DNS Leak / multiple DNS

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
ralle77
Beiträge: 11
Registriert: 11.01.2018 21:52:44

DNS Leak / multiple DNS

Beitrag von ralle77 » 22.01.2018 10:37:59

Moin,

habe das Problem, dass ich mehr als eine DNS zugewiesen bekomme.
Ich nutze den Network Manager und das OpenVPN plugin.
Auch ohne VPN Verbindung wird mehr als eine DNS vergeben.

- ohne VPN & ohne manuell gesetzte DNS = 2x Provider DNS
- ohne VPN & mit manuell gesetzen DNS für Ethernet = 1x Provider DNS, 1-2x OpenDNS

- mit VPN & ohne manuell gesetzte DNS = 1x VPN DNS, 1-2 Provider DNS
- mit VPN & mit manuell gesetzen DNS für Ethernet = 1 VPN DNS, 1-2 Open DNS

Festgestellt habe ich das auf https://whoer.net/#extended.
IPv6 ist über den Kernel (ipv6.disable=1), im Network Manager und unter /etc/hosts deaktiviert.
Java und anderer Mist sind im Browser deaktiviert. Flash ist nicht installiert.
Browser und IPv6 würde ich deswegen jetzt einfach mal ausschließen.

Jemand eine Idee?

mat6937
Beiträge: 940
Registriert: 09.12.2014 10:44:00

Re: DNS Leak / multiple DNS

Beitrag von mat6937 » 22.01.2018 11:15:57

ralle77 hat geschrieben: ↑ zum Beitrag ↑
22.01.2018 10:37:59
Jemand eine Idee?
Versuch mal mit iptables in der OUTPUT chain mit DNAT, die Anfragen, nur zu einem DNS-Server umzuleiten oder evtl. mit der filter table (OUTPUT chain), nur den Zugang zu einem einzigen DNS-Server zu erlauben.

ralle77
Beiträge: 11
Registriert: 11.01.2018 21:52:44

Re: DNS Leak / multiple DNS

Beitrag von ralle77 » 22.01.2018 11:27:17

mat6937 hat geschrieben: ↑ zum Beitrag ↑
22.01.2018 11:15:57
Versuch mal mit iptables in der OUTPUT chain mit DNAT, die Anfragen, nur zu einem DNS-Server umzuleiten oder evtl. mit der filter table (OUTPUT chain), nur den Zugang zu einem einzigen DNS-Server zu erlauben.
Kannst du da vielleicht genauer drauf eingehen, oder mir etwas verlinken zum Nachlesen?
Mich wundert ja, dass überhaupt 2 DNS Server vergeben werden. An anderen Geräten is das nicht der Fall.

mat6937
Beiträge: 940
Registriert: 09.12.2014 10:44:00

Re: DNS Leak / multiple DNS

Beitrag von mat6937 » 22.01.2018 11:40:15

ralle77 hat geschrieben: ↑ zum Beitrag ↑
22.01.2018 11:27:17
Kannst du da vielleicht genauer drauf eingehen, ...
Z. B.:

Code: Alles auswählen

iptables -t nat -I OUTPUT 1 -o <output-Interface> -p udp --dport 53 -j DNAT --to-destination 9.9.9.9:53
iptables -t nat -I OUTPUT 2 -o <output-Interface> -p tcp --dport 53 -j DNAT --to-destination 9.9.9.9:53
oder?/und?

Code: Alles auswählen

iptables -I OUTPUT 1 -o <output-Interface> -p udp ! -d 9.9.9.9 --dport 53 -j REJECT
iptables -I OUTPUT 2 -o <output-Interface> -p tcp ! -d 9.9.9.9 --dport 53 -j REJECT
Testen (bei leeren dns-caches!) evtl. mit:

Code: Alles auswählen

host -t A heise.de 9.9.9.9
host -t A google.de 8.8.8.8
(oder gleichwertig).

ralle77
Beiträge: 11
Registriert: 11.01.2018 21:52:44

Re: DNS Leak / multiple DNS

Beitrag von ralle77 » 22.01.2018 11:41:53

mat6937 hat geschrieben: ↑ zum Beitrag ↑
22.01.2018 11:40:15
Z. B.:

Code: Alles auswählen

iptables -t nat -I OUTPUT 1 -o <output-Interface> -p udp --dport 53 -j DNAT --to-destination 9.9.9.9:53
iptables -t nat -I OUTPUT 2 -o <output-Interface> -p tcp --dport 53 -j DNAT --to-destination 9.9.9.9:53
oder?/und?

Code: Alles auswählen

iptables -I OUTPUT 1 -o <output-Interface> -p udp ! -d 9.9.9.9 --dport 53 -j REJECT
iptables -I OUTPUT 2 -o <output-Interface> -p tcp ! -d 9.9.9.9 --dport 53 -j REJECT
Testen evtl. mit:

Code: Alles auswählen

host -t A heise.de 9.9.9.9
host -t A google.de 8.8.8.8
(oder gleichwertig).
Danke

Jana66
Beiträge: 3546
Registriert: 03.02.2016 12:41:11

Re: DNS Leak / multiple DNS

Beitrag von Jana66 » 22.01.2018 11:53:12

ralle77 hat geschrieben: ↑ zum Beitrag ↑
22.01.2018 11:27:17
Mich wundert ja, dass überhaupt 2 DNS Server vergeben werden. An anderen Geräten is das nicht der Fall.
Vergeben werden heißt ja wohl, vom Provider gelernt. Warum sollte der Provider z. B. per DHCP keinen 2. DNS-Server als Backup-DNS übergeben können?
Beispiel Debianisc-dhcp-server :

Code: Alles auswählen

option domain-name-servers 192.168.1.10, 145.253.2.11;
https://wiki.ubuntuusers.de/ISC-DHCPD/ -> Option Statements
An anderen Geräten is das nicht der Fall.
Nicht jeder DHCP-Client versteht alle Options.

Ich würde ja mal mit whois die Besitzer der IPs der DNS-Server ermitteln oder mal "IPs" in Google einklimpern - ob "gute" Server ... Kannst die Server ja mal posten.

Man kann auch selber einen DNS-Server (Forwarder) aufsetzen, den konfigurieren und DHCP-Clients (sowie fest adressierte Hosts) so einstellen, dass der/die Provider-DNS gar nicht benutzt wird/werden. Das mache ich so. Deine verlinkte Website zeigt bei mir nur den aktiven DNS, nicht den Backup:
DNS
Browser
77.109.148.136 Switzerland
(xiala.net)
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

ralle77
Beiträge: 11
Registriert: 11.01.2018 21:52:44

Re: DNS Leak / multiple DNS

Beitrag von ralle77 » 22.01.2018 13:46:38

Jana66 hat geschrieben: ↑ zum Beitrag ↑
22.01.2018 11:53:12
Ich würde ja mal mit whois die Besitzer der IPs der DNS-Server ermitteln oder mal "IPs" in Google einklimpern - ob "gute" Server ... Kannst die Server ja mal posten.
Wie meinst du das? Was verstehst du unter "gute" IPs?
Die "Besitzer" sind zum einen mein Provider und eben OpenDNS.

Bei aktivem VPN "leaken" 2 DNS IPs von OpenDNS. Diese dienen eigentlich nur als Backup, falls die VPN Verbindung abbricht. Ohne VPN werden mir neben DNS von OpenDNS auch die 2 DNS IPs von meinem Internetanbieter angezeigt.

Jana66
Beiträge: 3546
Registriert: 03.02.2016 12:41:11

Re: DNS Leak / multiple DNS

Beitrag von Jana66 » 22.01.2018 14:20:48

ralle77 hat geschrieben: ↑ zum Beitrag ↑
22.01.2018 13:46:38
Was verstehst du unter "gute" IPs?
Selbst konfigurierte oder akzeptable (ISP) DNS-Server.
ralle77 hat geschrieben: ↑ zum Beitrag ↑
22.01.2018 13:46:38
Die "Besitzer" sind zum einen mein Provider und eben OpenDNS.
Ist doch "gut".
ralle77 hat geschrieben: ↑ zum Beitrag ↑
22.01.2018 13:46:38
Bei aktivem VPN "leaken" 2 DNS IPs von OpenDNS.
Theoretisch sollte jeder öffentliche DNS die gleichen Ergebnisse bringen (OpenDNS filtert jedoch). Am Ende besteht nur ein Unterschied bei lokalen Domains im VPN, dazu spezielles Routing (split view dns, abhängig von angefragter lokaler vs. öffentlicher Domain oder/und abhängig vom Client) zum autoritativen Firmen-DNS erforderlich oder unterschiedliches Debianbind9 - Forwarding: https://websistent.com/configure-bind-dns-split-view/
weitere Möglichkeiten: https://superuser.com/questions/1127132 ... n-in-linux

Wo wird eigentlich das VPN terminiert, auf VPN-Gateway (Router) für mehrere VPN-Clients oder auf jedem Client (VPN-Tunneling im Router)?
Wenn keiner was sagt, wird sich nichts ändern. Wenn alle nur reden ebenfalls nicht.

Antworten