DNS-Server Quad9

Hallo liebes Gardion-Team,

bei einem DNS Leaktest war ich etwas verwundert, dass dort Woodynet als DNS-Server-Namen auftauchten und habe krampfhaft versucht, das auf Quad9 zu ändern, ohne hinzubekommen.

Nun habe ich dazu folgendes gelesen (https://medium.com/@useradd_deploy/dns-to-the-nines-a185e18459b9):

DNS leak test
The easiest way to check is to run an online DNS leak test. When you do so, you should see that the responding ISP is WoodyNet.
If you’re wondering why you’re seeing WoodyNet, it’s because Quad9 is what’s called an anycast DNS, which automatically routes queries to the nearest server. While Quad9 has servers at more than 100 locations around the globe, it doesn’t own its own servers. Instead, Quad9 relies on Packet Clearing House (which is present at 160+ internet exchange points) to host DNS servers for it. PCH’s Executive Director is Bill Woodcock a/k/a Woody. Hence, WoodyNet.

Könnt ihr mich kurz aufklären, wie ihr das mit den DNS-Servern macht bzw. welche ihr nutzt? Dazu habe ich bei euch folgendes gelesen:

Sicherheit & Privatheit
Gardion setzt auch VPN-Technik als Basistechnologie ein. Der zweite, wesentliche Teil von Gardion ist die umfangreiche Filtertechnik. Dadurch, dass Gardion auf IP- und DNS-Ebene filtert, wird sowohl die Sicherheit als auch die Privatheit erhöht. Darüberhinaus setzen wir ein sogenanntes „Intrusion Prevention System“ ein, ein Softwaresystem, dass Eindringlinge im Netzwerkverkehr erkennt und blockiert.

Ganz schlau bin daraus immer noch nicht geworden. Ich lese daraus, dass ihr eigene DNS-Server nutzt? Aber warum Woodynet DNS-Server beim Leaktest. Das Gleiche wie bei Quad9 (Stichwort Anycast?)?

Vielen Dank und herzliche Grüße

NV

Wir setzen „Routing/Filter-Magie“ ein, um DNS-Anfragen filtern und damit absichern zu können. Das ist auch der Grund, warum bei den Leak-Tests etwas merkwüriges/falsches angezeigt wird.

Was wir tun:

DNS-Anfragen im Gardion VPN werden auf den lokalen DNS-resolver umgebogen. So können wir dafür sorgen, dass nur die gewünschten Domains aufgelöst werden und unsichere Domains geblockt werden.

Routing Regeln

Diese Regeln sorgen dafür dass jeglicher Traffic (UDP und TCP) auf Port 53 aus unseren VPN-Netzen auf unseren lokalen Resolver (s.u.) „umgebogen“ wird.

iptables -t nat -A PREROUTING -s 10.102.0.0/16 -p udp -m udp --dport 53 -j REDIRECT --to-ports 53
iptables -t nat -A PREROUTING -s 10.102.0.0/16 -p tcp -m tcp --dport 53 -j REDIRECT --to-ports 53

Lokaler Resolver

Wir setzen dazu unbound als validating, recursive, caching DNS-resolver ein. Jeweils eine Server-Instanz je Filterset lauscht wie üblich auf Port 53.

Die dort eintreffenden DNS-Anfragen werden entweder aus dem lokalen Zwischenspeicher bedient (rasend schnell und ohne externe Anfragen) oder gesammelt mit vielen anderen Anfragen and die externen Resolver weitergeleitet.

forward-zone:
  name: "."
  forward-tls-upstream: yes

  # Quad9
  forward-addr: 9.9.9.9@853#dns.quad9.net
  forward-addr: 149.112.112.112@853#dns.quad9.net

  # Cloudflare DNS
  forward-addr: 1.1.1.1@853#cloudflare-dns.com
  forward-addr: 1.0.0.1@853#cloudflare-dns.com

Bei den externen Resolvern haben wir uns aus mehreren Gründen für Quad9 und Cloudflare entschieden.

  1. Diese Anbieter unterstützen TLS-Verschlüsselung und DNSSEC
  2. Quad9 hat im Vergleich zu Cloudflare und Google die geringste Sichtbarkeit in Internetverkehr. Sowohl Google als auch Cloudflare überwachen über Ihre Infrastruktur große Bereich des Internets und können damit leichter Korrelationen und Timing-Attacks auf Netzwerk-Anfragen durchführen.
  3. Wobei - dieses Problem bei Gardion nicht so ausgeprägt ist - da die DNS-Anfragen eben aus einem Resolver stammen und nicht mehr von Ihrer eigegen privaten IP-Adresse. D.h. aus „unseren“ Anfragen auf einen Nutzer zu schließen ist viel schwieriger als aus den Anfragen eines privaten DSL-Anschlusses.
    Dazu kommt zusätzlich noch das vorgelagerte caching, d.h. wenn ein Nutzer www.ecosia.de angefragt hat, werden Anfragen anderer Nutzer in den nächsten Stunden gar nicht an den externen resolver weitergeleitet, sondern sofort intern, im Gardion VPN, beantwortet.
  4. QuadNine ist unseren Tests nach aus unseren Netzwerken der schnellste Anbieter, was unseren Nutzen Latenz erspart.
  5. Wird QuadNine von einer not-for-profit Organisation betrieben und diese versichert zumindest, dass keine Anfragedaten aufgezeichnet werden.

Das Konstrukt lässt sich schön testen; im VPN lässt sich etwa mit dem dig-Befehl

dig @3.4.5.6 gardion.de

ein imaginärer DNS-resolver aufrufen; im VPN funktioniert da jede IP-Adresse, d.h. „dig@6.7.5.4 gardion.de“ etwa auch.

Hallo Tom,

vielen Dank für die Antwort.

Könnt ihr eigentlich beeinflussen, ob nur deutsche DNS-Server von WoodyNet angesteuert werden? Bei mir tauchen neben deutschen auch tschechische DNS-Server auf, womit ich bei einigem Dienst leichte Schwierigkeiten habe. Z. B. bei Netflix, wo bei aktivierten VPN nicht alle Serien angezeigt werden, die ohne VPN-Connection angezeigt werden. Ich bin mir nicht sicher, ob das daran liegt, aber könnte sein, oder?

Beste Grüße
NV

Wir setzen nur eigene DNS-Server ein, die dann nur die Anfragen an Quad9 etc. weiterleiten, die sie nicht selber beantworten können. „WoodyNet“ kommt bei uns sicher nicht vor.
Ich habe gerade den Betreiber hinter dem DNS Leaktest angeschrieben, vielleicht kann er etwas Licht ins Dunkel bringen. Ich melde mich hier, wenn ich etwas höre.