<div dir="ltr">Hi folks, <div><br></div><div>SINCERE apologies for the delay reply, I got promoted at work and things have been a bit hectic!</div><div><br></div><div>A great idea using IPtables, thanks for the pointer! I should have thought of that. I get that the DNS returns will be unencrypted, but I just want to experiment with passing the initial query encrypted. I'm just l;earning all this stuff.</div><div><br></div><div>Thank you for the pointers though, and again, apologies for such a tardy reply,</div><div><br></div><div>Ian</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 8 Mar 2022 at 16:51, Petr Menšík <<a href="mailto:pemensik@redhat.com">pemensik@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi Ian,<br>
<br>
I think you can do this by turning off resolv.conf parsing (--no-resolv)<br>
and using --servers=1.1.1.1@vpn0 --servers=1.0.0.1@vpn0 explicitly. That<br>
might work if outgoing packets are properly NATed or accepted as they<br>
are. Replace vpn with interface name of wireguard.<br>
<br>
Alternative might be adding route for just those resolvers. Something like:<br>
<br>
ip route add <a href="http://1.0.0.0/8" rel="noreferrer" target="_blank">1.0.0.0/8</a> via $WIREGW<br>
<br>
Though it is just runtime change, I don't know correct change. $WIREGW<br>
would be the same remote IP on the gw, used by configured IP range on<br>
the VPN.<br>
<br>
It should be noted such traffic is very similar to DNS over TLS/HTTPS.<br>
It would hide DNS queries, but even HTTPS traffic usually leaks domain<br>
names in unecrypted certificates parts. It may not work enough. I would<br>
use VPN for all traffic if privacy should be archieved. Securing DNS<br>
only is rarely sufficient.<br>
<br>
Just my 2 cents.<br>
<br>
Cheers,<br>
<br>
Petr<br>
<br>
On 3/7/22 16:26, Ian Bonham wrote:<br>
> Hi Everyone,<br>
><br>
> I can't thank you enough for the work on DNSMASQ, it's an utterly<br>
> brilliant piece of software. I'm amazed at the flexibility it gives me<br>
> in securing my home network, thank you all who put in so much effort.<br>
><br>
> Gushing aside, I'm stuck on one config I can't figure out though, so I<br>
> wonder if anyone could advise please? My server is routing everything<br>
> perfectly, and DNSMASQ is sitting there diligently dealing with DHCP<br>
> and DNS, and I have DNSSEC enabled for upstream requests (off to<br>
> 1.1.1.1 or 1.0.0.1). However I'd quite like to route the upstream DNS<br>
> requests over a Wireguard VPN, which is on another interface. <br>
><br>
> Is there a way to tell DNSMASQ to do it's upstream DNS requests over<br>
> an alternative interface, rather than the standard (unencrypted)<br>
> interface? Once the data are cached in DNSMASQ internally it's fine,<br>
> that's on my internal network and the clients query it. It's the<br>
> upstream requests I'm interested in routing privately over my VPN.<br>
><br>
> Any advice? Many thanks,<br>
><br>
> Bon<br>
><br>
><br>
> _______________________________________________<br>
> Dnsmasq-discuss mailing list<br>
> <a href="mailto:Dnsmasq-discuss@lists.thekelleys.org.uk" target="_blank">Dnsmasq-discuss@lists.thekelleys.org.uk</a><br>
> <a href="https://lists.thekelleys.org.uk/cgi-bin/mailman/listinfo/dnsmasq-discuss" rel="noreferrer" target="_blank">https://lists.thekelleys.org.uk/cgi-bin/mailman/listinfo/dnsmasq-discuss</a><br>
<br>
-- <br>
Petr Menšík<br>
Software Engineer<br>
Red Hat, <a href="http://www.redhat.com/" rel="noreferrer" target="_blank">http://www.redhat.com/</a><br>
email: <a href="mailto:pemensik@redhat.com" target="_blank">pemensik@redhat.com</a><br>
PGP: DFCF908DB7C87E8E529925BC4931CA5B6C9FC5CB<br>
<br>
<br>
_______________________________________________<br>
Dnsmasq-discuss mailing list<br>
<a href="mailto:Dnsmasq-discuss@lists.thekelleys.org.uk" target="_blank">Dnsmasq-discuss@lists.thekelleys.org.uk</a><br>
<a href="https://lists.thekelleys.org.uk/cgi-bin/mailman/listinfo/dnsmasq-discuss" rel="noreferrer" target="_blank">https://lists.thekelleys.org.uk/cgi-bin/mailman/listinfo/dnsmasq-discuss</a><br>
</blockquote></div>