Manjaro Gnome, verschlüsseltes DNS mit stubby u. dnsmasq

Hallo, ich nutze private DNS server, im Networkmanager kann man diese wunderbar einstellen, jedoch jedoch werden diese werksmäßig in Manjaro nicht verschlüsselt. Mit stubby soll das möglich sein, ich bin nach dieser Anleitung vorgegangen, jedoch war vieles für mich unverständlich und am Schluss stand ich ohne Internetverbindung da. kann mir jemand step by step erklären wie ich verschlüsselte DNS Anfragen mit stubby hinbekomme und diese auch lokal mit dnsmasq gechashed werden?
Zur Info: Ich nutze auch hblock für die hosts datei, das sollte sich ja mit stubby/dnsmasq nicht beissen?

danke schonmal im vorraus

Kein Internet oder keine DNS Auflösung. Da gibt es schon einen großen Unterschied.

Der erste Schritt ist DNS, stelle sicher das systemd-resolved ausgeschaltet ist. Das ist sehr wichtig, sonst wird es nicht funktionieren.

Nach der Installation von Stubby (es gibt auch noch ein paar andere DoT Clients) konfiguriere deine Liebings DoT DNS Server und ändere den Port auf irgendwas anderes als 53, z.B. auf 53000. Stubby verwendet eine YAML Syntax für die Konfigurationsdatei. Als achte auf die Einrückungen, die sind super wichtig.
Danach starte und enable Stubby und teste die DNS Auflösung am besten mit dig oder einem ähnlichen Programm. Eine Beispiel Abfrage könnte so aussehen (Port ist 53000, ggf. Portnummer ändern.)

dig @localhost -p 53000 forum.manjaro.org A

Wenn alles passt kannst du weiter machen.

Nun installiere dnsmasq. Konfiguriere dnsmasq wie im Arch Wiki angegeben. Achte nur darauf das du den DNS Server Port richtig angibst. Das muss der selbe sein, den du auch in der Stubby Konfiguration verwendest hast. Danach dnsmasq starten und enable nicht vergessen. Jetzt auch wieder die Abfrage testen, z.B. mit

dig @localhost forum.manjaro.org A

Wenn da auch alles geklappt hat, kannst du in NM den DNS Server im IPv4 Bereich auf 127.0.0.1 und ggf. im IPv6 Bereich auf ::1 fest legen. Dann einfach die Verbindung neu starten und wieder das DNS testen.

dig forum.manjaro.org A

ggf. auch einmal den Inhalt von /etc/resolv.conf überprüfen. Ich würde dir nicht empfehlen, den DNS Server manuell in die /etc/resolv.conf einzutragen und dann auch noch die Datei unveränderbar zu machen. Lass NM den DNS Server dort eintragen.

hallo xabbu,
danke für den tip mit der listen adresse in der resolv.conf da lag wohl mein fehler. nun funktionierts.

ich habe nun folgende zeilen in der stubby.yml:
resolution_type: GETDNS_RESOLUTION_STUB
dns_transport_list: - GETDNS_TRANSPORT_TLS
tls_authentication: GETDNS_AUTHENTICATION_REQUIRED
tls_query_padding_blocksize: 128
edns_client_subnet_private : 1
round_robin_upstreams: 1
idle_timeout: 10000
listen_addresses: - 127.0.0.1@53000
dnssec: GETDNS_EXTENSION_TRUE
appdata_dir: "/var/cache/stubby"
und natürlich die dns server meines vertrauens.

und in der dnsmasq.conf:
no-resolv
conf-file=/usr/share/dnsmasq/trust-anchors.conf
dnssec
server=127.0.0.1#53000
listen-address=127.0.0.1

DoT auf port 853, dnsmasq als local cache und auch DNSSEC funktionieren bei mir nun einwandfrei, allerdings dauert eine erste seitenabfrage ca. 1 sekunde, die 2te abfrage geht dann in 0ms durch. kann ich die erste seitenabfrage noch beschleunigen oder passt das so mit meiner konfiguration?
wie verhält sich das jetzt wenn ich mich mit dem laptop an einem hotspot oder anderen wlan netz verbinden möchte?

ich habe noch ein weiteres problem und zwar wenn ich im nm gui eine zufällige mac adresse auswähle, die verbindung neustarte, dann verbindet sich das notebook nicht mehr im wlan netz. an der neuen konfiguration liegt das nicht, das problem trat irgendwann plötzlich auf, denn es hat mal funktioniert. ich komme dann nur noch ins heimische netz wenn ich die verbindung im nm gui lösche und erneut einlogge oder in dem ich im nm-connection-editor die zufällige mac auf beibehalten stelle. hast du mir da einen tip?

Ich würde zu der stubby Config noch die dnssec_trust_anchors hinzufügen. Wenn du das Paket dnssec-anchors installiert hast sollten die auch als Datei ( /etc/trusted-key.key ) vorhanden sein. In der dnsmasq.conf könnte man dnssec raus schmeißen, den stubby hat die Antwort auch schon validiert. Das passiert sozusagen doppelt.

Naja, ich würde andere DNS Server testen. Google/Cloudflare/Quad9 sind meist ein bisschen schneller. Schau dir auch mal an wie lange die Abfrage mit einem dig direkt an stubby dauert. Am besten mit einer Domain die du noch nie abgefragt hast. dig zeigt dir die "Query time" an.

Es ist natürlich auch klar das DoT signifikant langsamer ist als eine Standard DNS abfrage über UDP. Selbst wenn die Verbindung zum DNS Sever über TLS schon steht dauert es länger. Da hilft nur sich genau zu überlegen ob man eine Transport Verschlüsslung benötigt.

Was man auch machen könnte wäre eine andere DNS Server Software zu verwenden. z.B. kann unbound auch DoT aber wenn es hauptsächlich am Upstream DNS Server liegt kann man natürlich nicht viel dran machen.

Die aktuellen Zeiten von meinem unbound Server.
Untitled
Wenn man keinen Cache Treffer hat kann es schon mal länger dauern. Wobei es mir beim normalen surfen noch nicht negativ aufgefallen ist.

Bei vielen Hostspots musst du eh den DNS Server vom dortigen Netzwerk nehmen. Sonst bekommst du die Login Seite nicht angezeigt. Auch sperren viele Anbieter Ports die man nicht für Https braucht, da könntest du DoT eh nicht verwenden. Wenn keine Login Seite kommt und auch keine Ports gesperrt werden könntest du die 127.0.0.1 direkt mit in die NM config einfügen. Wenn eine Login Seite kommt aber keine Ports gesperrt werden klappt das über die NM Konfiguration nicht. Da müsstest du den localhost per Hand in die resolv.conf schreiben.

Zu deinem anderen Problem kann ich leider nicht viel sagen, außer das MAC randomization noch nie wirklich gut funktioniert hat. Auch seit NM das zum Scannen automatisch macht, gibt es bei vielen Adaptern eine Menge Probleme.

hi xabbu,

die trust anchors waren schon installiert, ich habe mich letztens schon gefragt wo die .key datei herkommt und welches programm sie erstellt hat. jetzt weiss ich ja woher. ich habe deine tips jetzt so umgesetzt und bin fürs erste zufrieden und werde da jetzt erstmal nichts mehr ändern, ausser es sollten unvorhergesehene probleme auftreten.

von google und cloudflare halte ich mich schön fern, da nehme ich eine geschwindigkeitseinbuße gern in kauf. über quad9 weiss ich nichts, werde ich aber mal nachforschen.

ich bin zum glück eigentlich nur selten und wenn dann auch nur im urlaub auf hotspots angewiesen, jedoch werde ich deine info beherzigen wenn ich mal einen hotspot brauche.

Vielen Dank für deine Hilfe, du hast mir sehr geholfen!

ps: nachdem ich die wifi SSID im router geändert habe, funktioniert auch die zufällige mac wieder, wie aus geisterhand.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.

Forum kindly sponsored by