protonvpn + pihole & dnssec
ProtonVPN.com blijkt op hun website vooralsnog niets specifieks te hebben staan over de toepassing van een Pi-hole (pi-hole.net) noch over een opzet voor DNSsec. Op hun eigen DNS servers passen ze uiteraard een DNS Leak protectie toe om het IP-adres hun clientèle tegen uitlekken beschermen. Dat kan verklaren waarom de adblocking van je Pi-hole niet werkt.
Het volgende informatie fragment heeft betrekking tot de DNS configuratie van een DD-WRT router voor de huidige ProtonVPN.com dienst. Misschien dat er dan een lichtje bij je gaat branden?
Under Network Address Server Settings (DHCP), set the DNS values to the following ProtonVPN DNS addresses:
Static DNS 2 = 0.0.0.0
Static DNS 3 = 0.0.0.0 (default)
Use DNSMasq for DHCP = Checked
Use DNSMasq for DNS = Checked
DHCP-Authoritative = Checked
NOTE: If you are a FREE user and using FREE servers to configure your router, you will have to use 10.8.0.1 for Static DNS 1
How to setup ProtonVPN on DD-WRT routers
https://protonvpn.com/support/vpn-router-ddwrt/
Let goed op de DNS nummers in het geval je een gratis dan wel een betaalde ProtonVPN account verkiest te hebben.
- regulier netwerk --> pi-hole
- op de computer --> vpn --> naar buiten
Wat jij graag wilt is eigenlijk een werkende DNS-leak omgeving. Echter is het met VPN juist aan te raden om DNS-leak te blokkeren. De voorgestelde oplossing om je Pi-hole als DNS te laten werken, zal niet gaan werken. Dit omdat proton een schil om de verbinding legt en zelf de DNS-requests afhandelt.
Een oplossing zou zijn om op je Pi-hole OpenVPN te plaatsen. Dan verbind jij via OpenVPN van buiten naar binnen je Pi-hole. De Pi-hole laat je dan de DNS-requests afhandelen en je blokkeert uiteraard DNS-leak op de OpenVPN verbinding.
Wellicht kan je ook ProtonVPN op je Pi-hole zetten, maar dan zal nog steeds een dergelijke oplossing zelf de DNS afhandelen.
En de ham-vraag is ook een beetje: Als je je DNS-wilt routeren via je eigen route (ISP/Cloudflare/Quad9/Google/etc.), waarom dan nog überhaupt VPN gebruiken? Op dit moment is het meeste DNS verkeer nog niet versleuteld en verloopt het via UDP over poort 53. DNS-over-TLS over TCP 853 is nog niet overal beschikbaar, zeker niet vanaf clients en ook niet de Pi-hole (zonder custom config althans).
Als je meer wilt lezen over het hardenen van je Pi-hole, inclusief OpenVPN, dan kun je dat in mijn online repo nalezen: https://github.com/teusink/Home-Security-by-Pi
Ik heb ook gewoon in mijn VPN configuratie aangegeven dat ik mijn eigen DNS blijf gebruiken, dat is een Pi-Hole + DNSsec.
Maar wees beducht op DNSleaks.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.