Hej allihopa. Jag har pfBlockerNG-devel installerat och fungerar bra. Jag har två utgående gränssnitt på min router — ett är det vanliga WAN-gränssnittet till min ISP (Comcast), det andra är ett VPN (OpenVPN) gränssnitt till en VPN-leverantör för att dölja min internetaktivitet för min ISP. En sak jag skulle vilja ändra är att få unbound DNS-upplösaren att använda VPN-gränssnittet för att fråga upstream (auktoritativa/rot) DNS-servrar så att Comcast inte kan snoka mina DNS-frågor. (Det vill säga, DNS-frågor till utomstående servrar bör verka som om de kom från VPN-IP-adressen, inte min Comcast-IP.)
Jag ser på DNS-upplösarens (unbound) konfigurationssida att det finns ett alternativ att välja Utgående nätverksgränssnitt. Som standard har pfBlockerNG-devel installationen “Alla” valt. Om jag ändrar detta till VPN-gränssnittet (eller till och med WAN-gränssnittet) slutar DNS-frågorna att fungera — upplösaren kan i princip inte nå internet, vad jag kan förstå.
För att vara ärlig förstår jag inte riktigt var “10.10.10.1 (pfB DNSBL - BE OM ATT INTE REDIGERA)”-gränssnittet passar in i detta. Frågar unbound detta DNSBL-gränssnitt? Om ja, hur kan jag tvinga utgående frågor att routas över OpenVPN-gränssnittet istället för WAN?
Spelar detta ens någon roll? Jag försöker bara hålla så mycket av mina data som möjligt dolt från Comcast.
Tack för hjälpen!
Ett annat alternativ än att använda DNS över VPN, vilket kan lägga till viss latens, är bara att kryptera dina DNS-förfrågningar från pfsense. Det är superenkelt att konfigurera DNS över TLS om du använder en DNS-server som stöder det. https://www.netgate.com/blog/dns-over-tls-with-pfsense.html
Jag har en sådan setup igång. Oroa dig inte för 10.10.10.1 den är bara för internt bruk. Ändra inte den.
Du kan behöva omdirigera DNS med Nat>Port Forward.
https://docs.netgate.com/pfsense/en/latest/dns/redirecting-all-dns-requests-to-pfsense.html
Borde inte detta lägga en hel del latens till varje DNS-uppslagning?
Hej,
Fick du detta att fungera?
Jag har liknande problem men jag använder pihole för DNS-kontroll och sedan pfblockerNG för Geo-IP-kontroll.
Jag tvingar också all trafik genom mitt nätverk till en VPN-klient till VPN-leverantören i pfsense. Fram till nu har jag också använt min VPN-leverantör för DNS.
Men jag tror att det kanske är bättre att använda DoT (DNS över TLS) som föreslogs nedan. Men jag vill också lägga till några brandväggsregler för att verkligen tvinga alla klienter att använda det — eftersom vissa klienter har hårdkodade DNS-inställningar vill jag att DoT-leverantören ska användas hela tiden, samtidigt som jag också passerar genom min PiHole.
Alla guider jag hittat för denna procedur är utan att använda en VPN-klient. Det verkar finnas ganska få personer som jag och du som vill använda VPN-leverantör för all trafik. Så jag tänkte fråga dig om du vet hur man ställer in detta i pfsense?
Tack
Detta kommer att fungera som du vill med rätt inställningar och var hur min var inställd tills jag började använda Quad 9 DNS.
I DNS-upplösaren, under “Utgående nätverksgränssnitt” se till att din VPN är det enda valda. På samma sida se till att “DNS Query Forwarding” är avstängt. Du måste också ha dina Outbound NAT-regler inställda för VPN:n men de skapades sannolikt redan när du satte upp din VPN. Efter att ha använt och sparat dina ändringar i DNS-upplösaren kan det ta flera minuter innan upplösningen börjar fungera igen. Det låter nästan som att du redan har försökt detta men ingenting löste sig? Det kan vara att du inte väntade tillräckligt länge efter att ha gjort ändringarna i resolvern. Kontrollera också att Unbound-tjänsten körs efter dina ändringar. Jag har sett att den slutar fungera efter ändringar i resolvern och jag var tvungen att starta om den manuellt.
Återigen, så här var min inställd innan jag började använda Quad 9 DNS så jag vet att det fungerar. Vid den tiden använde jag ExpressVPN och jag kunde verifiera mina DNS för VPN- och ISP-gateways på ExpressVPN:s DNS-kontrollsida.
Tack! Det är förmodligen en bättre idé än det jag försökte. Jag ska prova detta tillvägagångssätt.
Ok, tack för svaret. Jag ska titta närmare på det.
Du kanske har rätt om det. Min VPN-anslutning är ganska snabb, men det är nog bättre att undvika den om det är möjligt. Jag gillar det andra förslaget att använda krypterad DNS istället. Tack för svaret!
Jag använde slutligen DNS över TLS som föreslogs i en annan kommentar, med min pfSense-box som vidarebefordrar DNS-förfrågningar till Quad9 över en krypterad anslutning. Det fungerar bra och uppfyller mitt mål att dölja DNS-frågor från min ISP.
Jag lade också till en brandväggsregel för att tvinga alla DNS-frågor på LAN att använda pfSense-boxen — i princip kapar och omdirigerar alla utgående DNS-frågor till pfSense-IP-adressen — med hjälp av konfigurationsidéerna från den här personens skärmklipp från en annan tråd, vilket jag tror är vad du försöker göra.
Kul, tack för svaret. Ja, det är precis vad jag försökte göra. Du gav mig några bra idéer att kontrollera. Men, som du och andra föreslog, satte jag upp krypterad DNS till Quad9, vilket också löser mitt problem och fungerar utmärkt så att jag kommer nog att behålla detta som min lösning. Tack igen.
Jag förstår m8. Tack.
Men om du litar på ditt VPN är det bättre att använda deras DNS-servrar om de har några. De är redan betrodda med alla de IP:er du besöker, vilket ofta kan säga exakt vilken sida du besökte.
Att använda en annan DNS-leverantör ger också en tredje part information om dig samt, dina DNS-förfrågningar.