Ich habe festgestellt, dass Chrome die URL nicht richtig auflösen kann, wenn ich versuche, auf einen webbasierten Dienst innerhalb meines Heimnetzwerks zuzugreifen. Ein Beispiel wäre, wenn ich versuche, meinen Plex-Server über seinen FQDN zu erreichen: plex.mydomain.com. Dies ist nur der Fall, wenn die Einstellung „Secure DNS“ aktiviert ist. Es scheint, als würden meine Webanforderungen an einen DNS-Server außerhalb meines Netzwerks weitergeleitet. Anstatt mich zum Web-Frontend meines Plex-Servers zu leiten, werde ich tatsächlich auf eine Seite auf meinem pfsense-Router umgeleitet, die mich mit einem Fehler vor einem möglichen DNS-Rebinding-Angriff warnt.
Ich betreibe meinen eigenen internen DNS-Server. Es ist ein einfacher Windows 2012r2-Server. Alles in meinem internen Netzwerk ist auf diesen Server gerichtet, der so konfiguriert ist, dass er Anfragen für Datensätze, die er nicht kennt, an den DNS-Server von Google weiterleitet.
Mir gefällt die Idee, Secure DNS (oder DNS über HTTPS) zu verwenden. Aber aus dem oben genannten Grund kann ich es anscheinend nicht verwenden. Ich frage mich jedoch, ob das Problem behoben werden könnte, wenn ich meinen internen DNS-Server so konfiguriere, dass er DNSSEC unterstützt. Ich denke, ich müsste auch meine Chrome-Einstellungen anpassen, um meinen internen DNS-Server für den Secure DNS-Dienst zu verwenden. Klingt das alles richtig?
Hat jemand sonst noch dieses Problem beobachtet?
Antwort1
Damit dies funktioniert, müssen Sie die DNS-over-HTTPS-Unterstützung auf Ihrem DNS-Server aktivieren. Wenn Ihr lokaler DNS-Server DoH nicht unterstützt, aktualisiert Chrome die Anfrage automatisch, umgeht Ihre lokalen DNS-Einstellungen und verwendet die bevorzugten DoH-Server von Google. Leider bietet Microsoft DNS dies derzeit nicht an.
Angenommen, Sie haben ein öffentliches DNS für plex.mydomain.com eingerichtet, testet Chrome, ob Ihr Windows-DNS-Server DoH unterstützt. Chrome erkennt, dass dies nicht der Fall ist, und sendet die Anfrage mit DoH an 8.8.8.8, wodurch Ihre öffentliche IP-Adresse aufgelöst wird. Ihr Client versucht dann, eine Verbindung zu Ihrer öffentlichen IP-Adresse herzustellen, anstatt zur internen, und pfsense blockiert, was als Rebinding-Angriff angesehen werden könnte. Wenn Sie einen Desktop-PC und keinen Laptop verwenden, der manchmal eine externe Verbindung herstellen muss, können Sie dies möglicherweise umgehen, indem Sie die lokale IP-Adresse Ihres Plex-Servers in Ihre Hosts-Datei einfügen. Im Allgemeinen gelangen Einträge in der Hosts-Datei nie zum DNS auf Betriebssystemebene. Da Chrome jedoch bereits seinen eigenen DNS-Resolver verwendet, haben Sie damit möglicherweise Pech.
Weitere Informationen zur Funktionsweise von DoH in Chrome: https://www.chromium.org/developers/dns-over-https
Insbesondere von dieser Seite:
- Chrome verfügt über eine Tabelle, um Nicht-DoH-DNS-Server den entsprechenden DoH-DNS-Servern zuzuordnen.
- Laut dieser Tabelle wird Chrome auf die DoH-Version des Resolvers aktualisiert, wenn bekannt ist, dass der rekursive Resolver des Systems DoH unterstützt. Mit anderen Worten: Dadurch wird das für die DNS-Auflösung verwendete Protokoll aktualisiert, während der DNS-Anbieter des Benutzers unverändert bleibt. Es ist auch wichtig zu beachten, dass DNS über HTTPS seinen Betreiber nicht daran hindert, Funktionen wie familienfreundliche Filter anzubieten.
- Auf einigen PlattformenDies kann bedeuten, dass Chrome, wo zuvor die DNS-Auflösungs-APIs des Betriebssystems verwendet wurden, nun seine eigene DNS-Implementierung verwendet, um DoH zu implementieren..
- Eine Gruppenrichtlinie wird verfügbar sein, sodass Administratoren die Funktion bei Bedarf deaktivieren können.
- Endbenutzer können die Funktion über die Einstellungsseite steuern (z. B. deaktivieren, automatisch aktualisieren, einen bestimmten Anbieter auswählen oder angeben).