OpnSense Como Bloquear Redes Sociales y ADs con Unbound DNS Parte 1.

DNS, Opnsense, ,

Indice

Introduccion

Como sabran en OpnSense de fabrica trae habilitado el servicio de DNS Cache llamado Unbound DNS, como acabo de mencionar, es un cache-dns, lo que significa que registra en su memoria interna o digamos, su base de datos las consultas de los clientes.

De esta manera, si un cliente regresa y vuelve a consultar el mismo destino y OpnSense cuenta en sus registros con esa misma peticion del cliente, se la entrega de manera inmediata, lo cual nos ahorra tiempo, ya que no debe salir hacia Internet a consultar los root servers, el tiene la respuesta a la mano.

Eso si, tomen en cuenta que ese registro no es eterno, tiene un tiempo de vida en la memoria de Unbound DNS, esto ocurre micro segundo por micro segundo, solo imaginense la cantidad de usuarios que estan consultando a el servicio por segundo de manera simultanea?

Y cuando instalamos OpnSense, como lo mencione al inicio, este servicio esta activado, y si tu plan es que sea el DNS de la red que esta protegiendo OpnSense, aqui te voy a explicar que mas bondades tiene este servicio en OpnSense, continuemos…

DNS Recursivo vs DNS Forwarder

Por lo general, tenemos 2 maneras de operar de un DNS, como dice el encabezado:

  • Modo Recursivo
  • Modo Forwarder

Modo Recursivo es como opera de fabrica el Unbound DNS y lo que hace realmente cuando recibe la peticion de un cliente es, revisa su cache y si no tiene la respuesta, se comunica con los root-servers que son los DNS principales de toda la Internet hasta dar con la respuesta sobre su consulta, el esta directo trabajando de manera recursiva, hasta obtener la respuesta, si la hay.

1; Operacion de un DNS Recursivo
2; Operacion de un DNS Forwarder

El forwarder como pueden observar, el no sale hacia Internet a consultar los root-servers hasta dar con la respuesta, el se la envia a los DNS que registramos en la seccion general OpnSense y espera la respuesta, es la gran diferencia.

3; DNS Seccion General de OpnSense

Muy importante mencionar, algunos proveedores de Internet no aceptan DNS Recursivos, por razones tecnicas, si observan las 2 imagenes, el recursivo genera mas trafico que el forwarder y por lo regular ISP pequeños carecen de los recursos para soportar esa carga en su red y por ello los bloquean

Limitantes de Algunos ISP

Cuando lleven a cabo sus pruebas iniciales y noten que no hay respuesta a sus consultas, no se asusten, repito, algunos ISP bloquean los DNS Recursivos, si analizan las 2 imagenes anteriores, este modo genera mas trafico en la red por la cantidad de consultas que lleva a cabo para dar con la respuesta, el forwarder le deja esa labor a otros DNS por lo tanto es menor trafico el que genera.

Rapido se daran cuenta, y a veces pequeños ISP tienen esa caracteristica, los grandes es raro limiten esto. Hay manera de cambiarlo a modo forwarder.

Root Servers El Backbone de Internet

Para navegar hacia Internet, el 1er servicio que contactan los clientes es el DNS. Existen 13 servidores desde los inicios del Internet, y pueden indagar mas a profundidad en Internet y a la IA sobre estos servidores que hacen que podamos navegar de una manera muy sencilla.

Root Servers
4; El Backbone de Internet

Estos los pueden localizar en la pagina oficial que es: https://www.iana.org/

Claro esta, si buscan mas a profundidad van a encontrarse con una lista mas grande, ya que muchas empresas hacen copias de esos servidores raiz y estan distribuidos por todo el mundo, de esta manera siempre habra un DNS cercano que nos responda nuestras consultas.

DNS Generales de OpnSense

Cuando configuramos OpnSense, hay una fase donde nos solicita los DNS que deseamos usar para el propio sistema, la imagen3 arriba los mostre arriba, yo eleji estos 2:

  • 8.8.8.8
  • 1.1.1.1

No hay una regla para esto, pueden elegir con los que se sientan mas comodos y les brinden mejor tiempo de respuesta, al final si alguno falla los pueden cambiar facil y rapido. Tambien si su ISP les brinda sus propios DNS, es valido.

De todo esto que he hablado, son los pasos que sigo cuando configuro OpnSense, si te interesa el video sobre como instalar OpnSense en un equipo fisico, te dejo el link en mi canal de YouTube.

Configuracion Inicial

Al instalar OpnSense, de fabrica se habilitan varios servicios, pero hay 2 muy basicos:

  • ISC DHCP Server
  • Unbound DNS Server

De inicio ambos esta operando, tu conectas un cliente a tu LAN, vas a recibir IP y tu cliente podra navegar sin problemas, esto lo puedes comprobar a la brevedad, ya esta hecho a prueba de balas y seria algo ajeno a OpnSense que no puedan navegar tu equipo, te lo puedo asegurar con 95% de certeza, ese 5% que a veces me ha tocado lidiar, es cuando es necesario reiniciar el servicio de Unbound DNS, nada es perfecto, pero soy honesto y no es nada que no se resuelva con unos clicks.

El servicio de Unbound DNS lo encontramos en: Services -> Unbound DNS.

DNS Menu
5; Unbound DNS Menu

Los parametros de generales de fabrica.

6; Seccion General del Servicio.

Repito, asi como esta de fabrica, ya funciona, no hay necesidad de hacerle ningun cambio.

Pruebas Iniciales

Lo primero que debemos hacer es validar que los DNS funcionen, si quiero aclarar que aun no logro entender la logica del modulo de pruebas de OpnSense, no me gusta compararlo con Pfsense, por que cada uno tiene su manera de ver un firewall.

Las pruebas se llevan a cabo en la seccion: Interfaces -> Diagnostics -> DNS Lookup.

7; Modulo DNS Lookup de OpnSense

Para llevar a cabo la validacion del DNS es sencillo, en la pantalla anterior ingresas un dominio destino de Internet y presionas el boton “Apply“, y vas a obtener el resultado de consulta.

8; Resultado de Consulta a el DNS

Observa la imagen anterior, ingresamos ‘facebook.com‘, presionamos Apply y obtenemos la respuesta en la parte baja. Aqui te recomiendo presiones varias veces, ya que algunas veces el modulo usa todos los dns registrados en la seccion general, otras veces solo a OpnSense(127.0.0.1) y otras solo usa 1 de los dns o solo a el mismo OpnSense, la finalidad es que todos nuestros dns logren resolver la consulta, si uno no lo hace y no obtiene resultado, a cambiarlo, ya que un DNS en mal funcionamiento puede afectar el desempeño de la red.

Ahora intentemos indicarle que solo OpnSense resuelva:

9; Consulta Directa a OpnSense

La primer consulta te dara un valor en “Query Time“, otras veces te dara 0 como lo muestra la figura anterior, eso indica que su cache entro a trabajar, ¿Porque?, tardo 0 segundos en responder 🙂

Pruebas de DNS en Clientes

Ahora vamos dentro de la LAN y hagamos las pruebas con uno de los clientes, que ya tomo IP de OpnSense, usando cmd de Windows y con el comando nslookup, es todo lo que necesitamos.

10; Resultados de Nslookup en Cliente

Con esta simple prueba podemos validar que Unbound DNS esta operando, si observamos la imagen anterior, el cliente se conecto a OpnSense que esta red es el IP 192.168.9.1 y tiene como nombre fwhome.bos.local.

Le hemos consultado 2 dominios, opnsense.org y freebsd.org, y hemos obtenido la respuesta, pueden consultar mas si gustan de su lado.

Entonces con esto puedo decir que el cliente, debe poder nevegar, ya que es una instalacion de fabrica y las reglas en la LAN lo permiten, veamos.

Cliente Navegando

Podemos ver que el cliente esta navegando, como les he comentado, con el solo echo de analizar las respuestas del DNS podemos decir que 50% ya estamos a un paso de poder navegar, con OpnSense recien instalado el otro 50% :-).

Unbound DNS y ISC DHCP Server Mancuerna

Estos 2 servicios puede trabajar en equipo, de fabrica no lo hacen, ahora hay una opcion que siempre recomiendo, si es que ambos seran tanto el DNS como el DHCP de la red interna.

Asi como el DNS nos ayuda para poder navegar en Internet, de igual manera podemos usarlo para que tambien nos ayude a resolver las consultas de nuestros equipos internos, ¿Se han de preguntar algunos, a que te refieres?

Veamos la siguiente imagen:

11; Diagrama de la Red

Ahora, vamos a consultar a el DNS los nombres de esos 2 equipos que estan en la LAN, BOS-CLIENTE1 y 2 respectivamente. Veamos las respuestas, solo ocupamos 1 equipo para la peticion:

12; Consulta de los equipos en la LAN

Pueden observar que no brindo los IPs de esos 2 equipos, ¿Por que?

Por sencillamente, de fabrica no estan conectados, pero esto es muy sencillo de llevar a cabo.

Habilitando Ubound DNS Para Resolver Consultas Locales

Es solo cosa de habilitar 2 opciones en el Unbound DNS, no requerimos hacer ningun cambio en el ISC DHCP, aqui les muestro donde:

13; Habilitamos Registros del DHCP en DNS

De fabrica esos checkbox no estan habiltados, ahi le estamos indicando que tanto los IPs dinamicos como estaticos registrados en el ISC DHCP los registre en el Unbound DNS. Al final aplican los cambios, esperan los lleve a cabo y repetimos las consultas.

Como sugerencia, en el cliente, en este caso Windows limpien el cache del DNS, de igual manera en otros OS como Unix, Linux y el resto, todos tienen manera.

Ejecutan este comando en el cliente:

ipconfig /flushdns
14; Comando para Limpiar Cache

Ahora, volvemos a consultar en cliente1 y veamos la respuesta.

15; DNS Resolviendo Consultas Locales

Si es algo que requieren en su red, aqui ya vieron como Unbound DNS tambien puede usarse a nivel local.

Resumen

Esta es la primera parte de este articulo, de como configurar Unbound DNS en OpnSense, y como podemos obtener un poco mas del servicio para beneficio de la red. En la segunda parte vamos abordar otras opciones muy interesantes de este servicio.

Nos vemos pronto.

Post Views: 19

Leave Comment

Your email address will not be published. Required fields are marked *