How to force OpenDNS use only

In the DNS settings, put OpenDNS's resolvers, and ALLOW your internal clients to use the dns 'proxy'.

In the DHCP server, make sure Astaro is the DNS server for the internal clients.

In your Firewall Rules, block outgoing DNS from the internal networks.

Barry

In the DNS settings, put OpenDNS's resolvers, and ALLOW your internal clients to use the dns 'proxy'.

In the DHCP server, make sure Astaro is the DNS server for the internal clients.

In your Firewall Rules, block outgoing DNS from the internal networks.

Barry

Barry,

Thanks for the reply. (Where is SoCal?) 

1) In the DNS settings, I already had DNS -> Global -> Allow Networks -> Lan Interface (Networks).  In "forwarders" I added the two OpenDNS entries. That was it.

2) In the DHCP settngs, I already had the DHCP settings defined, enabled and working.

3) IN the "Packet Filter" rules, I have a question.  If I define ["LAN Interface (network) -> DENY -> DNS -> ANY], it blocks all http activity; however if I define the rule as: [WAN Interface ADDRESS -> DENY -> DNS -> ANY], browsing works fine.

Is that what you meant with, "block outgoing DNS from the internal networks?"

Thanks,
Alex

hi there.

In order to do what your requiring, you do indeed need the definition Internal (Network) or whatever you use to represent all your internal IP's in allowed box for the DNS proxy.
From there, make sure you UNCHECK the box for using your providers DNS forwarders, and add the open dns ones to the list.

Lastly, your packet filter rule should not include any interface address itself, but rather the network of users, (preventing them from making any DNS calls to the internet/servers other than the DNS proxy).

Source: Internal (Network)
Destination: Any
Service: DNS
Action: Drop

From there, make sure this rule is high enough up on the table so that it is not overrriden by any other rule you might have like Internal(Network) to any, on service any = allow.

This should accomplish your goal.

Angelo,

Thanks for the reply, but it does not work.  When ASG allows OpenDNS resolution, it also allows a user to change the TCP/IP properties to choose specific DNS Ip addresses, this overrides the ASG and the browser resolution the DNS query just fine.  

I used Wireshark to verify all DNS traffic, source and destination, whether allowed or denied by the ASG configuration & packet filter rules.  In addition, I used "ipconfig /all - /release -r /renew" to verify that the changes to the TCP/IP properties were truly in effect. 

But, before I go further I am going to describe how this ASG110 is currently configured, because that may explain the results...

Under "Network -> DNS -> Global -> Allowed Networks" only the Internal Interface (Network) is present.  Under " -> Forwarders" both OpenDNS DNS are included, using the following format: [name: OpenDNS1; Type: Host; Address: 208.67.222.222; Interface: Any] The only difference between the two is the IP address.  The "Use forwarders assigned by ISP" is NOT checked.  Under Request Routing; Static Entries & DynDNS are all BLANK.

Under "Network -> DHCP -> Servers" only one entry has been added: [LAN Interface[Range 192.168.55.80 thru 192.168.55.90] DNS #1 208.67.222.222; DNS #2 208.67.220.220; Default Gateway 192.168.55.90; WINS 0.0.0.0].  The "Relay" tab & "Static MAC/IP Mappings" tab are both blank.

Under "Network Security -> Packet Filter -> Rules" the first listing is: [LAN interface (Network) - DNS - Any - DENY]

With this configuration no DNS request is resolved, therefore no browser requests work, with the workstation configured to accept DHCP DNS enteries or by manually entered the DNS IP addresses in the TCP/IP properties.

Next, I tried the identical configuration, except I created a packet filter rule , (added at top): [WAN Interface (Address) - DNS - Any - DENY] that allowed everything through, opendns (via DHCP) & manually reconfigured IP Addresses, (Cox's DNS IP addresses).

Next, I tried to create a third rule (again at the top & turned ON - LOL): WAN Interface (Network) - DNS - LAN Interface (Network) - DENY]

None of these configurations accomplished the objective to allow only the OpenDNS - specified in the DNS resolvers, while denying all other DNS Ip addresses from functioning.

I hope that I have mis-configured this box somewhere along the line.  If not, there is a problem.

Why it this important?  It has been verified that a very popular software firewall is using DNS to phone home with user information, without any indication unless the traffic is being sniffed and closely examind.  Using this hacking technique it bypasses all security restrictions and is a major security issue, because nearly everyone overlooks DNS traffic, it is under the radar.  Reported by Leo Laport & Steve Gibson's "Security Now" episode #173, (listened to live).  Now that this is known publicly it is only a matter of time before the 'bad guys" use this technique to bypass routers, firewalls and most everything else.  


Alex

Alex,

What you want to do is in the dhcp settings for the dns servers is to input the astaro's LAN IP. Then you should be able to browse with the DNS drop packet filter rule enabled as Angelo and Barry had suggested. With this configuration workstations will only be able to get dns via the astaro's dns proxy, which will be using the opendns servers. All other dns requests will be dropped by the packet filter rule. 

Also, be aware that the order of the packet filter rules does matter, so make sure the drop rule is above any rules that may allow dns access.

Alex, I don't think your DHCP setup is correct... as dilandau mentioned, the DNS resolver in DHCP should be your internal Astaro address (192.168.55.90?)

Also, 192.168.55.90 should not be in the DHCP address range if it is the firewall's IP, as a client could try to get that IP, which would conflict.

As far as SoCal... I work in north OC and live in Rancho Cucamonga.

Barry

abf3,

The other folks comments here are correct. If you make a packet filter rule which dissallows outgoing DNS calls (as you wanting to, and which will work), then you cannot hand out public DNS ip information via the DHCP server to your clients, since then they will attempt such communications and hit the packet filter rule.

For the setup your looking for to work, you do indeed need to publish the Internal Network (ADDRESS) as the only DNS server to your clients. This will cause them to ask the astaros DNS proxy for their dns (which theyll be allowed to do since the allowed networks has them in there), and in turn this dns proxy will use the OPENDNS ip addresses, irrespective of the packet filter since the proxys are above the packet filter rules in our processing.

So in your outline of the configuration below you have done, you were right on track and correct except for the dns server you give to your clients. 

Good luck.

The change worked.  DHCP -> DNS -> changed to Astaro's LAN IP address.

I wish to thank BarryG, (How did you manage during the fires?), AngeloC and  Dilandau, I am in your debt.  It is amazing how one detail can derail the best of intentions.

Thanks again,
Alex

The fires weren't very close to my house, but were VERY close to my office. Office smelled like smoke until a few days ago, and everyone was getting sick (headaches) the first 2 weeks.
The rain last weekend really helped clear up the air.

Barry

Barry,

I know the experience.  I used to live at the top of El Toro Road, actually off Santiago Canyon when the fires hit there last year.  In the area where the mountain lion attacked those two people and where I ran.  We are not as in control of our environment as we think we are.  

Thanks again for the help.

Alex