"dnsmasq" beantwortet DNS-Anfragen der Clients nicht
Hallo, hat sich schon mal jemand von Euch mit "DNS over TLS" (DoT) mittels
"dnsmasq" und "Stubby" beschäftigt?
Habe diesen DNS-Aufbau auf einem "Raspberry Pi 3 Model B+" installiert,
leider funktioniert er nicht wie gewünscht.
Wenn ich auf einem externen Client die IP-Adresse des "Raspberry Pi" (192.168.2.2) als DNS-Server
einstelle, dann kommen zwar die DNS-Pakete beim RasPi an, aber die DNS-Anfrage des Clients wird
nicht beantwortet.
Dass die DNS-Anfragen beim RasPi ankommen, sehe ich per "tcpdump -i eth0 udp and port 53 -nv":
12:08:13.157366 IP (tos 0x0, ttl 127, id 54611, offset 0, flags [none], proto UDP (17), length 62)
192.168.1.50.60718 > 192.168.2.2.53: 3+ AAAA? www.facebook.com. (34)
Ich bin nach folgender Anleitung vorgegangen:
https://blog.sandchaschte.ch/de/pi-hole-with-dns-over-tls
"dnsmasq" läuft bei mir auf UDP-Port 53, welcher die Anfragen der Clients (unverschlüsselt) entgegennimmt
und soll diese dann an 127.0.0.1:5353 (Stubby) weiterleiten.
"Stubby" läuft aber auf jeden Fall auch, das habe ich überprüft:
netstat -aun:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 0.0.0.0:53 0.0.0.0:* (dnsmasq)
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 0.0.0.0:38489 0.0.0.0:*
udp 0 0 0.0.0.0:51820 0.0.0.0:*
udp 0 0 127.0.0.1:5353 0.0.0.0:* (Stubby)
udp 0 0 0.0.0.0:5353 0.0.0.0:* (Stubby)
udp6 0 0 :::38305 :::*
udp6 0 0 :::53 :::*
udp6 0 0 :::51820 :::*
udp6 0 0 ::1:5353 :::*
udp6 0 0 :::5353 :::*
Warum "Stubby" auf der 127.0.0.1 "lauscht" und ebenfalls auf der 0.0.0.0 weiß ich nicht ^^.
Wenn ich mich per SSH auf dem RasPi einloggen und von dort aus eine DNS-Abfrage starte
(z.B. per dig @127.0.0.1 www.google.de), dann wird problemlos aufgelöst:
dig @127.0.0.1 www.google.de
; <<>> DiG 9.10.3-P4-Raspbian <<>> @127.0.0.1 www.google.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64721
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;www.google.de. IN A
;; ANSWER SECTION:
www.google.de. 139 IN A 172.217.168.195
;; Query time: 88 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri May 10 12:03:13 BST 2019
;; MSG SIZE rcvd: 71
Nur wie gesagt funktioniert die Auflösung nicht, wenn ich "dnsmasq" von einem Client aus auf der 192.168.2.2 anspreche,
das ist die IP-Adresse des RasPi in dem Netzwerk, wo er angeschlossen ist.
Wenn ich per SSH auf dem RasPi eingeloggt bin, dann kann ich hingegen die 192.168.2.2 als DNS-Server ansprechen und
die Namensauflösung funktioniert:
dig @192.168.2.2 www.teamviewer.com
; <<>> DiG 9.10.3-P4-Raspbian <<>> @192.168.2.2 www.teamviewer.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40525
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;www.teamviewer.com. IN A
;; ANSWER SECTION:
www.teamviewer.com. 300 IN CNAME djg0l3vj0jvin.cloudfront.net.
djg0l3vj0jvin.cloudfront.net. 0 IN A 54.192.12.53
;; Query time: 89 msec
;; SERVER: 192.168.2.2#53(192.168.2.2)
;; WHEN: Fri May 10 12:05:45 BST 2019
;; MSG SIZE rcvd: 151
Zusammengefasst also:
"dig @127.0.0.1 www.google.de" funktioniert vom RasPi aus
und "dig @192.168.2.2 www.google.de funktioniert vom RasPi aus.
Ein "dig @192.168.2.2 www.google.de" von einem Client aus funktioniert hingegen nicht.
Kann mir da jemand weiterhelfen?
Gruß, Datax
"dnsmasq" und "Stubby" beschäftigt?
Habe diesen DNS-Aufbau auf einem "Raspberry Pi 3 Model B+" installiert,
leider funktioniert er nicht wie gewünscht.
Wenn ich auf einem externen Client die IP-Adresse des "Raspberry Pi" (192.168.2.2) als DNS-Server
einstelle, dann kommen zwar die DNS-Pakete beim RasPi an, aber die DNS-Anfrage des Clients wird
nicht beantwortet.
Dass die DNS-Anfragen beim RasPi ankommen, sehe ich per "tcpdump -i eth0 udp and port 53 -nv":
12:08:13.157366 IP (tos 0x0, ttl 127, id 54611, offset 0, flags [none], proto UDP (17), length 62)
192.168.1.50.60718 > 192.168.2.2.53: 3+ AAAA? www.facebook.com. (34)
Ich bin nach folgender Anleitung vorgegangen:
https://blog.sandchaschte.ch/de/pi-hole-with-dns-over-tls
"dnsmasq" läuft bei mir auf UDP-Port 53, welcher die Anfragen der Clients (unverschlüsselt) entgegennimmt
und soll diese dann an 127.0.0.1:5353 (Stubby) weiterleiten.
"Stubby" läuft aber auf jeden Fall auch, das habe ich überprüft:
netstat -aun:
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
udp 0 0 0.0.0.0:53 0.0.0.0:* (dnsmasq)
udp 0 0 0.0.0.0:68 0.0.0.0:*
udp 0 0 0.0.0.0:38489 0.0.0.0:*
udp 0 0 0.0.0.0:51820 0.0.0.0:*
udp 0 0 127.0.0.1:5353 0.0.0.0:* (Stubby)
udp 0 0 0.0.0.0:5353 0.0.0.0:* (Stubby)
udp6 0 0 :::38305 :::*
udp6 0 0 :::53 :::*
udp6 0 0 :::51820 :::*
udp6 0 0 ::1:5353 :::*
udp6 0 0 :::5353 :::*
Warum "Stubby" auf der 127.0.0.1 "lauscht" und ebenfalls auf der 0.0.0.0 weiß ich nicht ^^.
Wenn ich mich per SSH auf dem RasPi einloggen und von dort aus eine DNS-Abfrage starte
(z.B. per dig @127.0.0.1 www.google.de), dann wird problemlos aufgelöst:
dig @127.0.0.1 www.google.de
; <<>> DiG 9.10.3-P4-Raspbian <<>> @127.0.0.1 www.google.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 64721
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;www.google.de. IN A
;; ANSWER SECTION:
www.google.de. 139 IN A 172.217.168.195
;; Query time: 88 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Fri May 10 12:03:13 BST 2019
;; MSG SIZE rcvd: 71
Nur wie gesagt funktioniert die Auflösung nicht, wenn ich "dnsmasq" von einem Client aus auf der 192.168.2.2 anspreche,
das ist die IP-Adresse des RasPi in dem Netzwerk, wo er angeschlossen ist.
Wenn ich per SSH auf dem RasPi eingeloggt bin, dann kann ich hingegen die 192.168.2.2 als DNS-Server ansprechen und
die Namensauflösung funktioniert:
dig @192.168.2.2 www.teamviewer.com
; <<>> DiG 9.10.3-P4-Raspbian <<>> @192.168.2.2 www.teamviewer.com
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40525
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1452
;; QUESTION SECTION:
;www.teamviewer.com. IN A
;; ANSWER SECTION:
www.teamviewer.com. 300 IN CNAME djg0l3vj0jvin.cloudfront.net.
djg0l3vj0jvin.cloudfront.net. 0 IN A 54.192.12.53
;; Query time: 89 msec
;; SERVER: 192.168.2.2#53(192.168.2.2)
;; WHEN: Fri May 10 12:05:45 BST 2019
;; MSG SIZE rcvd: 151
Zusammengefasst also:
"dig @127.0.0.1 www.google.de" funktioniert vom RasPi aus
und "dig @192.168.2.2 www.google.de funktioniert vom RasPi aus.
Ein "dig @192.168.2.2 www.google.de" von einem Client aus funktioniert hingegen nicht.
Kann mir da jemand weiterhelfen?
Gruß, Datax
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 449898
Url: https://administrator.de/forum/dnsmasq-beantwortet-dns-anfragen-der-clients-nicht-449898.html
Ausgedruckt am: 25.12.2024 um 18:12 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
Gruß,
Peter
Zitat von @Datax87:
dann kommen zwar die DNS-Pakete beim RasPi an, aber die DNS-Anfrage des Clients wird nicht beantwortet.
Geht denn überhaupt eine Antwort raus? Kommt die Anfrage auf die Richtige IP und Port an oder horcht was anderes als dein dort? Fragt denn dein DNSmasq seinen übergeordneten DNS nach die IPs oder geht das nicht?dann kommen zwar die DNS-Pakete beim RasPi an, aber die DNS-Anfrage des Clients wird nicht beantwortet.
Gruß,
Peter
Hallo,
Schön.
Gruß,
Peter
Schön.
Vor dem RasPi befindet sich ein EdgeRouter,
Was hier natürlich keiner wissen konnte Gruß,
Peter