DNS over TLS IP adressen

joeyboon · 28 juli 2021 om 16:05

Hi,

Ik gebruik als modem een zelf gebouwd device met OPNsense. Unbound biedt daar de optie om DNS over TLS servers toe te voegen, maar enkel op basis van IP en dus niet op basis van domeinnaam. Is er een reden dat op Algemene instellingen | Freedom enkel een domeinnaam genoemd wordt voor DOT? Ik heb nu een DNS lookup gedaan en kreeg de volgende adressen:

185.93.175.43
185.232.98.76
2a10:3780:2:52:185:93:175:43
2a10:3780:2:53:185:232:98:76

Deze werken allemaal keurig op poort 853. Het lijkt me dat Freedom deze adressen niet zomaar zal wijzigen?

subbink · 28 juli 2021 om 16:51

Bij DoT moet er een TLS verbinding opgezet worden en de meeste certificaten worden uitgegeven op basis van een naam en niet op basis van een IP. Dus vind ik het logisch dat Freedom bij de instellingen alleen de naam noemt.

In de unbound.conf documentatie staat dat je ook de naam die bij de IP-adressen hoort kan opgeven.

forward-addr 185.93.175.43@853#dns.freedom.nl

Ik weet niet of de @853 niet persee hoeft, maar die heb ik voor de volledigheid er in gezet.

[edit poort aangepast naar de standaard poort voor DoT]

Noci · 28 juli 2021 om 18:05

Voor DoT is poort 53 niet correct, 853 is gebruikelijk.

joeyboon · 28 juli 2021 om 20:29

@subbink Ik wist niet dat de hostname nodig was voor verificatie, eigenlijk heel logisch! Toevallig net een update gehad van OPNsense naar 21.7. Nu ziet de Unbound interface er anders uit voor DNS over TLS. Kan nu netjes de hostname invullen, maar het IP is nog steeds vereist. Dat lijkt me voor een DNS server dan ook weer logisch, waarmee kan hij anders resolven?

reinoud · 29 juli 2021 om 11:20

Het lijkt me dat Freedom deze adressen niet zomaar zal wijzigen?

Als we dat doen kondigen we het aan in een nieuwsbericht. Maar we zijn het voorlopig niet van plan.

system · 30 juli 2021 om 11:20

Dit topic is 24 uur na het laatste antwoord automatisch gesloten. Nieuwe antwoorden zijn niet meer toegestaan.