OpnSense Unbound DNS Query Forwarding

Mitglied: it-fraggle
Hallo zusammen,

bin gerade dabei die Endian Firewall gegen eine OPNSense auszutauschen. Nun habe ich das Problem, dass bei Unbound DNS Query Forwarding keine "verünftigen" Anworten vom eigentlichen NS im Haus (Bind) kommen. Habe auch schon DNSMasq versucht, was zum gleichen Ergebnis führt.

Frage ich den Bind direkt ab, so erhalte ich folgendes:

Frage ich die OPNSense ab, so bekomme ich:

Das schaut mir wie eine halbe Antwort aus. Unter "Served by" geht der korrekte FQDN des NS, der die Antwort liefern sollte. Darunter dann nur noch die Domain und Ende. Kann mir da mal jemand über den Graben helfen?

Content-Key: 1275313857

Url: https://administrator.de/contentid/1275313857

Ausgedruckt am: 26.10.2021 um 19:10 Uhr

Mitglied: lcer00
lcer00 18.09.2021 um 10:16:03 Uhr
Goto Top
Hallo,

das klingt, als ob die queries nicht weitergeleitet werden und unbound Dir nur mitteilt, wo du fragen kannst.

https://docs.opnsense.org/manual/unbound.html

Grüße

lcer
Mitglied: aqui
aqui 18.09.2021 um 10:46:52 Uhr
Goto Top
Bei der pfSense wird das so richtig eingestellt !
https://administrator.de/forum/pfsense-web-de-aktiver-scheunentor-regel- ...
Das dürfte bei der OPNsense im Setup identisch sein.
Mitglied: colinardo
colinardo 18.09.2021 aktualisiert um 17:37:16 Uhr
Goto Top
Servus @it-fraggle .

Zitat von @it-fraggle:
dass bei Unbound DNS Query Forwarding keine "verünftigen" Anworten vom eigentlichen NS im Haus (Bind) kommen. Habe auch schon DNSMasq versucht, was zum gleichen Ergebnis führt.
Das schaut mir wie eine halbe Antwort aus. Unter "Served by" geht der korrekte FQDN des NS, der die Antwort liefern sollte. Darunter dann nur noch die Domain und Ende. Kann mir da mal jemand über den Graben helfen?

OK dann prüfe doch bitte folgendes nacheinander:

  • Prüfen ob Forwarding Mode eingeschaltet ist:
screenshot

  • Prüfen ob die Buffers nicht auf 0 stehen, da unbound sonst kein Forwarding macht.
screenshot

  • Prüfen ob die Access-List auch Forwarding-Anfragen an den DNS Server erlaubt.
screenshot

  • Das selbe einen Eintrag weiter unten in der Block-List prüfen
  • Ist DoH aktiviert?
  • Hast du bis hierhin noch kein Erfolg, aktiviere mal das detaillierte Logging und mach erneut eine Anfrage und checke das Log:
screenshot

  • Bringt das auch keine Erkenntnisse, häng dich doch bitte mal mit TCPDump an den DNSServer und schau ob die OPNSense überhaupt Anfragen an den Bind übermittelt, und wenn ja wie die Anfragen und evt. auch die Antworten an die OPNSense aussehen => Wireshark trace dann bitte hier posten.

Grüße Uwe
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server11 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Netzwerktool mit IP-SettingsServer2503Vor 1 TagFrageNetzwerkmanagement4 Kommentare

Hallo zusammen, ich meine aus meiner Schulzeit zu wissen, dass es ein Tool gibt, mit dem ich ein Netzwerkplan (Clients, Switches, Router etc.) samt IP-Einstellungen ...