Wireguard mit DNS Failover

[wow5432]

Guten Morgen!

ich nutze Wireguard VPN meiner Fritzbox 6660 Cable.
Außerdem habe ich Adguard als DNS Server im Einsatz, welchen ich in meiner Wireguard Client Config als DNS Server mitgebe.
Gibt es eine Möglichkeit, in der WG Config einen primary und secondary dns server zu hinterlegen?

Ich hatte es in der Config mit versucht mit:
DNS = 192.168.108.1, 192.168.108.250
oder
DNS = 192.168.108.250, 192.168.108.1

in beiden Fällen wurde aber bei einem nslookup immer die Rückmeldung vom .250 gegeben.

Ich würde es gerne so realisieren, das alle DNS Anfragen an .250 gestellt werden.
SOLLTE .250 nicht erreichbar sein, dann .1 fragen.

Geht das?

 

[blurrrr]

Hi,

vor der erneuten Abfrage auch den DNS-Cache gelöscht?

DNS-Cache einsehen: ipconfig /displaydns
DNS-Cache löschen: ipconfig /flushdns

Ansonsten könnte man noch im Zuge des Aufbaus der WG-Verbindung die DNS-Server via PowerShell setzen, falls das - warum auch immer - nicht korrekt gesetzt wird:
Set-DNSClientServerAddress –interfaceIndex XY –ServerAddresses (“1.2.3.4.”,”4.3.2.1”) (halt via PostUp in der WG-Config)

Ansonsten gilt halt: https://learn.microsoft.com/en-us/p...n593685(v=ws.11)#dns-client-resolver-behavior

Ganz sauber finde ich das aber nicht grade, was Du da vor hast... Entweder nimmste fix den Adguard (weil nebst der Filterung ggf. noch andere Dinge vorhanden sind), oder halt nicht, dann kannst Du aber direkt öffentliche DNS-Server nutzen (wie es Dein Router/Adguard ja dann irgendwann auch macht). Variante a) einfach nur 1x Adguard als DNS nutzen (ist das Ding weg, hast Du eh Probleme, b) 2x Adguard (falls einer ausfällt), c) 1x Router als DNS, d) direkt auf public DNS-Resolver gehen und jut ist.

Aber mal ganz davon ab... Wenn Du Dir den MS-Artikel mal anschaust, die Reaktionszeiten sind schon ziemlich kurz, was bei schlechter Verbindung/Paketverlust auch durchaus schon mal daneben geben kann. Ich persönlich würde es für wesentlich sinnvoller halten, wenn man einfach nur den Adguard mitgibt und da keine Freiräume lässt. Sollte das Ding - warum auch immer - mal das zeitliche segnen, kannst Du jederzeit in Deiner Wireguard-Config die DNS-Einstellung kurz ändern (sollte in 30 Sekunden erledigt sein).

 

[Stationary]

Ist die Idee, wenn Du unterwegs bist nach Hause über WG verbunden zu sein und dann von adguard zu profitieren?
In dem Fall könntest Du doch in der Fritzbox zwei DNS-Server hinterlegen. Ich habe in unserer Fritzbox unsere zwei pihole/unbound-Adressen als DNS-Server hinterlegt. Wenn die Smartphones außer Haus sind, sind sie über WG mit der Fritzbox verbunden und die teilt denen dann mit, daß das DNS über die Adresse des pihole läuft.

 

[wow5432]

Ist die Idee, wenn Du unterwegs bist nach Hause über WG verbunden zu sein und dann von adguard zu profitieren?
In dem Fall könntest Du doch in der Fritzbox zwei DNS-Server hinterlegen. Ich habe in unserer Fritzbox unsere zwei pihole/unbound-Adressen als DNS-Server hinterlegt. Wenn die Smartphones außer Haus sind, sind sie über WG mit der Fritzbox verbunden und die teilt denen dann mit, daß das DNS über die Adresse des pihole läuft.

genau das hatte ich mir auch gerade überlegt:



Die Fritzbox hat aktuell als DNS Server meinen Adguard DNS hinterlegt und würde im Störfall auf die öffentlichen zurückgreifen (Failover).
Aktuell fragen meine Clients direkt den Adguard DNS Server an und haben kein Failover. Wenn ich meinen Clients sage: Fragt bei der Fritzbox nach (welche wiederrum beim Aguard nachfragt) und im Störfall würden die auch die öffentlichen DNS Server erhalten.
Somit hätte ich doch ein Failover, damit Internet wenigstens funktioniert im Störfall.

Sprich:
Aktuell: Client > Adguard | im Störfall: Ausfall
Idee: Client > Fritzbox > Adguard (im Störfall stellt Fritzbox anfragen automatisch an öffentliche DNS)

Sehe ich das richtig?

 

[the other]

Moinsen,
Wenn avm das sauber implementiert hat und sich an die eigenen Angaben (etwa hier) hält, dann sollte deine Annahme zutreffen.

 

[wow5432]

hmmm scheint irgendwie nicht sauber zu laufen.
Habe gestern mal einen Client als DNS Server die Fritzbox eingetragen.
ein NSLookup ergibt eine Antwort der Fritzbox

im Adguard sehe ich aber weder eine Anfrage des Clients noch von der Fritzbox.
Sieht für mich so aus, als würde die Fritzbox öffentliche DNS Server anfragen

 

[Barungar]

Nur als Anmerkung: Die FritzBox ist ein Caching Resolver... falls in den letzten x MInuten diese Anfrage schonmal gelaufen war, dann macht die FritzBox die nicht noch einmal. Solche Tests also mit DNS-Anfragen machen, die in er letzten Zeit garantiert nicht erfolgt sind.

 

[wow5432]

in den letzten Minuten kann pber die Fritzbox nichts erfolgt sein, weil meine Clients schon seit Monaten nur Adguard nutzen.
Werde es aber gleich noch mal mit einer Seite probieren, die ich noch nie aufgerufen habe

 

[wow5432]

nope funktioniert nicht.
auch die DNS Umschreibungen durch Adguard funktionieren micht mehr - ganz klar: Fritzbox fragt Adguard nicht an.

 

[Barungar]

Hast Du in der FritzBox irgendwelche Fall-back Mechanismen aktiv?

Was sagt die FritzBox denn, welche DNS-Server sie befragt?



Bei mir habe ich z.B. nur die IPv4 und die IPv6 meines DNS-Clusters hinterlegt. Was anderes nutzt die FritzBox nicht.

Diese beiden Optionen könnten dazu führen, dass FritzBox andere als die von Dir eingestellen DNS verwendet.



DNS-Cluster ist dann auch das Stichwort, wie ich Redundanz in mein DNS-System bringe.
Ich habe mir für meine Zwecke ein auf CARP basierendes Cluster aufgebaut. Das hat hat den Vorteil, dass die in meinen Clients definierten DNS-Server IPs erreichbar sind, solange noch ein Cluster-Server läuft. Aktuell hat mein Cluster drei Knoten (.250, .251, .252 und .253 ist die Cluster-IP).