it-fraggle
17.09.2021, aktualisiert um 21:18:16 Uhr
view13359
view3
0
Goto Top

OpnSense Unbound DNS Query Forwarding

FrageNetzwerkeDNS
Hallo zusammen,

bin gerade dabei die Endian Firewall gegen eine OPNSense auszutauschen. Nun habe ich das Problem, dass bei Unbound DNS Query Forwarding keine "verünftigen" Anworten vom eigentlichen NS im Haus (Bind) kommen. Habe auch schon DNSMasq versucht, was zum gleichen Ergebnis führt.

Frage ich den Bind direkt ab, so erhalte ich folgendes:
C:\Users\fraggle>nslookup mail.XXXXXXX.de 192.168.2.34
Server:  XXXX
Address:  192.168.2.34

Name:    mail.XXXXXXXXX.de
Address:  192.168.2.99

Frage ich die OPNSense ab, so bekomme ich:
C:\Users\fraggle>nslookup mail.XXXXXXX.de
Server:  YYYYYYYY
Address:  192.168.88.1

Name:    mail.XXXXXXXXX.de
Served by:
- XYXYXYXYXYXYX

          XXXXXXXX.de

Das schaut mir wie eine halbe Antwort aus. Unter "Served by" geht der korrekte FQDN des NS, der die Antwort liefern sollte. Darunter dann nur noch die Domain und Ende. Kann mir da mal jemand über den Graben helfen?
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1275313857

Url: https://administrator.de/contentid/1275313857

Ausgedruckt am: 23.11.2024 um 12:11 Uhr

3 Kommentare
Neuester Kommentar
Goto Top
lcer00
lcer00 18.09.2021 um 10:16:03 Uhr
Goto Top
Hallo,

das klingt, als ob die queries nicht weitergeleitet werden und unbound Dir nur mitteilt, wo du fragen kannst.

https://docs.opnsense.org/manual/unbound.html
 DNS Query Forwarding

Grüße

lcer
aqui
aqui 18.09.2021 um 10:46:52 Uhr
Goto Top
Bei der pfSense wird das so richtig eingestellt !
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Das dürfte bei der OPNsense im Setup identisch sein.
colinardo
colinardo 18.09.2021 aktualisiert um 17:37:16 Uhr
Goto Top
Servus @it-fraggle .

Zitat von @it-fraggle:
dass bei Unbound DNS Query Forwarding keine "verünftigen" Anworten vom eigentlichen NS im Haus (Bind) kommen. Habe auch schon DNSMasq versucht, was zum gleichen Ergebnis führt.
Das schaut mir wie eine halbe Antwort aus. Unter "Served by" geht der korrekte FQDN des NS, der die Antwort liefern sollte. Darunter dann nur noch die Domain und Ende. Kann mir da mal jemand über den Graben helfen?

OK dann prüfe doch bitte folgendes nacheinander:

  • Prüfen ob Forwarding Mode eingeschaltet ist:
screenshot

  • Prüfen ob die Buffers nicht auf 0 stehen, da unbound sonst kein Forwarding macht.
screenshot

  • Prüfen ob die Access-List auch Forwarding-Anfragen an den DNS Server erlaubt.
screenshot

  • Das selbe einen Eintrag weiter unten in der Block-List prüfen
  • Ist DoH aktiviert?
  • Hast du bis hierhin noch kein Erfolg, aktiviere mal das detaillierte Logging und mach erneut eine Anfrage und checke das Log:
screenshot

  • Bringt das auch keine Erkenntnisse, häng dich doch bitte mal mit TCPDump an den DNSServer und schau ob die OPNSense überhaupt Anfragen an den Bind übermittelt, und wenn ja wie die Anfragen und evt. auch die Antworten an die OPNSense aussehen => Wireshark trace dann bitte hier posten.
tcpdump -i eth0 -w capture.cap port 53

Grüße Uwe
FrageNetzwerkeDNS
Mehr von it-fraggleit-fraggleAnhänge aus Mail autom. in Nextcloud speichernit-fraggle - 5 Kommentareit-fraggleSeltsames Problem mit pfSense OpenVPNit-fraggle - 5 Kommentareit-fraggleDovecot Mailquota Testmail zusendenit-fraggle - 4 Kommentareit-fraggleNextcloud Enterprise statt MS365?it-fraggle - 9 Kommentare
Heiß diskutiert
superfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 26 Kommentareuser217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 24 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 15 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentareUnluckyProccess1999Creo 4.0 Lizenz Server (LMTOOLS)UnluckyProccess1999 - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 KommentareDarkened1645Bildqualität der Windows Remotedesktop-Sitzung verbessernDarkened1645 - 11 KommentareZZaaiiggaaEDIFACT - Keins vorhanden ?ZZaaiiggaa - 11 Kommentare