NGINX DNS-over-TLS Gateway

-Manu- · Jan 23rd 2025

Ich weiß nicht, ob ihr das wusstet, aber NGINX kann innerhalb von 2 Minuten ein DoT-Gateway mit Lastverteilung auf dahinter liegende DNS-Server bereitstellen.

Wer es wusste....ich wusste es nicht, hab es aber seit einiger Zeit mit "Gefällt mir!" im Einsatz

/etc/nginx/nginx.conf (am Ende anfügen)

Code

stream {
     upstream dns-servers{
     server <DNS1 IPv4>:53;
     server <[DNS1 IPv6]>:53;
     server <DNS2 IPv4>:53;
     server <[DNS2 IPv6]>:53;
     }
     server {
         listen 853 ssl;
         listen [::]:853 ssl;
         proxy_pass dns-servers;
         proxy_connect_timeout 1s;
         preread_timeout 2s;
         
     ssl_certificate <PATH TO CERTIFICATE.crt>;
     ssl_certificate_key <PATH TO CERTIFICATE KEY.key>;
     }
}

Display More

Homwer · Jan 23rd 2025

Quote from -Manu-

Wer es wusste....ich wusste es nicht, hab es aber seit einiger Zeit mit "Gefällt mir!" im Einsatz

Moin,
klär mal bitte auf was du mit dem Satz meinst und wo der Vorteil liegt.
Bei mir macht OPNSens DoT, mit mehreren DNS Servern.

Aber Danke für den Tipp.

-Manu- · Jan 23rd 2025

Das kommt natürlich auf die eigene Umgebung an, keine Frage.

Ich nutze NGINX als ReverseProxy für meine dahinterliegende Services (wie wohl viele) und kann in einem Atemzug auch DNS per DoT auf diesem terminieren lassen....was er dann mit Lastverteilung an dahinterliegende DNS-Server schubst.

Irgendwer wird in seinem Szenario vielleicht Verwendung dafür finden.

Ich betreibe bspw. zwei redundante Technitium DNS, die ich somit auch direkt hinter den NGINX packen und über eine einzige DoT-Domain erreiche.

Außerdem gefällt mir das, dass ich den Proxy sozusagen als kompletten "Gatekeeper" nun auch mit verschlüsselter DNS-Terminierung nutzen kann.

andreas. · Jan 23rd 2025

Quote from Homwer

... und wo der Vorteil liegt.
Bei mir macht OPNSens DoT, mit mehreren DNS Servern.

Einer der Vorteile seiner Variante ist, dass seine Variante auch auf einem LXC läuft und von daher kein weiterer vServer benötigt wird.

Homwer · Jan 23rd 2025

Aber die Anfragen an die Upstream-Server gehen doch an port 53, und damit unverschlüsselt raus?!

frank_m · Jan 23rd 2025

Der "Upstream Server" ist bei mir ein Pihole mit Unbound. Lässt sich über das DoT Gateway ohne VPN auf mobilen Geräten nutzen.

Valkyrie · Jan 24th 2025

Quote from frank_m

Der "Upstream Server" ist bei mir ein Pihole mit Unbound. Lässt sich über das DoT Gateway ohne VPN auf mobilen Geräten nutzen.

Kannst du das noch etwas näher erläutern? Ist der DNS Server dann nicht offen für das komplette Internet oder hast du durch das Gateway eine Art Authentifizierung?

-Manu- · Jan 24th 2025

Quote from frank_m

Der "Upstream Server" ist bei mir ein Pihole mit Unbound. Lässt sich über das DoT Gateway ohne VPN auf mobilen Geräten nutzen.

Genau so mache ich das auch. Die DNS dahinter akzeptieren in meinem Fall aber dafür nur eingehende Kommunikationsbeziehungen vom Proxy.

DoT kann nicht für Reflection/Ampflification Attacken ausgenutzt werden.

Daher sollte man ja auch kein Pi-Hole über "klassisch" Port 53 direkt ins Netz stellen.

frank_m · Jan 24th 2025

Quote from Valkyrie

Ist der DNS Server dann nicht offen für das komplette Internet oder hast du durch das Gateway eine Art Authentifizierung?

Der Port ist offen, wird von mir aber natürlich nicht in irgendeiner Form propagiert. Tatsächlich scheint der bei irgendwelchen Portscans auch nicht aufzufallen: Mein Monitoring bestätigt mir, dass der außer von mir nicht benutzt wird.