12
OPNsense DNS Error
Hallo Community,
auf die Gefahr mal wieder "geprügelt" zu werden
, benötige ich ein paar Denkansätze.
Ich bin aktuell in die OPNsense Welt eingestiegen. OPNsense wurde "erfolgreich" eingerichtet. Zu den für den Thread wichtigsten Eckdaten:
Ich beobachte folgende Situation:
Frage 1: Geht das so mit rechten Dingen zu? HAbe "gehört" dass VLAN nicht gerouted sind. Würde irgendwie Sinn machen, aber warum sollte ich Firewall Regeln innerhlab eines VLANs erstellen, intra VLan ist doch eigentilch alles frei dachte ich?
Nun habe ich gedacht, eignetlich möchte ich ja aus dem trusted VLAN den Unbound als 192.168.100.10:53 nutzen.
Was mache ich falsch? Wo ist der Fehler in meinem Denkansatz? Was benötigt ihr evtl. noch an Infos?
Danke für Feedback!
auf die Gefahr mal wieder "geprügelt" zu werden
, benötige ich ein paar Denkansätze.Ich bin aktuell in die OPNsense Welt eingestiegen. OPNsense wurde "erfolgreich" eingerichtet. Zu den für den Thread wichtigsten Eckdaten:
- LAN 192.168.100.0/24
- WAN Externe IP
- Trusted 192.168.20.0/24 mit VLAN tag 20 (keinen eigenen DNS gesetzt)
- Als DNS habe ich onbound aktiviert
- Generell als externe DNS 1.1.1.1 und 9.9.9.9 eingetragen
Ich beobachte folgende Situation:
- Allgemein scheint der Internet Access eher langsam, insb. bei ersten Aufrufen (maybe von unbound?)
- Internet access auf LAN ohne Probleme mit DNS 192.168.100.10 (IP von OPNsense, daher denke ich wird hier der Unbound genutzt?)
- Mittels Firewall habe ich aus dem Trusted VLAN Traffic auf das "Internet" freigegeben, gleichzeitig RFC Traffic geblockt
- Aktuell steht der DNS des Trusted VLAN auf 192.168.20.1 => Gateway des VLAN
- Erst mit einer Rule zur Freigabe aus dem Trusted VLAN auf expliziet 192.168.20.1:53 funktioniert der Internet access
Frage 1: Geht das so mit rechten Dingen zu? HAbe "gehört" dass VLAN nicht gerouted sind. Würde irgendwie Sinn machen, aber warum sollte ich Firewall Regeln innerhlab eines VLANs erstellen, intra VLan ist doch eigentilch alles frei dachte ich?
Nun habe ich gedacht, eignetlich möchte ich ja aus dem trusted VLAN den Unbound als 192.168.100.10:53 nutzen.
- per nslookup mittels Server Befehl gesetzt, Ergebnis keine DNS Auflösung: connection timed out; no servers could be reached - sieht für mich nach blocking aus. In meinen Firewall Logs kann ich dazu aber nichts finden.
- Erstellung einer Firewall Rule, die mir Traffic aus dem Trusted VLAN auf die 192.168.100.10:53 erlaubt bringt keinen Unterschied
Was mache ich falsch? Wo ist der Fehler in meinem Denkansatz? Was benötigt ihr evtl. noch an Infos?
Danke für Feedback!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 3199504084
Url: https://administrator.de/contentid/3199504084
Printed on: April 16, 2024 at 20:04 o'clock
12 Comments
Latest comment
Moin,
wenn du in deinem VLAN 20 Interface den Traffic mit priv. IP Adressen blockierst, dann wird das so nicht funktionieren.
Nimm den Haken auf diesem Interface raus. Wenn die OPNsense direkt an einem Modem mit ext. IP hängt, kannst du dieses Setting auf dem WAN Interface aktivieren.
Ansonsten benötigst du natürlich pro Interface entsprechendes Regelwerk. Es wird nicht einfach erlaubt, im Gegenteil: Wenn nichts konfiguriert ist, wird alles blockiert.
VG
wenn du in deinem VLAN 20 Interface den Traffic mit priv. IP Adressen blockierst, dann wird das so nicht funktionieren.
Nimm den Haken auf diesem Interface raus. Wenn die OPNsense direkt an einem Modem mit ext. IP hängt, kannst du dieses Setting auf dem WAN Interface aktivieren.
Ansonsten benötigst du natürlich pro Interface entsprechendes Regelwerk. Es wird nicht einfach erlaubt, im Gegenteil: Wenn nichts konfiguriert ist, wird alles blockiert.
VG
Du musst den DNS Forwarder/Responder richtig setzen analog wie es auch bei der Schwester pfSense gemacht werden muss:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Beachte das ein dynamisch gelernter DNS Server am WAN Port einen statisch gesetzten DNS überschreibt sofern man das im Setup nicht deaktiviert. Wenn deine FW also direkt am Provider per PPPoE hängt oder in einer Router Kaskade mit DHCP dann überschreibt der dort gelernte DNS einen statischen ohne entsprechendes Setup.
Wenn du andersrum den Clients im lokalen Netzwerk vom DHCP Server direkt die Unbound DNS Ziel IP gibst dann reicht die Firewall das auch nur durch. Zumindestens wenn dein Regelwerk stimmt. Laien vergessen hier auch gerne mal das DNS TCP und UDP 53 benötigt im Regelwerk!
Kein DNS Eintrag im DHCP Server bedeutet das die lokale Firewall LAN IP dann an die Clients als DNS übermittelt wird und die Firewall als DNS Caching Server arbeitet wie es ja generell üblich ist.
Irgendetwas hast du also falsch konfiguriert. In jedem Falle MUSS eine DNS Lookup über das Diagnostics Menü direkt auf der Firewall klappen. Screenshots würden für eine zielführende Hilfe helfen.
Lokaler Traffic, also solcher innerhalb der eigenen Layer 2 Broadcast Domain, "sieht" natürlich niemals einen Router das ist logisch das geht immer direkt zw. den Endgeräten. Ein Router verbindet ja immer nur unterschiedliche IP Netze. Innerhalb eines Layer 2 Netzes ist das ja niemals der Fall.
Guckst du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Beachte das ein dynamisch gelernter DNS Server am WAN Port einen statisch gesetzten DNS überschreibt sofern man das im Setup nicht deaktiviert. Wenn deine FW also direkt am Provider per PPPoE hängt oder in einer Router Kaskade mit DHCP dann überschreibt der dort gelernte DNS einen statischen ohne entsprechendes Setup.
Wenn du andersrum den Clients im lokalen Netzwerk vom DHCP Server direkt die Unbound DNS Ziel IP gibst dann reicht die Firewall das auch nur durch. Zumindestens wenn dein Regelwerk stimmt. Laien vergessen hier auch gerne mal das DNS TCP und UDP 53 benötigt im Regelwerk!
Kein DNS Eintrag im DHCP Server bedeutet das die lokale Firewall LAN IP dann an die Clients als DNS übermittelt wird und die Firewall als DNS Caching Server arbeitet wie es ja generell üblich ist.
Irgendetwas hast du also falsch konfiguriert. In jedem Falle MUSS eine DNS Lookup über das Diagnostics Menü direkt auf der Firewall klappen. Screenshots würden für eine zielführende Hilfe helfen.
HAbe "gehört" dass VLAN nicht gerouted sind.
Ist natürlich Unsinn! Zumindestens wenn du hier von VLAN übergreifenden Traffic redest.Lokaler Traffic, also solcher innerhalb der eigenen Layer 2 Broadcast Domain, "sieht" natürlich niemals einen Router das ist logisch das geht immer direkt zw. den Endgeräten. Ein Router verbindet ja immer nur unterschiedliche IP Netze. Innerhalb eines Layer 2 Netzes ist das ja niemals der Fall.
Guckst du auch hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Bevor ich hier weiter einsteige kurz einen aktuelln Stand.
In der conf. habe ich Unnbound deaktiviert für alle interfaces außer WAN (falsch?). Das setzten des DNS durch den Provider verhinder ich wie oben beschrieben mit uncheck der entsprechenden Option. Ich habe allerdings als prim und sek. DNS 1.1.1.2 und 9.9.9.9 angegeben. Ich bin
Zu meiner Fragen:
Müsste ich die beiden oben genannten DNS nicht streichen? Bzw. bei Unbound irgendwie als Upstream angeben oder ist das genau so? Denke hier von Adguard oder Pihole wo ich ja auch als DNS eben die Pihole ip angeben, aber in Pihole dann upstream DNS definiere.
Der Unbound hört doch auf 192.168.10.1, also die IP meiner OPNsense. Wenn ich jetzt in meinen VLANS keinen anderen angebe wird das Gateway gentutz, aber dies leitet dann doch an den Unbound weiter oder nicht? Soweit richtig verstanden?
Danke soweit und ggf. weiteren Einsieg - ja Hausaufgaben mache ich dann ;)
In der conf. habe ich Unnbound deaktiviert für alle interfaces außer WAN (falsch?). Das setzten des DNS durch den Provider verhinder ich wie oben beschrieben mit uncheck der entsprechenden Option. Ich habe allerdings als prim und sek. DNS 1.1.1.2 und 9.9.9.9 angegeben. Ich bin
Zu meiner Fragen:
Müsste ich die beiden oben genannten DNS nicht streichen? Bzw. bei Unbound irgendwie als Upstream angeben oder ist das genau so? Denke hier von Adguard oder Pihole wo ich ja auch als DNS eben die Pihole ip angeben, aber in Pihole dann upstream DNS definiere.
Der Unbound hört doch auf 192.168.10.1, also die IP meiner OPNsense. Wenn ich jetzt in meinen VLANS keinen anderen angebe wird das Gateway gentutz, aber dies leitet dann doch an den Unbound weiter oder nicht? Soweit richtig verstanden?
Danke soweit und ggf. weiteren Einsieg - ja Hausaufgaben mache ich dann ;)
Ich habe allerdings als prim und sek. DNS 1.1.1.2 und 9.9.9.9 angegeben. Ich bin
Ichbin...WAS denn ??Ob es sinnvoll ist seine DNS Anfragen um den halben Erdball gerade zu einem US Server zu senden muss jeder selber wissen. Es gibt intelligentere Anlaufstellen:
https://www.privacy-handbuch.de/handbuch_93d.htm
wenn es denn zwingend immer externe DNS sein müssen statt die des Providers die eh am schnellsten und sinnvollsten sind.
Malware und Werbung filtert man dann mit einem PiHole oder Adguard. Aber egal, andere Baustelle.
Müsste ich die beiden oben genannten DNS nicht streichen?
Du sprichst in Rätseln?? Was genau meist du mit streichen? Die ganze DNS Konfig auf der FW streichen? Wirre Frage...Denke hier von Adguard oder Pihole wo ich ja auch als DNS eben die Pihole ip angeben, aber in Pihole dann upstream DNS definiere.
Nichts anderes machst du bei der Firewall ja auch. Auch diese arbeitet als Caching DNS. Es kommt hast immer drauf an was du deinen Endgeräten als DNS Server mitgibst, denn das was die kennen fragen sie auch.Du hast also mehrere Optionen:
- Endgerät -> fragt Firewall -> fragt Upstrem DNS
- Endgerät -> fragt Firewall -> fragt PiHole -> fragt Upstrem DNS
- Endgerät -> fragt PiHole -> fragt Firewall -> fragt Upstrem DNS
- Endgerät -> fragt PiHole -> fragt Upstrem DNS
Wenn ich jetzt in meinen VLANS keinen anderen angebe wird das Gateway gentutz
Das ist richtig! Dann wir automatisch immer die lokale IP der Firewall in dem VLAN als DNS genutzt und die Firewall fragt dann den DNS den sie entweder dynmaisch gelernt hat oder den sie statisch als DNS Server eingetragen bekommen hat. Folglich gilt dann immer:- Endgerät -> fragt Firewall -> fragt Upstrem DNS
- Endgerät -> fragt Firewall -> fragt PiHole -> fragt Upstrem DNS
Ist doch eine ganz simple und einfache (DNS) Logik, oder?!
Wenn's das denn nun war bitte deinen Thread dann hier auch als erledigt schliessen!
Noch nicht ganz.
Also ich bin def. in der Option: Endgerät aus VLAN -> fragt Firewall (VLAN Gateway)-> fragt AdGuard (Port53) -> fragt Upstrem DNS.
Den Upstream versteh ich nicht. Im AdGuard habe ich 127.0.0.1:5353 eingetragen (AdGuard läuft auf der OPNsense, Port53), damit möchte ich den lokalen Unbound nutzen der auf Port 5353 steht.
Als allgemeinen DNS Server habe ich in der OPNsene (SYSTEM: SETTINGS: GENERAL) die OPNsense IP als DNS eingetragen.
Scheinbar scheint die Kombi zu funktionieren, da Internet geht. Nslookup zeigt eben das Gateway des VLANs.
Scheint dies ein Weg zu sein?
Alternativ könnte ich aus jedem VLAN direkt die Firwall auf Port 53 ansprechen, was der AdGuard wäre und dieser leitet das dann weiter an Unbound Port 5353. Korrekt so?
Also ich bin def. in der Option: Endgerät aus VLAN -> fragt Firewall (VLAN Gateway)-> fragt AdGuard (Port53) -> fragt Upstrem DNS.
Den Upstream versteh ich nicht. Im AdGuard habe ich 127.0.0.1:5353 eingetragen (AdGuard läuft auf der OPNsense, Port53), damit möchte ich den lokalen Unbound nutzen der auf Port 5353 steht.
Als allgemeinen DNS Server habe ich in der OPNsene (SYSTEM: SETTINGS: GENERAL) die OPNsense IP als DNS eingetragen.
Scheinbar scheint die Kombi zu funktionieren, da Internet geht. Nslookup zeigt eben das Gateway des VLANs.
Scheint dies ein Weg zu sein?
Alternativ könnte ich aus jedem VLAN direkt die Firwall auf Port 53 ansprechen, was der AdGuard wäre und dieser leitet das dann weiter an Unbound Port 5353. Korrekt so?
Jepp, das ist alles korrekt so!
wow ;) hervorragend.
Vielleicht in dem Zusammenhang angeschlossen. Bind! Einsatz von Bind zusammen mit Unbound.
Ich möchte im Grunde eine interene Namens bzw. Domainauflösung aufbauen. Sprich gebe ich eine URL abcd.local oder xce.meinhome.home ein soll dieser aufgelöst werden.
Bisher meine ich verstanden zu haben, dass ich mit Bind entsprechend DNS Zonen aufbauen kann. Ich bräuchte wahrscheinlich nur eine interne in der mein NAS, Server etc. steht. Ist also eher ein minicase aber interessiert mich halt ;).
Vom Ablauf wäre es doch: Endgerät aus VLAN -> fragt Firewall (VLAN Gateway)-> fragt AdGuard (Port53) -> fragt Upstream DNS (Unbound) -> fragt Bind nach interner Auflösung - oder käme Bind vor dem Unbound?
In der Kette müsste ich doch Unbound beibringen quasi zu erkennen, warscheinlich anhand Muster *.home oder *.local, gehe in Richtung Bind und hole die IP. Also wer entscheided wie und wo ob interne URL oder extern.
Ich bin auf der Suche nach den richtigen Vokabeln mit den ich mich dazu auseinandersetzen muss.
Vielleicht in dem Zusammenhang angeschlossen. Bind! Einsatz von Bind zusammen mit Unbound.
Ich möchte im Grunde eine interene Namens bzw. Domainauflösung aufbauen. Sprich gebe ich eine URL abcd.local oder xce.meinhome.home ein soll dieser aufgelöst werden.
Bisher meine ich verstanden zu haben, dass ich mit Bind entsprechend DNS Zonen aufbauen kann. Ich bräuchte wahrscheinlich nur eine interne in der mein NAS, Server etc. steht. Ist also eher ein minicase aber interessiert mich halt ;).
Vom Ablauf wäre es doch: Endgerät aus VLAN -> fragt Firewall (VLAN Gateway)-> fragt AdGuard (Port53) -> fragt Upstream DNS (Unbound) -> fragt Bind nach interner Auflösung - oder käme Bind vor dem Unbound?
In der Kette müsste ich doch Unbound beibringen quasi zu erkennen, warscheinlich anhand Muster *.home oder *.local, gehe in Richtung Bind und hole die IP. Also wer entscheided wie und wo ob interne URL oder extern.
Ich bin auf der Suche nach den richtigen Vokabeln mit den ich mich dazu auseinandersetzen muss.
Sprich gebe ich eine URL abcd.local
Oha...bitte niemals diese TLD, denn das triggert hier wieder böse Diskussionen:Hinweise zur Verwendung der Domäne .local in DNS und mDNS
.local ist also Tabu aber mit den anderen TLDs klappt das so wie du sagst.
ok, ich hab das Thema überflogen. .local nutze ich nicht. Ich bin mit internaldomain.home unterwegs.
Da ein neues THema noch nicht lohnt vielleicht hier noch kurz eine Frage:
Ich habe mein System soweit einrichten können, dass ich z.B.: mein NAS, meine OPNsense und einen weiteren server per Namen auflösen kann. Sprich nslookup wirft mir zum Namen mit oder ohne Domain die richtige IP. Soweit so gut. Ich meine ich habe das im Unbound mittels host overrides realisiert.
Was mir jetzt noch fehlt ist eine Auflösung per https im Browser. Wenn ich hier nas.internaldomain.home eingeben (mit oder ohne https) erreiche ich immer eine Google search, was mir im Grunde sagt, dass nicht local geschaut wird. Wo muss ich da nachschauen oder was muss ich einrichten? Benötige ich doch DNS Zones? Ein Stichwort zum weiter einarbeiten?
Evtl. spielt hier die AdGuard config ebenfalls eine Rolle?
Danke euch...
Da ein neues THema noch nicht lohnt vielleicht hier noch kurz eine Frage:
Ich habe mein System soweit einrichten können, dass ich z.B.: mein NAS, meine OPNsense und einen weiteren server per Namen auflösen kann. Sprich nslookup wirft mir zum Namen mit oder ohne Domain die richtige IP. Soweit so gut. Ich meine ich habe das im Unbound mittels host overrides realisiert.
Was mir jetzt noch fehlt ist eine Auflösung per https im Browser. Wenn ich hier nas.internaldomain.home eingeben (mit oder ohne https) erreiche ich immer eine Google search, was mir im Grunde sagt, dass nicht local geschaut wird. Wo muss ich da nachschauen oder was muss ich einrichten? Benötige ich doch DNS Zones? Ein Stichwort zum weiter einarbeiten?
Evtl. spielt hier die AdGuard config ebenfalls eine Rolle?
Danke euch...
Welcher Browser?? Wenn normal nas.internaldomain.home bei dir aufgelöst wird ist es doch völlig egal welche Anwendung man nutzt denn dahinter ist ja immer nur die reine DNS Auflösung. Ein Browser macht das nicht anders als andere Apps oder Kommandos.
Einige Browser nutzen in den allerneuesten Versionen aber hartgecodete DoH oder DoT DNS Server und umgehen damit dein lokales DNS Setup. Wenn du so einen Browser nutzt musst du das dann deaktivieren. Sinnvoll wäre gewesen du hättest dir das einemal mit dem kostenlosen Wireshark Sniffer angesehen, dann wäre deine Frage OHNE Rumraterei schon längst beantwortet gewesen!!
Einige Browser nutzen in den allerneuesten Versionen aber hartgecodete DoH oder DoT DNS Server und umgehen damit dein lokales DNS Setup. Wenn du so einen Browser nutzt musst du das dann deaktivieren. Sinnvoll wäre gewesen du hättest dir das einemal mit dem kostenlosen Wireshark Sniffer angesehen, dann wäre deine Frage OHNE Rumraterei schon längst beantwortet gewesen!!
Hallo aqui, ich habe auf dich gehofft ;).
Die Sache mit dem Browser habe ich mir auch gedacht. Ich habe die Herausforderung mittlerweile gemeistert. Ich gehe davon aus, dass im AdGuard kein internal DNS eingetragen war. Hier habe ich ebenfalls die OPNsense IP eingetragen. Hinzukommt, dass ich status und ip4 mapping im Unbound mal deaktiviert und wieder aktiviert habe. Nach einem reboot lief alles super.
Die Sache mit dem Browser habe ich mir auch gedacht. Ich habe die Herausforderung mittlerweile gemeistert. Ich gehe davon aus, dass im AdGuard kein internal DNS eingetragen war. Hier habe ich ebenfalls die OPNsense IP eingetragen. Hinzukommt, dass ich status und ip4 mapping im Unbound mal deaktiviert und wieder aktiviert habe. Nach einem reboot lief alles super.
