13
Grundsatzfrage DNS Client im anderen Netz zeigen AdGuard
Guten Tag,
ich habe eine Grundsatzfrage. Irgendwo hänge ich fest.
Ich habe eine Hardware auf der eine OPNSense und ein AdGuard läuft (gleiche IP - andere Ports).
Daran hängt ein Mikrotek Router (Anderes Netzwerk) und dort drin einige Clients.
Nun bekomme ich in der Statistik des Adguards nur die externe (WAN) Adresse des Mikrotik Routers angezeigt wenn die Clients aus diesem Netzwerk DNS-Anfragen stellen.
Meine Frage:
Ist es möglich, dass der Adguard die genaue IP des Clients aus dem Mikrotik Router Netzwerk speichert?
Im Mikrotik habe ich den Adguard als DNS-Server hinterlegt und die OPNsense (Unbound) als Upstream.
Ich habe keine Verbindungsprobleme - wollte aber wissen, ob es möglich ist den Client genau zu zeigen
und nicht nur die externe Adresse der anderen Routers.
Ich habe im Microtik Router die Firewall Regel Forward für den DNS Verkehr eingetragen.(Falls das wichtig ist)
Fehlt noch was an Infos????
Danke
ich habe eine Grundsatzfrage. Irgendwo hänge ich fest.
Ich habe eine Hardware auf der eine OPNSense und ein AdGuard läuft (gleiche IP - andere Ports).
Daran hängt ein Mikrotek Router (Anderes Netzwerk) und dort drin einige Clients.
Nun bekomme ich in der Statistik des Adguards nur die externe (WAN) Adresse des Mikrotik Routers angezeigt wenn die Clients aus diesem Netzwerk DNS-Anfragen stellen.
Meine Frage:
Ist es möglich, dass der Adguard die genaue IP des Clients aus dem Mikrotik Router Netzwerk speichert?
Im Mikrotik habe ich den Adguard als DNS-Server hinterlegt und die OPNsense (Unbound) als Upstream.
Ich habe keine Verbindungsprobleme - wollte aber wissen, ob es möglich ist den Client genau zu zeigen
und nicht nur die externe Adresse der anderen Routers.
Ich habe im Microtik Router die Firewall Regel Forward für den DNS Verkehr eingetragen.(Falls das wichtig ist)
Fehlt noch was an Infos????
Danke
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 72559320788
Url: https://administrator.de/contentid/72559320788
Ausgedruckt am: 21.11.2024 um 17:11 Uhr
13 Kommentare
Neuester Kommentar
Moin,
der Zauberbegriff heißt EDNS Client Subnet option (ECS). Wenn das der Mirkotek Router bzw. dessen DNS Services diese Option unterstützt, wirst du die IP-Adressen der Clients im AdGuard sehen. Ansonsten bleibt es wie es ist.
Gruß,
Dani
der Zauberbegriff heißt EDNS Client Subnet option (ECS). Wenn das der Mirkotek Router bzw. dessen DNS Services diese Option unterstützt, wirst du die IP-Adressen der Clients im AdGuard sehen. Ansonsten bleibt es wie es ist.
Gruß,
Dani
1
Vielen Dank - dann werde ich mal forschen, wie / ob ich das im Mikrotik - falls es möglich ist - umsetzen kann.
Grüße
Grüße
Daran hängt ein Mikrotek Router
Du meintest sicher Mikrotik, oder? (Gruß vom "Bearbeiten" Knopf! 😉)nur die externe (WAN) Adresse des Mikrotik Routers angezeigt
Das ist klar, denn du hast sehr wahrscheinlich einen Fehler im DNS Setup bzw. DHCP DNS Setup deines Mikrotiks gemacht.Du lässt dort vermutlich den Mikrotik am Koppelport zur FW dynamisch per DHCP Client den DNS Server von der OPNsense lernen oder hast die OPNsense bzw. den dortigen Adguard statisch definiert im Menü IP --> DNS.
Was dann schiefläuft bzw. falsch ist in deinem Setup wenn du den Clients an den Mikrotik Netzwerk Segmenten keinen dedizierten DNS Server im DHCP Setup mitgibst ist das der MT als DNS Proxy rennt.
Wenn du also vergessen hast den die Adguard IP als DNS im DHCP mitzugeben, was bei dir sehr wahrscheinlich der Fall ist, dann arbeitet der Mikrotik immer als DNS Proxy mit seiner eigenen Adresse als Absender IP. Folglich "sieht" der Adguard keinerlei Client IPs mehr und nur noch den MT. Wie sollte das auch gehen wenn der MT zentral alle DNS Requests seiner Clients als proxy sendet...?
Die Lösung ist kinderleicht...
Gib im DHCP Server der die Mikrotik IP Netze mit seinen Clients bedient einfach dediziert den Adguard als IP Adresse im DNS Server an. So verwenden die Clients dann direkt den Adguard mit ihren DNS Anfragen und du kannst sofort wieder die Client Statistiken sehen.
Kommt man mit ein bisschen Nachdenken wie die DNS Kommunikation abläuft aber eigentlich auch selber drauf ohne Forenthread...
Ja, Ich hab das aber mehrfach richtig geschrieben - mal abgesehen von dem einen mal mit "c"
Ok - zur Einstellung:
Ich habe das Peer DNS ausgeschaltet -somit bekommt der Mikrotik keinen DNS automatisch von der OPNsense - und ich habe den ADGuard manuell als DNS-Server im Mikrotik eingetragen.
Vielleicht liegt es daran, dass OPNsense und ADGuard auf der gleichen IP liegen?!?
Ok - zur Einstellung:
Ich habe das Peer DNS ausgeschaltet -somit bekommt der Mikrotik keinen DNS automatisch von der OPNsense - und ich habe den ADGuard manuell als DNS-Server im Mikrotik eingetragen.
Vielleicht liegt es daran, dass OPNsense und ADGuard auf der gleichen IP liegen?!?
somit bekommt der Mikrotik keinen DNS automatisch von der OPNsense
Das wäre nicht unbedingt nötig gewesen und ob der MT den DNS selber dynamisch oder statisch mitbekommt ist eher eine kosmetische Frage.Der eigentliche Fehler ist, wie oben schon mehrfach gesagt, die fehlende Angabe der Adguard IP im DHCP Setup als DNS für die Clients am Mikrotik. 🧐
Wenn die Clients am Mikrotik nicht dediziert vom DHCP Server die Adguard DNS IP bekommen fragen sie weiter den Mikrotik und der reicht dann als Proxy weiter durch.
Es geht also NUR um den DNS Eintrag im DHCP also um den DNS an den Clients.
Das kannst du doch auch selber auf den MT Clients (Windows) ganz einfach mit ipconfig -all ansehen oder wenn du einmal ein nslookup www.administrator.de dort eingibst!
Dort MUSS als DNS Server die IP des Adguard/OPNsense angegeben sein und nicht die Segment IP des MT!!
DAS hast du also vermutlich weiterhin vergessen anzupassen...?!
Ok - vielen Dank für Deine Hilfe - Ich verstehe nicht, was ich ändern soll.
Ich hab oben schon geschrieben, dass ich Adguard als DNS-Server im Mikrotik Router eingetragen habe. Wie kommst Du darauf, dass ich die Segment IP vom MT als DNS eingetragen habe? Es gibt im ganzen MT nur einen einzigen DNS - den AdGuard - vorher war das auch die gleiche IP - nur war es vorher nur die OPNsense.
Beispiel
Also MT Netz = 192.168.10.0/24
OPNSense / Adguard = 192.168.9.1
DNS Server im MT = 192.168.9.1 - nicht 192.168.10.0 oder 192.168.10.1
In meinem Linux Client der im MT Netz ist (192.168.10.199) wird er ja auch der ADGuard als DNS angezeigt.
Ich habe explizit noch einmal im MT über das Terminal den ADGuard als DNS eingetragen - aber das war er ja schon.
Ich scheine nicht zu verstehen - wo ich den ADGuard noch eintragen soll?!?
Ich habe kein Windows.
Ich hab oben schon geschrieben, dass ich Adguard als DNS-Server im Mikrotik Router eingetragen habe. Wie kommst Du darauf, dass ich die Segment IP vom MT als DNS eingetragen habe? Es gibt im ganzen MT nur einen einzigen DNS - den AdGuard - vorher war das auch die gleiche IP - nur war es vorher nur die OPNsense.
Beispiel
Also MT Netz = 192.168.10.0/24
OPNSense / Adguard = 192.168.9.1
DNS Server im MT = 192.168.9.1 - nicht 192.168.10.0 oder 192.168.10.1
In meinem Linux Client der im MT Netz ist (192.168.10.199) wird er ja auch der ADGuard als DNS angezeigt.
Ich habe explizit noch einmal im MT über das Terminal den ADGuard als DNS eingetragen - aber das war er ja schon.
Ich scheine nicht zu verstehen - wo ich den ADGuard noch eintragen soll?!?
Ich habe kein Windows.
In meinem Linux Client der im MT Netz ist (192.168.10.199) wird er ja auch der ADGuard als DNS angezeigt.
Das ist dann korrekt.Wie gesagt es geht nur um die Clients am Mikrotik.
WIE bekommen diese denn ihre IP?? Per DHCP oder statisch und WER ist der DHCP Server für diese Clients??
Wenn dein Mikrotik diese IPs per DHCP vergibt musst du den Adguard dort im DHCP Server Setup als DNS Server eintragen.
Wichtig ist das die DNS Client Requests immer direkt am Adguard ankommen und KEIN Proxy dazwischen ist. Andernfalls kann der Adguard ja die Client Absender IPs nicht "sehen" und damit dann auch keine Client spezifischen Statistiken mehr anzeigen.
Ja - das stimmt alles bei mir.
Dann muss es ein anderes Problem (Fehler von mir) sein.
Vielleicht liegt es am NAT vom MT zum OPNsense / ADGuard Netz.
Das war ja standardmäßig aktiv - vielleicht sollte ich da mal ansetzen.
Dann muss es ein anderes Problem (Fehler von mir) sein.
Vielleicht liegt es am NAT vom MT zum OPNsense / ADGuard Netz.
Das war ja standardmäßig aktiv - vielleicht sollte ich da mal ansetzen.
Ja, das ist der Grund. Da werden ja dann alle Absender IPs übersetzt und schafft routingtechnisch eine Einbahnstrasse. Hättest du auch eher sagen können um uns die ganze Litanei von oben zu ersparen...
Hat es einen Grund warum du da NAT machst? 🤔 Eigentlich ist das da doch völlig überflüssig und aus Performance- und Firewall Filtersicht auch völlig kontraproduktiv. Guckst du auch im Tutorial.
Hat es einen Grund warum du da NAT machst? 🤔 Eigentlich ist das da doch völlig überflüssig und aus Performance- und Firewall Filtersicht auch völlig kontraproduktiv. Guckst du auch im Tutorial.
Nein, kein Grund - ich ändere nach und nach die vorgegebene Konfiguration - und die ist eben NAT Masq im Mikrotik. Also zumindest in meinen Mikrotik Routern ist das so. Nach einem Reset ist das immer drin.
Asche über mein Haupt
Asche über mein Haupt
die vorgegebene Konfiguration
Damit meinst du die Default Konfig?? 🤔Aber die musst du beim Booten ja gar nicht übernehmen und kannst sie immer von vorn herein ablehnen.
Nach einem Reset ist das immer drin.
Jein!Er fragt dich ja beim ersten Login nach dem Reset brav ob du sie verwenden willst oder nicht. Wenn du das dann natürlich nicht ablehnst dann.... 😉
2
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt markieren!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?
Entschuldige - Du hast recht - Vielen Dank
