DNS Leak / multiple DNS
DNS Leak / multiple DNS
Moin,
habe das Problem, dass ich mehr als eine DNS zugewiesen bekomme.
Ich nutze den Network Manager und das OpenVPN plugin.
Auch ohne VPN Verbindung wird mehr als eine DNS vergeben.
- ohne VPN & ohne manuell gesetzte DNS = 2x Provider DNS
- ohne VPN & mit manuell gesetzen DNS für Ethernet = 1x Provider DNS, 1-2x OpenDNS
- mit VPN & ohne manuell gesetzte DNS = 1x VPN DNS, 1-2 Provider DNS
- mit VPN & mit manuell gesetzen DNS für Ethernet = 1 VPN DNS, 1-2 Open DNS
Festgestellt habe ich das auf https://whoer.net/#extended.
IPv6 ist über den Kernel (ipv6.disable=1), im Network Manager und unter /etc/hosts deaktiviert.
Java und anderer Mist sind im Browser deaktiviert. Flash ist nicht installiert.
Browser und IPv6 würde ich deswegen jetzt einfach mal ausschließen.
Jemand eine Idee?
habe das Problem, dass ich mehr als eine DNS zugewiesen bekomme.
Ich nutze den Network Manager und das OpenVPN plugin.
Auch ohne VPN Verbindung wird mehr als eine DNS vergeben.
- ohne VPN & ohne manuell gesetzte DNS = 2x Provider DNS
- ohne VPN & mit manuell gesetzen DNS für Ethernet = 1x Provider DNS, 1-2x OpenDNS
- mit VPN & ohne manuell gesetzte DNS = 1x VPN DNS, 1-2 Provider DNS
- mit VPN & mit manuell gesetzen DNS für Ethernet = 1 VPN DNS, 1-2 Open DNS
Festgestellt habe ich das auf https://whoer.net/#extended.
IPv6 ist über den Kernel (ipv6.disable=1), im Network Manager und unter /etc/hosts deaktiviert.
Java und anderer Mist sind im Browser deaktiviert. Flash ist nicht installiert.
Browser und IPv6 würde ich deswegen jetzt einfach mal ausschließen.
Jemand eine Idee?
Re: DNS Leak / multiple DNS
Versuch mal mit iptables in der OUTPUT chain mit DNAT, die Anfragen, nur zu einem DNS-Server umzuleiten oder evtl. mit der filter table (OUTPUT chain), nur den Zugang zu einem einzigen DNS-Server zu erlauben.
Re: DNS Leak / multiple DNS
Kannst du da vielleicht genauer drauf eingehen, oder mir etwas verlinken zum Nachlesen?mat6937 hat geschrieben:22.01.2018 11:15:57Versuch mal mit iptables in der OUTPUT chain mit DNAT, die Anfragen, nur zu einem DNS-Server umzuleiten oder evtl. mit der filter table (OUTPUT chain), nur den Zugang zu einem einzigen DNS-Server zu erlauben.
Mich wundert ja, dass überhaupt 2 DNS Server vergeben werden. An anderen Geräten is das nicht der Fall.
Re: DNS Leak / multiple DNS
Z. B.:
Code: Alles auswählen
iptables -t nat -I OUTPUT 1 -o <output-Interface> -p udp --dport 53 -j DNAT --to-destination 9.9.9.9:53
iptables -t nat -I OUTPUT 2 -o <output-Interface> -p tcp --dport 53 -j DNAT --to-destination 9.9.9.9:53
Code: Alles auswählen
iptables -I OUTPUT 1 -o <output-Interface> -p udp ! -d 9.9.9.9 --dport 53 -j REJECT
iptables -I OUTPUT 2 -o <output-Interface> -p tcp ! -d 9.9.9.9 --dport 53 -j REJECT
Code: Alles auswählen
host -t A heise.de 9.9.9.9
host -t A google.de 8.8.8.8
Re: DNS Leak / multiple DNS
Dankemat6937 hat geschrieben:22.01.2018 11:40:15Z. B.:oder?/und?Code: Alles auswählen
iptables -t nat -I OUTPUT 1 -o <output-Interface> -p udp --dport 53 -j DNAT --to-destination 9.9.9.9:53 iptables -t nat -I OUTPUT 2 -o <output-Interface> -p tcp --dport 53 -j DNAT --to-destination 9.9.9.9:53
Testen evtl. mit:Code: Alles auswählen
iptables -I OUTPUT 1 -o <output-Interface> -p udp ! -d 9.9.9.9 --dport 53 -j REJECT iptables -I OUTPUT 2 -o <output-Interface> -p tcp ! -d 9.9.9.9 --dport 53 -j REJECT
(oder gleichwertig).Code: Alles auswählen
host -t A heise.de 9.9.9.9 host -t A google.de 8.8.8.8
Re: DNS Leak / multiple DNS
Vergeben werden heißt ja wohl, vom Provider gelernt. Warum sollte der Provider z. B. per DHCP keinen 2. DNS-Server als Backup-DNS übergeben können?ralle77 hat geschrieben:22.01.2018 11:27:17Mich wundert ja, dass überhaupt 2 DNS Server vergeben werden. An anderen Geräten is das nicht der Fall.
Beispiel isc-dhcp-server :
Code: Alles auswählen
option domain-name-servers 192.168.1.10, 145.253.2.11;
Nicht jeder DHCP-Client versteht alle Options.An anderen Geräten is das nicht der Fall.
Ich würde ja mal mit whois die Besitzer der IPs der DNS-Server ermitteln oder mal "IPs" in Google einklimpern - ob "gute" Server ... Kannst die Server ja mal posten.
Man kann auch selber einen DNS-Server (Forwarder) aufsetzen, den konfigurieren und DHCP-Clients (sowie fest adressierte Hosts) so einstellen, dass der/die Provider-DNS gar nicht benutzt wird/werden. Das mache ich so. Deine verlinkte Website zeigt bei mir nur den aktiven DNS, nicht den Backup:
(xiala.net)DNS
Browser
77.109.148.136 Switzerland
Re: DNS Leak / multiple DNS
Wie meinst du das? Was verstehst du unter "gute" IPs?Jana66 hat geschrieben:22.01.2018 11:53:12Ich würde ja mal mit whois die Besitzer der IPs der DNS-Server ermitteln oder mal "IPs" in Google einklimpern - ob "gute" Server ... Kannst die Server ja mal posten.
Die "Besitzer" sind zum einen mein Provider und eben OpenDNS.
Bei aktivem VPN "leaken" 2 DNS IPs von OpenDNS. Diese dienen eigentlich nur als Backup, falls die VPN Verbindung abbricht. Ohne VPN werden mir neben DNS von OpenDNS auch die 2 DNS IPs von meinem Internetanbieter angezeigt.
Re: DNS Leak / multiple DNS
Selbst konfigurierte oder akzeptable (ISP) DNS-Server.
Ist doch "gut".ralle77 hat geschrieben:22.01.2018 13:46:38Die "Besitzer" sind zum einen mein Provider und eben OpenDNS.
Theoretisch sollte jeder öffentliche DNS die gleichen Ergebnisse bringen (OpenDNS filtert jedoch). Am Ende besteht nur ein Unterschied bei lokalen Domains im VPN, dazu spezielles Routing (split view dns, abhängig von angefragter lokaler vs. öffentlicher Domain oder/und abhängig vom Client) zum autoritativen Firmen-DNS erforderlich oder unterschiedliches bind9 - Forwarding: https://websistent.com/configure-bind-dns-split-view/
weitere Möglichkeiten: https://superuser.com/questions/1127132 ... n-in-linux
Wo wird eigentlich das VPN terminiert, auf VPN-Gateway (Router) für mehrere VPN-Clients oder auf jedem Client (VPN-Tunneling im Router)?