Ahoj, mám otázku, a pravděpodobně jen matnu v hlavě a někdo na Redditu mi může pomoci to rozmotat.
Když zakážu ‘DNS přes TLS’ v nastavení pfSense a používám VPN+PfBlockerNG, dostávám úniky DNS při internetových kontrolách.
Pokud DNS přes TLS vypnu, projdou mi DNS úniky, když jsem za VPN (protože se používají jejich DNS servery?), ale už nemám TLS šifrování, že?
Tak která je lepší praxe pro zabezpečení… používat DNS přes TLS nebo VPN… a proč nemůžeme používat obojí zároveň?
Pokud používáte VPN, pak by mělo vše být normálně v tom samém šifrovaném tunelu VPN, včetně DNS požadavků, což způsobí žádné úniky.
Když VPN nepoužíváte, DNS přes TLS je jedna z metod, jak šifrovat DNS směřující k třetí straně DNS, jako je Cloudflare, místo aby se tyto požadavky posílaly nešifrované.
Pokud používáte obojí, VPN i DoT, pak váš provoz pravděpodobně jde k VPN poskytovateli přes tunel, ale DNS požadavky jsou odeslány třetí straně, což způsobuje úniky VPN DNS.
Co je lepší? Pokud důvěřujete svému VPN poskytovateli s veškerým svým provozem, stačí vypnout DoT a používat VPN bez úniků nebo zapojení třetí strany. Pokud VPN nepoužíváte, pak ano, můžete použít DoT alespoň k zašifrování vašich DNS požadavků.
Závisí na režimu, ve kterém je Unbound. Pokud je v základním režimu a není ve forwarding režimu, Unbound se pokusí sám připojit k root DNS serverům. Pokud jste neřekli pfSense, aby používala VPN jako výchozí trasu pro DNS dotazy, bude je posílat přes WAN. Pokud jste nastavili pfSense tak, aby směrovala všechny DNS přes VPN, nemělo by dojít k únikům.
V Obecných nastaveních, když přidáváte DNS, řekněte mu, aby používal bránu VPN. Pouze pokud je v režimu Forwarding.
Nebo
V Firewall > NAT > Outbound. Přepněte na AOD a přidejte pravidlo od 127.0.0.1 na jakýkoli port 53 TCP/UDP a nastavte ho na rozhraní VPN; to donutí pfSense posílat všechny své DNS dotazy přes VPN. To by mělo fungovat v obou režimech.
ahoj, to jasně, to mi objasnilo pár věcí. Ale teď mám doplňující otázku; co když mám nastavené VLANs a mám 2 VLANy přes VPN a ostatní bych chtěl přes DNS přes TLS; je možná taková granulární kontrola?
Hmm, mám v Obecných nastaveních > DNS nastaveno, že má používat bránu VPN s nastaveným Forwarding Mode. Je to tak, jak máš ty?
Část Firewall > NAT > Outbound > AOD mi nedává smysl, protože jsem sledoval několik průvodců pro nastavení a všichni používali MANUÁLNĚ. Co myslíš tím “toto by mělo fungovat v obou režimech”?