Support Fritzbox -> Adguard mit DNS over TLS

[codac]

Hallo zusammen,

ich habe eine Fritzbox 6660 und im eigenen Netzwerk Adguard-Home als Docker auf einer Synology laufen.
Die Fritzbox leitet DNS Anfragen auf die Synology -> Adguard-Home weiter, Adguard-Home löst über Quad9 auf.

Ich würde gerne über diese Kette hinweg DNS over TLS aktivieren, tue mich aber mit dem Setup schwer bzw. bräuchte Euer Schwarmwissen.

In der Fritzbox habe ich unter den DNS Einstellungen für IPv4 und IPv6 die Adressen der Synology hinterlegt.
Als nächstes habe ich in der Fritzbox unter Internet -> Zugangsdaten -> DNS Server -> DNS over TLS aktiviert.
Verschlüsselte Namensauflösung im Internet (DNS over TLS) -> Aktiviert
Zertifikatsprüfung für verschlüsselte Namensauflösung im Internet erzwingen -> Aktiviert
Fallback auf unverschlüsselte Namensauflösung im Internet zulassen -> Aktiviert

Meine Synology hat ein eigenes, selbstsigniertes Zertifikat mit einem Hostname.
Daher habe ich in der Fritzbox -> Zugangsdaten -> DNS Server -> DNS over TLS -> Auflösungsnamen der DNS-Server folgendes hinterlegt:
hostname.local
... mit dem Ziel, dass eine verschlüsselte Verbindung zwischen Fritzbox und Adguard zur DNS Abfrage aufgebaut wird (ist lokal und daher vermutlich unnötig, aber ist erstmal egal).

Nun möchte ich DNS-over-TLS in Adguard-Home aktivieren.
Unter Einstellungen -> Verschlüsselungseinstellungen habe ich Verschlüsselung aktivieren, aktiviert.
Als Servername habe ich den Hostnamen (ohne .local) hinterlegt.
Als nächstes habe ich noch die Umleitung auf HTTPs aktiviert und die Ports auf Standard gelassen.
Unter Zertifikate habe ich zuerst den Inhalt aus der cert.pem des selbstausgestellten Zertifikats der Synology für den lokalen Hostnamen eingetragen.
Hier erscheint die Fehlermeldung: "Zertifikatskette ist ungültig"
Darunter habe ich als privaten Schlüssel den Inhalt der Datei privkey.pem hinterlegt.

Meine Frage ist nun:
1. Ist diese gesamte Kette mit Auflösung von DNS über Fritzbox -> Adguard -> Quad9 richtig aufgesetzt?
2. Wie behebe ich den Zertifikatsfehler "Zertifikatskette ist ungültig"
3. wie prüfe ich ob Adguard tatsächlich DNS ofer TLS korrekt ausführt?

 

[tem_invictus]

Habe mich mit Adguard und DoT/DoH noch nicht wirklich beschäftigt. Aber für mich sind ein paar Sachen nicht logisch an deinem Setup.

Als erstes fällt mir auf, dass du die Sache mit einem selbstausgestelltem Zertifikat probierst, dass wird (sollte) nicht funktionieren. Was du ja auch schon festgestellt hast.
Du brauchst einen Domain Name mit einem offiziellen Zertifikat, wie z.B. von Lets Encrypt.

Dann halte ich es für recht unlogisch, DoT in der Fritz!Box zu aktivieren. Da du alle DNS Anfragen an Adguard (Synology IP) weiterleitest, hat die Fritz!Box damit nichts mehr zu tun.
Die Verschlüsselung zwischen Fritz!Box und Adguard halte ich für völlig überflüssig, da die Kommunikation dort nicht mehr stattfindet. Die Fritz!Box teilt den Geräten im Netzwerk ja nur noch die DNS Adressen mit, damit diese sich dann direkt an den DNS Server wenden.
Also macht eine Verschlüsselung zwischen Endgerät und Adguard Sinn, dazu gibt es Anleitungen im

Sie müssen registriert sein, um Links zu sehen.

.

 

[codac]

Hi @tem_invictus,

da hast Du absolut Recht. Daher habe ich DoT in der Fritzbox jetzt wieder deaktiviert.
Heißt, bei den Sicherheitseinstellungen von AdGuard würde ich die DoT Server von Quad9 hinterlegen dns.quad9.net.
Bleibt die Frage nach den SSL Zertifikaten, welche muss ich da hinterlegen?

 

[tem_invictus]

Man muss noch mal trennen, keine Ahnung wie man das richtig formuliert.

Man kann einmal zwischen Adguard und DNSever (z.B. Quad9) DoT aktivieren, dann braucht man selber keine Zertifikate einstellen. Weil Quad9 gültige Zertifikate besitzt, die Adguard überprüfen kann. Somit ist die Übertragung von Adguard zu Quad9 verschlüsselt. Was schon mal gut ist, weil den Internetanbieter jetzt nicht mehr (naja, gibt immer noch Möglichkeiten) deine DNS Anfragen sehen kann. In deinem Internen Netzwerk sind diese noch unverschlüsselt und können gesehen werden.

Jetzt gibt es die zweite Möglichkeit, den Weg der Verschlüsselung noch zu erweitern auf das Endgerät. (Laptop, Smartphone, etc.)
Dann wäre der komplette Weg zwischen dem Endgerät und DNS Server (Quad9) verschlüsselt. Was in einem Internen Netzwerk keinen Sinn ergibt. Ist nur unnötiger Aufwand.
Einsatzzweck dafür wäre, wenn man auch unterwegs einen sicheren DNS Zugang haben möchte (Mobiles Netz, Wifi Hotspots, etc.). Die ganze Nummer ist in dem Link in meinem ersten Post erklärt.

 

[codac]

Super, Danke für die Erläuterung. die Verschlüsselung im internen Netzwerk ist bei mir unnötig, ebenso wie die Verschlüsselung auf den Endgeräten.
Insofern habe ich in den Verschlüsselungseinstellungen die Verschlüsselung (da auch für DoT) aktiviert und als Server dns.quad9.net angegeben.
Die Zertifikate unten habe ich einfach leer gelassen.
Darüber hinaus habe ich bei den DNS Einstellungen als Upstream folgendes hinterlegt:

Sie müssen registriert sein, um Links zu sehen.

tls://dns.quad9.net
... und als Bootstrap:
9.9.9.9
149.112.112.112
2620:fe::fe
2620:fe::9

Hast Du evtl. auch Erfahrung bzg. aktiviertem ECS bei Quad9?
In meinem Konstrukt hilfreich bzw. soll hierdurch evtl. das optimale Routing leiden und damit vermutlich auch die Internetverbindung, steht das im Verhältnis?

Sie müssen registriert sein, um Links zu sehen.

 

[tem_invictus]

Jetzt habe ich mir selber mal Adguard auf der VM installiert.
So wie ich das sehe, solltest du die Verschlüsselungseinstellungen gar nicht aktivieren. Diese Einstellungen sind nur für den zweiten Fall den ich geschildert habe. (Verschlüsselung ab Endgerät).


Bei den Upstream Servern kannst du alles nehmen, was von Adguard in deren Link vorgeschlagen wird. Ich persönlich würde nicht zwischen DoT und DoH mischen.
Heißt ich würde z.B. sowas eintragen.

https://dns.quad9.net/dns-query
https://dns.cloudflare.com/dns-query

Die Bootstrap Server sind relativ egal. Diese sind nur dafür da, die Adresse der Upstream Server zu finden.
Ansonsten werden die für nichts benutzt.

Achso und Server mit ESC Support würde ich nicht nehmen. Da wird quasi deine IP Adresse (oder nur ein Teil, weiß ich gerade nicht) mitgeschickt zu den DNS Abfragen.
In der Theorie kann das Vorteile bringen, hab aber noch nie mitbekommen, dass es wirklich so ist.