[gelöst] systemd-resolved wird von einigen Anwendungen nicht für DNS genutzt.

Du hast Probleme mit Deinem eMail-Programm, Webbrowser oder Textprogramm? Dein Lieblingsprogramm streikt?
Antworten
debmatrix
Beiträge: 88
Registriert: 12.06.2023 07:48:06

[gelöst] systemd-resolved wird von einigen Anwendungen nicht für DNS genutzt.

Beitrag von debmatrix » 12.11.2024 19:09:25

Ich habe im systemd-resolved DNS-over-TLS (DoT) festgelegt.

Meine Nftables-Firewall funktioniert nach dem Whitelisting-Prinzip, d.h. es wird einiges erlaubt und abschließend alles Übrige geloggt und zurückgewiesen.
Damit DNS funktioniert, habe ich die User-ID systemd-resolve freigegeben.

Nun ist es so, dass das Logging von der Firewall bei einigen Anwendungen, wie z.B. yt-dlp, meldet, dass die DNS-Auflösung mit der User-ID "user" blockiert wurde.

Ich verstehe nicht wieso bei mancher Software solche DNS-Leaks entstehen. Habe ich nun etwas falsch konfiguriert oder ist es normal dass einige Software DNS-Leaks nach ihren eigenen willen und ohne DoT erledigt?
Zuletzt geändert von debmatrix am 12.11.2024 21:22:23, insgesamt 1-mal geändert.

mat6937
Beiträge: 3372
Registriert: 09.12.2014 10:44:00

Re: systemd-resolved wird von einigen Anwendungen nicht für DNS genutzt.

Beitrag von mat6937 » 12.11.2024 19:45:41

debmatrix hat geschrieben: ↑ zum Beitrag ↑
12.11.2024 19:09:25
Ich verstehe nicht wieso bei mancher Software solche DNS-Leaks entstehen.
Das kann nur dann der Fall sein, wenn die Software z. B. hardcodierte (oder gleichwertig) DNS-Server benutzt, statt deine DNS-Konfiguration auf dem System. Kannst ja mal loggen, welche DNS-Server und auf welchem dst-Port, yt-dlp anfragen will.
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce

debmatrix
Beiträge: 88
Registriert: 12.06.2023 07:48:06

Re: systemd-resolved wird von einigen Anwendungen nicht für DNS genutzt.

Beitrag von debmatrix » 12.11.2024 20:02:36

Im Log erscheinen immer die gleichen DNS-Server und Ports wie beim systemd-resolved konfiguriert wurde, jedoch nicht mit der Benutzer-ID systemd-resolve, sondern fälschlicherweise mit der Benutzer-ID "user".
Also entweder liest einige Software die Datei /etc/resolv.conf aus anstatt auf systemd-resolved zurückzugreifen, oder ich habe systemd-resolved falsch konfiguriert obwohl ich den Tutorials gefolgt bin.

Hier ist wie ich den Tutorials gefolgt bin:

Zuerst habe ich die Datei "/etc/systemd/resolved.conf" editiert:

Code: Alles auswählen

DNSOverTLS=yes
DNS=5.1.66.255#dot.ffmuc.net 185.150.99.255#dot.ffmuc.net 2001:678:e68:f000::#dot.ffmuc.net 2001:678:ed0:f000::#dot.ffmuc.net
FallbackDNS=
DNSSEC=yes
Danach habe ich folgendes getan:

Code: Alles auswählen

sudo systemctl restart systemd-resolved
sudo ln -sf /run/systemd/resolve/resolv.conf /etc/resolv.conf
Zuletzt geändert von debmatrix am 12.11.2024 21:05:52, insgesamt 1-mal geändert.

mat6937
Beiträge: 3372
Registriert: 09.12.2014 10:44:00

Re: systemd-resolved wird von einigen Anwendungen nicht für DNS genutzt.

Beitrag von mat6937 » 12.11.2024 20:38:47

debmatrix hat geschrieben: ↑ zum Beitrag ↑
12.11.2024 20:02:36
Also entweder liest einige Software die Datei /etc/resolved.conf aus ...
Meinst Du die /etc/resolv.conf? ... denn die /etc/resolved.conf gibt es ja nicht.

In der /etc/resolv.conf ist ja die IP 127.0.0.53 (für systemd-resolved) eingetragen.
Debian 12.8 mit LXDE, OpenBSD 7.6 mit i3wm, FreeBSD 14.1 mit Xfce

debmatrix
Beiträge: 88
Registriert: 12.06.2023 07:48:06

Re: systemd-resolved wird von einigen Anwendungen nicht für DNS genutzt.

Beitrag von debmatrix » 12.11.2024 21:10:43

Ja sorry; ich meinte die /etc/resolv.conf Datei. Aber laut Tutorials sollte ich um systemd-resolved zu konfigurieren den "ln" befehl ausführen um zu der Datei /run/systemd/resolve/resolv.conf zu linken.

Inhalt von der Datei /run/systemd/resolve/resolv.conf und somit quasi aufgrund des Link auch von der Datei /etc/resolv.conf:

Code: Alles auswählen

nameserver 5.1.66.255
nameserver 185.150.99.255
nameserver 2001:678:e68:f000::
# Too many DNS servers configured, the following entries may be ignored.
nameserver 2001:678:ed0:f000::
search .

JTH
Moderator
Beiträge: 3077
Registriert: 13.08.2008 17:01:41
Wohnort: Berlin

Re: systemd-resolved wird von einigen Anwendungen nicht für DNS genutzt.

Beitrag von JTH » 12.11.2024 21:17:38

debmatrix hat geschrieben: ↑ zum Beitrag ↑
12.11.2024 21:10:43
Ja sorry; ich meinte die /etc/resolv.conf Datei. Aber laut Tutorials sollte ich um systemd-resolved zu konfigurieren den "ln" befehl ausführen um zu der Datei /run/systemd/resolve/resolv.conf zu linken.
Es gibt mehrere Dateien in /run/systemd/resolve/, auf die man linken kann. Du hast die gewählt, mit der Anwendungen weiterhin direkt mit den Nameservern kommunizieren; nicht die, bei der die Anfragen über den lokalen DNS-Server in Form von systemd-resolved gehen. In die /run/systemd/resolve/resolv.conf trägt systemd-resolved zwar die konfigurierten DNS-Server ein, agiert anschließend aber nicht selbst als lokaler DNS-Server.

Was du eigentlich haben möchtest, ist wohl der Symlink der /etc/resolv.conf auf /run/systemd/resolve/stub-resolv.conf.

Siehe man systemd-resolved für mehr Erklärung.
Manchmal bekannt als Just (another) Terminal Hacker.

debmatrix
Beiträge: 88
Registriert: 12.06.2023 07:48:06

Re: systemd-resolved wird von einigen Anwendungen nicht für DNS genutzt.

Beitrag von debmatrix » 12.11.2024 21:22:04

Ups, vielen Dank. Das war die Lösung.

Antworten