Ik heb pi-hole ingesteld en een pi 3b met unbound. En ik probeer deze tutorial te volgen om DNS-queries naar mijn pi-hole te dwingen, maar zonder succes.
Het werkt zoals bedoeld, of althans zoals door je bedrijf geconfigureerd. In sommige gevallen is dat puur voor beveiligingsredenen, omdat ze willen controleren of ze de controle over DNS hebben, in sommige gevallen is het een combinatie daarvan en om split-horizon DNS mogelijk te maken waarbij een adres binnen het bedrijfsnetwerk anders wordt opgelost dan van buiten het netwerk.
Over het algemeen wordt het gebruik van een DNS-server of service buiten de VPN-tunnel beschouwd als een DNS-lek en vermindert het de privacy en veiligheid van de VPN. De uitzondering is als ze split-tunneling toestaan waarin alleen bepaalde adressen (meestal de bedrijfsdiensten) door de tunnel worden gestuurd, en andere adressen (lokaal en openbaar internet, of niet-bedrijf) buiten de tunnel mogen stromen. In die gevallen zou PiHole nog steeds moeten werken voor niet-bedrijfsmateriaal.
Op basis van wat je beschrijft, vermoed ik dat ze waarschijnlijk geen split-tunneling toestaan.
Dit is de manier waarop je bedrijf de client hebt geconfigureerd en je zult het waarschijnlijk niet kunnen veranderen. Ze willen al het verkeer van die client onafhankelijk maken van andere dingen op je netwerk en onder hun controle. Dit is heel gebruikelijk.
Om dezelfde redenen dat je Pi-hole wilt gebruiken wanneer de VPN van het werk actief is, willen alle bedrijven waarmee je via een VPN verbindt de configuratie van die externe machines controleren. Ik weet dat mijn VPN-instellingen mijn DNS-instellingen overschrijft.
De VPN-client dwingt waarschijnlijk dat DNS-queries via de tunnel gaan, dit is een optie die je kunt instellen in de VPN-configuratie als alle DNS-verkeer via de VPN moet gaan of niet.
Een ander probleem dat ik heb, is dat wanneer ik de drop-regel op de firewall instel, ik zie dat de DNS-queries worden doorgestuurd naar PI-Hole. Maar ze worden niet daadwerkelijk opgelost. Heeft dit te maken met unbound dat recursief is?
Je hoeft alleen maar een DoH/DoT-gateway naar je Pi te zetten om te gebruiken wanneer je op het bedrijfs-VPN bent. Je bedrijfs-VPN kan geen DoH-verkeer naar hun DNS forceren, ze kunnen alleen platte tekst DNS-verkeer forceren. Elke moderne browser en OS heeft de optie om een DoH/DoT DNS-server te gebruiken.
Ik heb ook een UDMP, en ik heb een nginx DoT-gateway ingesteld op mijn Pi voor mijn Pi-hole. Ik heb ook dnsdist ingesteld als DoH- en DoT-gateway om door te sturen naar mijn Pi-hole. Beide opties werken en zouden je probleem met het gebruik van Pi-hole met een bedrijfs-VPN oplossen. Je kunt dnsdist/nginx direct op de pi zetten in plaats van op de router.
Dat klopt 100%. Mijn split-tunneling bij het bedrijf gebruikt de DNS van het bedrijf voor het bedrijfssegment en mijn ISP DNS voor alles anders. In mijn geval Pi-hole
Aan de ene kant is het betere beveiliging en controle, ja, maar aan de andere kant kan het een hogere belasting bij de bedrijfs-DNS-servers veroorzaken.
Ja, maar DNS is meestal vrij licht, vooral als ze lange TTLs gebruiken.
Vaak wordt split-tunneling alleen ingeschakeld als ze zich geen zorgen maken over beveiligingsredenen, geen split-horizon gebruiken en/of als ze zich zorgen maken dat de internetverbinding van het bedrijf wordt verzadigd door mensen die YouTube en Netflix kijken terwijl ze verbonden zijn met VPN.
