Dig noch nicht verifizieren können, jedoch habe ich bislang aus seinen Antworten noch nicht erfassen können, wie er sicherstellt, dass der Unbound-Traffic durch den VPN-Tunnel geht.

Tut er nicht. Die Clients müssen selbst öffentliche DNS-Server abfragen, wenn es um nicht-lokale Domains geht. Und diese Abfragen werden über die VPN geroutet. Damit hat er kein DNS-Leak.

Und für lokale Domains können sie den Resolver nutzen.

Logic

@viragomann Ergo ist es keine Lösung für mein Problem ;)

Bob.Dig

Musste leider feststellen, dass "meine" Lösung wohl nur eine gewisse Zeit funktioniert. Irgendwann scheint es so, dass Windows den "ersten" DNS-Server nicht mehr nutzt und daher interne Namen nicht mehr auflöst.
Habe daher vorerst auf IPs umgestellt.