Propojení dnxcrypt-proxy a unbound

sonic

Propojení dnxcrypt-proxy a unbound
« kdy: 05. 09. 2018, 15:59:32 »
Oba mám nainstalované přes PPA, prootže v repozitářích je ještě např. dnxcrypt-proxy 1.x.

Zatím mám rozchozený dnscrypt-proxy s tím, že mi sleduje každé rozhraní (ethX, wlanX, tunX), takže IP adresa pro GW je i pro DNS (použité mám adresy pro IPv4 i IPv6). Také dnscrypt-proxy běží na defaultní adrese 127.0.2.1:53.
Když použiji unbound (rekurzivní + kešující), tak budu muset nastavit (control interface) všechny rozhraní v dncrypt-proxy, nebo bude stačit jen to 127.0.2.1:53?
Nebo to mám udělat úplně nějak jinak?
Děkuji za rady.
« Poslední změna: 05. 09. 2018, 19:33:57 od Petr Krčmář »


Lol Phirae

Re:dnxcrypt-proxy + unbound
« Odpověď #1 kdy: 05. 09. 2018, 18:05:41 »
A není tam ta proxy trochu zbytečná? Unbound umí DNS over TLS sám od sebe.

sonic

Re:Propojení dnxcrypt-proxy a unbound
« Odpověď #2 kdy: 06. 09. 2018, 19:14:04 »
Nemá někdo funkční unbound.conf pro "dns over tls"?
Když jsem zkusil variantu (DNS Over TLS, simple recursive caching DNS, TCP port 853 ENCRYPTED ) odsud https://calomel.org/unbound_dns.html, tak mi unbound vůbec nenastartuje.

Lol Phirae

Re:Propojení dnxcrypt-proxy a unbound
« Odpověď #3 kdy: 06. 09. 2018, 19:22:44 »
tak mi unbound vůbec nenastartuje.

Zkus log...  :o :P

sonic

Re:Propojení dnxcrypt-proxy a unbound
« Odpověď #4 kdy: 06. 09. 2018, 20:22:44 »
Když ten dnscrypt-proxy funguje na první nástřel. Unbound nechtěl ani v deafaultu nastartovat kvůli apparmoru, ale to jsem opravil podle tohoto návodu.
Potom jsem použil ten konfigurák, kde jsem ty certifikáty doplnil a začal ubírat řádky, až nastartoval. Sice jel, že dns na ip nepřekládal :) Z hlavy vím, že jsem musel odebrat (mimo jiné) hlavně 'forward-tls-upstream: yes' a to asi bude zásadní.
Možná mi nakonec bude stačit zapnout cache na tom dnscrypt-proxy.


Lol Phirae

Re:Propojení dnxcrypt-proxy a unbound
« Odpověď #5 kdy: 06. 09. 2018, 20:32:55 »
Z hlavy vím, že jsem musel odebrat (mimo jiné) hlavně 'forward-tls-upstream: yes' a to asi bude zásadní.

Funguje od verze 1.7.0.

sonic

Re:Propojení dnxcrypt-proxy a unbound
« Odpověď #6 kdy: 06. 09. 2018, 21:50:55 »
Aha, já mám přes PPA verzi 1.6.7. Až budu doma, tak si ručně stáhnu 1.7.3 a uvidíme.

Lol Phirae

Re:Propojení dnxcrypt-proxy a unbound
« Odpověď #7 kdy: 06. 09. 2018, 22:11:54 »
Aha, já mám přes PPA verzi 1.6.7.

Tam funguje forward-ssl-upstream

sonic

Re:Propojení dnxcrypt-proxy a unbound
« Odpověď #8 kdy: 07. 09. 2018, 07:46:16 »
Super, moc dík, už to funguje, nechám tam tu PPA verz kvůli aktualizacím. Akorát jsem z toho konfiguráku zakomentoval dvě věci, 'aggressive-nsec: yes' a 'tls-cert-bundle:' (zkoušel jsem i 'ssl-cert-bundle:') s certifikátem "/etc/ssl/certs/ca-certificates.crt", ale s tím 'trust-anchor-file: "/var/lib/unbound/root.key"' to funguje.
Zatím to zkouším na testovacím strojku (než to nasadím, to dělám vždy), kde jsem do toho konfiguráku přidal podporu pro IPv6 a dokonce to proleze přes dva NATy66.
Šlo by z venku (nějakou službou) zjistit, jestli mi z toho leze "DNS over SSL"? Tohle sice naběhne jen na IPv4, ale ten test vůbec neproběhne, jenže to netuším, jestli to je ten správný test.

Lol Phirae

Re:Propojení dnxcrypt-proxy a unbound
« Odpověď #9 kdy: 07. 09. 2018, 12:29:20 »
ale s tím 'trust-anchor-file: "/var/lib/unbound/root.key"' to funguje.

To ale s tím vůbec nesouvisí, tohle je klíč pro DNSSEC. Pokud chceš ověřovat certifikáty těch DNS serverů, tam Unbound musí být zkompilovaný proti OpenSSL 1.1.x.