hastduschonneugestartet
Goto Top

DNS-Auflösung TXT SRV Einträge auf pfSense 2.3.4 1

Seid gegrüßt,

ich habe ein Problem dessen Ursache mich vor Rätsel stellt.
Das ursprüngliche Problem ist, dass meine pfsense keine txt-Einträge auflöst welche ich für Letsencrypt-Zertifikate benötige - sprich _acme-challenge.test.domain.de - test.domain.de wird aufgelöst.

Zur Systembeschreibung:

pfsense 2.3.4_1
Eingetragene DNS-Server: 8.8.8.8, 8.8.4.4, die beiden Server meines WAN-Betreibers, 127.0.0.1 testweise ausgeschlossen
DNS-Resolver: unbound mit pfblocker/dnsbl (bereits testweise deaktiviert gewesen), Domain-Override für lokale AD-Domain. pfsense ist der im AD eingetragene Weiterleitungsserver für DNS
Ansonsten - feste IP, testweise 1 WAN
Es existiert eine zweite pfsense im Carp (quasi selbe Einstellungen) welche ebenfalls nicht erfolgreich auflöst

OPNSense (Testinstallation)
"selbe Einstellungen", ebenfalls unbound mit pfblocker...

Fehlerdiagnose:
Weder aus dem internen Netz noch auf der pfsense kann per DNS-Lookup "_acme-challenge.test.domain.de" aufgelöst werden. Dies betrifft beide pfSense-Installationen. Es wurden mehrere TXT-Einträge getestet. OPNSense kann über DNS-Lookup erfolgreich auflösen.

Ich bin daher auf der Suche nach einem "Switch" oder einer Einstellung die in der Lage wäre die Auflösung von _acme... zu unterdrücken während die reine Domainenauflösung funktioniert.

Hat jemand einen Tip?

Content-ID: 346963

Url: https://administrator.de/forum/dns-aufloesung-txt-srv-eintraege-auf-pfsense-2-3-4-1-346963.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

ashnod
ashnod 22.08.2017 um 11:14:36 Uhr
Goto Top
Moin ....

also so wirklich verstehe ich nicht was dein Begehr ist ...

wie weit ist denn dein Problem von dem hier entfernt? > https://doc.pfsense.org/index.php/ACME_package

"Sanfte Grüße – Was sind Ihre Extreme?"
Hastduschonneugestartet
Hastduschonneugestartet 22.08.2017 um 11:21:22 Uhr
Goto Top
Ich möchte gerne eine erfolgreiche DNS-Auflösung von _acme-challenge.test.domain.de.

Dies ist derzeit nicht der Fall und unterbindet damit erfolgreich jede Nutzung von DNS-basiertem LetsEncrypt.

pfsense -> dns1
opnsense -> dns2
dns1
dns2
ashnod
ashnod 22.08.2017 um 12:22:50 Uhr
Goto Top
Ahoi ...

hab anscheinend grade nicht den Kopf dafür ... aber allgemein > wenn du möchtest das der txt-eintrag gelesen und ausgewertet werden kann dann musst du dafür sorgen das der Nameserver der den Eintrag enthält auch abgefragt wird da hilft die google(8.8.8.8 etc. nicht weiter).
Letztere wären lediglich die forwarder für Abfragen die von deinem Nameserver nicht behandelt werden.

VG
Hastduschonneugestartet
Hastduschonneugestartet 22.08.2017 um 12:43:27 Uhr
Goto Top
Der Nameserver der den Eintrag enthält steht bei all-inkl - sprich ns5.kasserver.com - welcher auch der allgemeine DNS für diese Domain ist.
Dies wird erfolgreich so von extern bzw. opnsense aufgelöst. Nicht aber von pfsense. Der Letsencrypt-Client (acme.sh) bringt dann einen Timeout weil entsprechend _acme... nicht aufgelöst werden kann. Ändere ich den DNS auf die opnsense-Installation geht es.

Ich habe nun testweise pfsense neu aufgesetzt mit DNS Forwarder (nackte Installation) - auch der kann _acme nicht auflösen. Muss ja bald was Prinzipbedingtes sein.