4
DNS-Auflösung TXT SRV Einträge auf pfSense 2.3.4 1
Seid gegrüßt,
ich habe ein Problem dessen Ursache mich vor Rätsel stellt.
Das ursprüngliche Problem ist, dass meine pfsense keine txt-Einträge auflöst welche ich für Letsencrypt-Zertifikate benötige - sprich _acme-challenge.test.domain.de - test.domain.de wird aufgelöst.
Zur Systembeschreibung:
pfsense 2.3.4_1
Eingetragene DNS-Server: 8.8.8.8, 8.8.4.4, die beiden Server meines WAN-Betreibers, 127.0.0.1 testweise ausgeschlossen
DNS-Resolver: unbound mit pfblocker/dnsbl (bereits testweise deaktiviert gewesen), Domain-Override für lokale AD-Domain. pfsense ist der im AD eingetragene Weiterleitungsserver für DNS
Ansonsten - feste IP, testweise 1 WAN
Es existiert eine zweite pfsense im Carp (quasi selbe Einstellungen) welche ebenfalls nicht erfolgreich auflöst
OPNSense (Testinstallation)
"selbe Einstellungen", ebenfalls unbound mit pfblocker...
Fehlerdiagnose:
Weder aus dem internen Netz noch auf der pfsense kann per DNS-Lookup "_acme-challenge.test.domain.de" aufgelöst werden. Dies betrifft beide pfSense-Installationen. Es wurden mehrere TXT-Einträge getestet. OPNSense kann über DNS-Lookup erfolgreich auflösen.
Ich bin daher auf der Suche nach einem "Switch" oder einer Einstellung die in der Lage wäre die Auflösung von _acme... zu unterdrücken während die reine Domainenauflösung funktioniert.
Hat jemand einen Tip?
ich habe ein Problem dessen Ursache mich vor Rätsel stellt.
Das ursprüngliche Problem ist, dass meine pfsense keine txt-Einträge auflöst welche ich für Letsencrypt-Zertifikate benötige - sprich _acme-challenge.test.domain.de - test.domain.de wird aufgelöst.
Zur Systembeschreibung:
pfsense 2.3.4_1
Eingetragene DNS-Server: 8.8.8.8, 8.8.4.4, die beiden Server meines WAN-Betreibers, 127.0.0.1 testweise ausgeschlossen
DNS-Resolver: unbound mit pfblocker/dnsbl (bereits testweise deaktiviert gewesen), Domain-Override für lokale AD-Domain. pfsense ist der im AD eingetragene Weiterleitungsserver für DNS
Ansonsten - feste IP, testweise 1 WAN
Es existiert eine zweite pfsense im Carp (quasi selbe Einstellungen) welche ebenfalls nicht erfolgreich auflöst
OPNSense (Testinstallation)
"selbe Einstellungen", ebenfalls unbound mit pfblocker...
Fehlerdiagnose:
Weder aus dem internen Netz noch auf der pfsense kann per DNS-Lookup "_acme-challenge.test.domain.de" aufgelöst werden. Dies betrifft beide pfSense-Installationen. Es wurden mehrere TXT-Einträge getestet. OPNSense kann über DNS-Lookup erfolgreich auflösen.
Ich bin daher auf der Suche nach einem "Switch" oder einer Einstellung die in der Lage wäre die Auflösung von _acme... zu unterdrücken während die reine Domainenauflösung funktioniert.
Hat jemand einen Tip?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 346963
Url: https://administrator.de/contentid/346963
Ausgedruckt am: 22.11.2024 um 05:11 Uhr
4 Kommentare
Neuester Kommentar
Moin ....
also so wirklich verstehe ich nicht was dein Begehr ist ...
wie weit ist denn dein Problem von dem hier entfernt? > https://doc.pfsense.org/index.php/ACME_package
"Sanfte Grüße – Was sind Ihre Extreme?"
also so wirklich verstehe ich nicht was dein Begehr ist ...
wie weit ist denn dein Problem von dem hier entfernt? > https://doc.pfsense.org/index.php/ACME_package
"Sanfte Grüße – Was sind Ihre Extreme?"
Ich möchte gerne eine erfolgreiche DNS-Auflösung von _acme-challenge.test.domain.de.
Dies ist derzeit nicht der Fall und unterbindet damit erfolgreich jede Nutzung von DNS-basiertem LetsEncrypt.
pfsense -> dns1
opnsense -> dns2
Dies ist derzeit nicht der Fall und unterbindet damit erfolgreich jede Nutzung von DNS-basiertem LetsEncrypt.
pfsense -> dns1
opnsense -> dns2
Ahoi ...
hab anscheinend grade nicht den Kopf dafür ... aber allgemein > wenn du möchtest das der txt-eintrag gelesen und ausgewertet werden kann dann musst du dafür sorgen das der Nameserver der den Eintrag enthält auch abgefragt wird da hilft die google(8.8.8.8 etc. nicht weiter).
Letztere wären lediglich die forwarder für Abfragen die von deinem Nameserver nicht behandelt werden.
VG
hab anscheinend grade nicht den Kopf dafür ... aber allgemein > wenn du möchtest das der txt-eintrag gelesen und ausgewertet werden kann dann musst du dafür sorgen das der Nameserver der den Eintrag enthält auch abgefragt wird da hilft die google(8.8.8.8 etc. nicht weiter).
Letztere wären lediglich die forwarder für Abfragen die von deinem Nameserver nicht behandelt werden.
VG
Der Nameserver der den Eintrag enthält steht bei all-inkl - sprich ns5.kasserver.com - welcher auch der allgemeine DNS für diese Domain ist.
Dies wird erfolgreich so von extern bzw. opnsense aufgelöst. Nicht aber von pfsense. Der Letsencrypt-Client (acme.sh) bringt dann einen Timeout weil entsprechend _acme... nicht aufgelöst werden kann. Ändere ich den DNS auf die opnsense-Installation geht es.
Ich habe nun testweise pfsense neu aufgesetzt mit DNS Forwarder (nackte Installation) - auch der kann _acme nicht auflösen. Muss ja bald was Prinzipbedingtes sein.
Dies wird erfolgreich so von extern bzw. opnsense aufgelöst. Nicht aber von pfsense. Der Letsencrypt-Client (acme.sh) bringt dann einen Timeout weil entsprechend _acme... nicht aufgelöst werden kann. Ändere ich den DNS auf die opnsense-Installation geht es.
Ich habe nun testweise pfsense neu aufgesetzt mit DNS Forwarder (nackte Installation) - auch der kann _acme nicht auflösen. Muss ja bald was Prinzipbedingtes sein.
