Jede DNS-Abfrage im Klartext verrät, welche Websites und Dienste Ihre Benutzer aufrufen — sichtbar für den ISP, jeden Man-in-the-Middle und potentielle Angreifer im lokalen Netzwerk. DNS over TLS (DoT) verschlüsselt die DNS-Kommunikation zwischen Ihrem Resolver und den Upstream-DNS-Servern. In OPNsense lässt sich DoT direkt im integrierten Unbound-Resolver konfigurieren — ohne zusätzliche Software.
Wie DNS over TLS funktioniert
Klassisches DNS überträgt Anfragen und Antworten im Klartext über UDP Port 53. DNS over TLS kapselt die DNS-Kommunikation in eine TLS-verschlüsselte Verbindung über TCP Port 853. Der Resolver (OPNsense/Unbound) baut eine TLS-Sitzung zum Upstream-Server auf und validiert dessen Zertifikat — genau wie ein Browser bei HTTPS.
| Merkmal | Standard-DNS | DNS over TLS |
|---|---|---|
| Transport | UDP/TCP Port 53 | TCP Port 853 |
| Verschlüsselung | Keine | TLS 1.2/1.3 |
| Authentifizierung | Keine | Zertifikatsvalidierung |
| Sichtbarkeit für ISP | Voll (Domain sichtbar) | Nur IP des DNS-Servers |
| Manipulation möglich | Ja (DNS-Spoofing) | Nein (TLS-geschützt) |
Upstream-Server auswählen
Für DNS over TLS benötigen Sie Upstream-Server, die DoT unterstützen. Die wichtigsten Anbieter:
Cloudflare (1.1.1.1)
- IP: 1.1.1.1 und 1.0.0.1
- IPv6: 2606:4700:4700::1111 und 2606:4700:4700::1001
- TLS-Hostname:
cloudflare-dns.com - Port: 853
- Vorteile: Schnellste Antwortzeiten, keine Logging-Policy (geprüft durch KPMG-Audit)
Quad9 (9.9.9.9)
- IP: 9.9.9.9 und 149.112.112.112
- IPv6: 2620:fe::fe und 2620:fe::9
- TLS-Hostname:
dns.quad9.net - Port: 853
- Vorteile: Integrierte Malware-Domain-Filterung, Schweizer Datenschutzrecht, Non-Profit
Mullvad DNS
- IP: 194.242.2.2
- TLS-Hostname:
dns.mullvad.net - Port: 853
- Vorteile: Keine Logging-Policy, schwedischer Datenschutz, optionale Ad-/Tracker-Filterung
OPNsense Unbound konfigurieren
Schritt 1: DNS over TLS aktivieren
Navigieren Sie zu Services > Unbound DNS > General:
- Stellen Sie sicher, dass Enable Unbound aktiviert ist
- Deaktivieren Sie DHCP Registration und DHCP Static Mappings vorübergehend (optional, vereinfacht Debugging)
Wechseln Sie zu Services > Unbound DNS > DNS over TLS:
- Klicken Sie auf + um einen neuen Upstream-Server hinzuzufügen
- Tragen Sie ein:
- Server IP:
1.1.1.1 - Server Port:
853 - Verify CN:
cloudflare-dns.com
- Server IP:
- Wiederholen Sie den Vorgang für den zweiten Server (
1.0.0.1)
Fügen Sie mindestens zwei Server von verschiedenen Anbietern hinzu, um Redundanz sicherzustellen:
| Server IP | Port | Verify CN |
|---|---|---|
| 1.1.1.1 | 853 | cloudflare-dns.com |
| 1.0.0.1 | 853 | cloudflare-dns.com |
| 9.9.9.9 | 853 | dns.quad9.net |
| 149.112.112.112 | 853 | dns.quad9.net |
Schritt 2: Forwarding aktivieren
Unter Services > Unbound DNS > General aktivieren Sie Enable Forwarding Mode. Ohne diesen Schalter löst Unbound Anfragen rekursiv über die Root-Server auf — DoT greift nur im Forwarding-Modus.
Schritt 3: Ausgehenden DNS-Traffic einschränken
Erstellen Sie eine Firewall-Regel auf dem WAN-Interface, die ausgehenden DNS-Traffic (UDP/TCP 53) von der OPNsense-IP blockiert. Dadurch stellen Sie sicher, dass DNS-Anfragen ausschließlich über Port 853 (TLS) gehen:
Firewall > Rules > Floating:
Action: Block
Interface: WAN
Direction: out
Protocol: TCP/UDP
Source: This Firewall
Destination: any
Destination Port: 53
Description: Block unencrypted DNS from firewallWichtig: Diese Regel darf nicht den DNS-Traffic von internen Clients zur OPNsense blockieren — nur den Traffic von der Firewall selbst ins Internet.
Schritt 4: Custom-Konfiguration (optional)
Für erweiterte Einstellungen navigieren Sie zu Services > Unbound DNS > Advanced und tragen in das Feld Custom Options ein:
# TLS-Zertifikatsvalidierung erzwingen
tls-cert-bundle: /etc/ssl/cert.pem
# Minimale TLS-Version
tls-ciphersuites: "TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256"
# TCP Keepalive für persistente Verbindungen
tcp-upstream: yesDNSSEC aktivieren
DNSSEC und DNS over TLS ergänzen sich: DoT verschlüsselt den Transport, DNSSEC validiert die Integrität der DNS-Antworten. Beide zusammen bieten maximalen Schutz.
Aktivieren Sie DNSSEC unter Services > Unbound DNS > General:
- Setzen Sie den Haken bei Enable DNSSEC
- Klicken Sie auf Apply
Testen Sie die DNSSEC-Validierung:
# Von einem Client im Netzwerk
dig @<opnsense-ip> dnssec-failed.org +dnssec
# Erwartung: SERVFAIL (ungültige DNSSEC-Signatur wird korrekt abgelehnt)
dig @<opnsense-ip> cloudflare.com +dnssec
# Erwartung: NOERROR mit RRSIG-RecordsPerformance-Auswirkung
DNS over TLS fügt Latenz hinzu — der TLS-Handshake und der TCP-Overhead verlangsamen die erste Anfrage spürbar. Nach dem Handshake nutzt Unbound die bestehende TLS-Verbindung für folgende Anfragen (Connection Reuse).
Vergleichsmessungen
| Szenario | Erste Anfrage | Folge-Anfragen | Cache-Hit |
|---|---|---|---|
| Standard-DNS (UDP) | 15–30 ms | 15–30 ms | < 1 ms |
| DNS over TLS | 80–150 ms | 20–40 ms | < 1 ms |
Die höhere Latenz der ersten Anfrage ist in der Praxis kaum spürbar, da Unbound einen aggressiven Cache nutzt und Verbindungen offenhält. Für die meisten Unternehmensumgebungen ist der Unterschied vernachlässigbar.
Cache optimieren
Um die Performance zu maximieren, erhöhen Sie den Cache unter Services > Unbound DNS > Advanced:
# Cache-Größe erhöhen (in MB)
msg-cache-size: 128m
rrset-cache-size: 256m
# Prefetch: Einträge vor Ablauf erneuern
prefetch: yes
prefetch-key: yes
# Serve-Stale: Abgelaufene Einträge kurz weiter ausliefern
serve-expired: yes
serve-expired-ttl: 86400DNS-Leak-Test durchführen
Nach der Konfiguration prüfen Sie, ob DNS-Anfragen tatsächlich über die verschlüsselten Upstream-Server laufen:
Methode 1: Online-Tools
Besuchen Sie von einem Client im Netzwerk:
- dnsleaktest.com — führt Standard- und Extended-Tests durch
- browserleaks.com/dns — zeigt den verwendeten DNS-Server
- 1.1.1.1/help — prüft Cloudflare-spezifisch DoT/DoH-Status
Erwartetes Ergebnis: Nur die konfigurierten Upstream-Server (Cloudflare, Quad9) erscheinen — nicht der ISP-DNS.
Methode 2: Packet Capture auf OPNsense
# SSH auf OPNsense
tcpdump -i em0 -n port 53
# Erwartung: KEIN Traffic auf Port 53
tcpdump -i em0 -n port 853
# Erwartung: TLS-verschlüsselter Traffic zu 1.1.1.1, 9.9.9.9 etc.Methode 3: Unbound-Statistiken
Aktivieren Sie Unbound-Statistiken unter Services > Unbound DNS > Advanced:
statistics-interval: 300
extended-statistics: yesPrüfen Sie die Statistiken per CLI:
unbound-control stats_noreset | grep total.num
# total.num.queries=12345
# total.num.cachehits=9876DNS over TLS vs. DNS over HTTPS
| Merkmal | DNS over TLS (DoT) | DNS over HTTPS (DoH) |
|---|---|---|
| Port | 853 (dediziert) | 443 (geteilt mit HTTPS) |
| Blockierbarkeit | Einfach (Port 853 sperren) | Schwer (Port 443 ist HTTPS) |
| Proxy-Kompatibilität | Gering | Hoch |
| Latenz | Etwas geringer | Etwas höher (HTTP-Overhead) |
| Enterprise-Kontrolle | Besser (klar trennbar) | Problematisch (Browser-Bypass) |
Für Unternehmensumgebungen empfehlen wir DoT: Es ist klar identifizierbar, lässt sich im Netzwerk gezielt erlauben oder blockieren, und Browser können es nicht eigenmächtig nutzen (im Gegensatz zu DoH, das Chrome und Firefox direkt implementieren).
Monitoring und Alerting
Überwachen Sie den DNS-Dienst mit DATAZONE Control: DNS-Antwortzeiten, Cache-Hit-Raten und TLS-Handshake-Fehler fließen in das zentrale Dashboard. Automatische Alerts warnen bei DNS-Ausfällen, ungewöhnlich hoher Latenz oder Zertifikatsfehlern — bevor Benutzer Probleme bemerken.
Häufig gestellte Fragen
Funktioniert DoT mit Split-DNS?
Ja. Unbound in OPNsense unterstützt Domain Overrides: Interne Domains werden an den lokalen DNS-Server weitergeleitet, alle anderen Anfragen gehen über DoT an die externen Upstream-Server.
Kann ich DoT und DoH gleichzeitig nutzen?
In OPNsense Unbound ist nur DoT nativ unterstützt. Für DoH benötigen Sie einen zusätzlichen Proxy wie cloudflared oder dnscrypt-proxy. Beides gleichzeitig ist möglich, aber selten sinnvoll.
Was passiert, wenn alle DoT-Server ausfallen?
Unbound fällt nicht automatisch auf unverschlüsseltes DNS zurück. Konfigurieren Sie mehrere Upstream-Server von verschiedenen Anbietern, um Ausfälle abzufangen.
Sie möchten DNS over TLS in Ihrer OPNsense-Firewall einrichten? Kontaktieren Sie uns — wir konfigurieren verschlüsseltes DNS und DNSSEC für Ihr Unternehmensnetzwerk.
Mehr zu diesen Themen:
Weitere Artikel
Backup-Strategie für KMU: Proxmox PBS + TrueNAS als zuverlässiges Backup-Konzept
Backup-Strategie für KMU mit Proxmox PBS und TrueNAS: 3-2-1-Regel umsetzen, PBS als primäres Backup-Target, TrueNAS-Replikation als Offsite-Kopie, Retention Policies und automatisierte Restore-Tests.
OPNsense Suricata Custom Rules: Eigene IDS/IPS-Signaturen schreiben und optimieren
Suricata Custom Rules auf OPNsense: Rule-Syntax, eigene Signaturen für interne Services, Performance-Tuning, Suppress-Lists und EVE-JSON-Logging.
Proxmox Cluster-Netzwerk richtig planen: Corosync, Migration, Storage und Management
Proxmox Cluster-Netzwerk designen: Corosync-Ring, Migration-Network, Storage-Network für Ceph/iSCSI, Management-VLAN, Bonding/LACP und MTU 9000 — mit Beispiel-Topologien.