[gelöst] systemd-resolved wird von einigen Anwendungen nicht für DNS genutzt.

[debmatrix]

Ich habe im systemd-resolved DNS-over-TLS (DoT) festgelegt.

Meine Nftables-Firewall funktioniert nach dem Whitelisting-Prinzip, d.h. es wird einiges erlaubt und abschließend alles Übrige geloggt und zurückgewiesen.
Damit DNS funktioniert, habe ich die User-ID systemd-resolve freigegeben.

Nun ist es so, dass das Logging von der Firewall bei einigen Anwendungen, wie z.B. yt-dlp, meldet, dass die DNS-Auflösung mit der User-ID "user" blockiert wurde.

Ich verstehe nicht wieso bei mancher Software solche DNS-Leaks entstehen. Habe ich nun etwas falsch konfiguriert oder ist es normal dass einige Software DNS-Leaks nach ihren eigenen willen und ohne DoT erledigt?

[mat6937]

Ich verstehe nicht wieso bei mancher Software solche DNS-Leaks entstehen.

Das kann nur dann der Fall sein, wenn die Software z. B. hardcodierte (oder gleichwertig) DNS-Server benutzt, statt deine DNS-Konfiguration auf dem System. Kannst ja mal loggen, welche DNS-Server und auf welchem dst-Port, yt-dlp anfragen will.

[debmatrix]

Im Log erscheinen immer die gleichen DNS-Server und Ports wie beim systemd-resolved konfiguriert wurde, jedoch nicht mit der Benutzer-ID systemd-resolve, sondern fälschlicherweise mit der Benutzer-ID "user".
Also entweder liest einige Software die Datei /etc/resolv.conf aus anstatt auf systemd-resolved zurückzugreifen, oder ich habe systemd-resolved falsch konfiguriert obwohl ich den Tutorials gefolgt bin.

Hier ist wie ich den Tutorials gefolgt bin:

Zuerst habe ich die Datei "/etc/systemd/resolved.conf" editiert:

Code: Alles auswählen

DNSOverTLS=yes
DNS=5.1.66.255#dot.ffmuc.net 185.150.99.255#dot.ffmuc.net 2001:678:e68:f000::#dot.ffmuc.net 2001:678:ed0:f000::#dot.ffmuc.net
FallbackDNS=
DNSSEC=yes

Danach habe ich folgendes getan:

Code: Alles auswählen

sudo systemctl restart systemd-resolved
sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf

[mat6937]

Also entweder liest einige Software die Datei /etc/resolved.conf aus ...

Meinst Du die /etc/resolv.conf? ... denn die /etc/resolved.conf gibt es ja nicht.

In der /etc/resolv.conf ist ja die IP 127.0.0.53 (für systemd-resolved) eingetragen.

[debmatrix]

Ja sorry; ich meinte die /etc/resolv.conf Datei. Aber laut Tutorials sollte ich um systemd-resolved zu konfigurieren den "ln" befehl ausführen um zu der Datei /run/systemd/resolve/resolv.conf zu linken.

Inhalt von der Datei /run/systemd/resolve/resolv.conf und somit quasi aufgrund des Link auch von der Datei /etc/resolv.conf:

Code: Alles auswählen

nameserver 5.1.66.255
nameserver 185.150.99.255
nameserver 2001:678:e68:f000::
# Too many DNS servers configured, the following entries may be ignored.
nameserver 2001:678:ed0:f000::
search .

[JTH]

Ja sorry; ich meinte die /etc/resolv.conf Datei. Aber laut Tutorials sollte ich um systemd-resolved zu konfigurieren den "ln" befehl ausführen um zu der Datei /run/systemd/resolve/resolv.conf zu linken.

Es gibt mehrere Dateien in /run/systemd/resolve/, auf die man linken kann. Du hast die gewählt, mit der Anwendungen weiterhin direkt mit den Nameservern kommunizieren; nicht die, bei der die Anfragen über den lokalen DNS-Server in Form von systemd-resolved gehen. In die /run/systemd/resolve/resolv.conf trägt systemd-resolved zwar die konfigurierten DNS-Server ein, agiert anschließend aber nicht selbst als lokaler DNS-Server.

Was du eigentlich haben möchtest, ist wohl der Symlink der /etc/resolv.conf auf /run/systemd/resolve/stub-resolv.conf.

Siehe man systemd-resolved für mehr Erklärung.

[debmatrix]

Ups, vielen Dank. Das war die Lösung.