Unbound am Deutsche Glasfaser Anschluss  

Nachdem ich unbound erfolgreich auf meinen pi-hole installiert hatte (siehe UDM Pro 3: pihole im Container installieren - Teil 3), musste ich leider feststellen, dass die Adressen deutsche-glasfaser.de und dg-w.de nicht mehr über IPv4 aufgelöst werden können. Als Folge war z.B. die Webseite der Deutschen Glasfaser nicht mehr erreichbar, wenn in einem Netzwerksegment ausschließlich IPv4 genutzt wird.

Das liegt vermutlich daran, dass irgendeine Firewall im Netzwerk der Deutschen Glasfaser wohl die IP-Adresse 100.64.0.0 and 100.127.255.255 sperrt, die für das Carrier Grade NAT (CGNAT) reserviert sind. Für Verbindungen aus dem Internet zu den Authorative DNS-Servern der DG macht das schon Sinn. Allerdings wird das zum Problem, wenn durch das Routing im internen Netzwerk der DG nicht sichergestellt wird, dass die eigenen CGNAT-Adressen beim Zugriff nicht in öffentliche IP-Adressen umgesetzt werden. Sonst kann unbound als lokaler Resolver eben nicht auf die DNS-Server zugreifen.

Das Problem ist aber relativ leicht behoben. Es muss in er unbound Konfiguration lediglich sichergestellt werden, dass die Domänen deutsche-glasfaser.de und dg-w.de nicht direkt beim Authorative DNS-Server abgefragt werden sondern an einen externen Resolver weitergeleitet werden.

Da die Anfrage über DNS over TCP (DoT) erfolgen soll. muss das zunächst noch in der unbound-Konfiguration um folgende Einträge im server: Abschnitt ergänzt werden:

    #TLS cert bundle (enables DoT (DNS over TLS))
    tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt

Anschließend muss noch die Datei /etc/unbound/unbound.con.d/dg-forward mit folgendem Inhalt angelegt und anschließend unbound neu gestartet werden:  

forward-zone:
	name: "deutsche-glasfaser.de."
	forward-tls-upstream: yes		# use DNS-over-TLS forwarder
	forward-first: no			# do NOT send direct
	
	# the hostname after "#" is not a comment, it is used for TLS checks:
	## Cloudflare
	forward-addr: 1.1.1.1@853#cloudflare-dns.com
	forward-addr: 1.0.0.1@853#cloudflare-dns.com	
	## Quad9 (only Backup as slower than Cloudflare)
	forward-addr: 9.9.9.9@853#dns.quad9.net
	forward-addr: 9.9.9.10@853#dns.quad9.net

forward-zone:
	name: "dg-w.de."
	forward-tls-upstream: yes		# use DNS-over-TLS forwarder
	forward-first: no			# do NOT send direct

	# the hostname after "#" is not a comment, it is used for TLS checks:
	## Cloudflare
	forward-addr: 1.1.1.1@853#cloudflare-dns.com
	forward-addr: 1.0.0.1@853#cloudflare-dns.com
	## Quad9 (only Backup as slower than Cloudflare)
	forward-addr: 9.9.9.9@853#dns.quad9.net
	forward-addr: 9.9.9.10@853#dns.quad9.net
	
forward-zone:
	name: "dg-ao.de."
	forward-tls-upstream: yes		# use DNS-over-TLS forwarder
	forward-first: no			# do NOT send direct

	# the hostname after "#" is not a comment, it is used for TLS checks:
	## Cloudflare
	forward-addr: 1.1.1.1@853#cloudflare-dns.com
	forward-addr: 1.0.0.1@853#cloudflare-dns.com	
	## Quad9 (only Backup as slower than Cloudflare)
	forward-addr: 9.9.9.9@853#dns.quad9.net
	forward-addr: 9.9.9.10@853#dns.quad9.net

Kommentare

© 2019 - 2024 by nerdig.es
PostadresseE-MailadresseFestnetzMobiltelefonSMS/SignalThreemaTwitter DirektnachrichtFAXWeb Page