7
Unbound - AdGuard - DoT - Client Namenauflösung
Hallo Community,
eine kurze Frage zur Config einer DNS Strecke. Aktuell verwende ich (auch Dank euerer Hilfe) folgendes Szenario:
Mein Ziel war es interne Anfragen nicht über den AdGuard zu spielen sondern direkt von der Sense bzw. Unbound beantworten zu lassen. Nun stehe ich aber vor der Herausforund, dass beim AdGuard natürlich nur Anfragen von einer IP bzw. Host nämlich der OPNsense landen. Gibt es eine Einstellung mit der ich die originale IP Addresse des Clients durchreichen / auslesen kann um auch in AdGuard eine Auswertung auf CLientebene auszuführen? Bisher hatte och mit den reverse resolver settings in AdGuard keinen Erfolg.
Danke euch!
eine kurze Frage zur Config einer DNS Strecke. Aktuell verwende ich (auch Dank euerer Hilfe) folgendes Szenario:
- Client fragt OPNsense - Unbound
- Ubound gibt antwort für interne Domain
- Externe Domain geht per DoT an AdGuard (auf OPNsense)
- AdGuard geht dann per DoT an unterschiedliche Anbieter
Mein Ziel war es interne Anfragen nicht über den AdGuard zu spielen sondern direkt von der Sense bzw. Unbound beantworten zu lassen. Nun stehe ich aber vor der Herausforund, dass beim AdGuard natürlich nur Anfragen von einer IP bzw. Host nämlich der OPNsense landen. Gibt es eine Einstellung mit der ich die originale IP Addresse des Clients durchreichen / auslesen kann um auch in AdGuard eine Auswertung auf CLientebene auszuführen? Bisher hatte och mit den reverse resolver settings in AdGuard keinen Erfolg.
Danke euch!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6026728136
Url: https://administrator.de/contentid/6026728136
Printed on: April 27, 2024 at 15:04 o'clock
7 Comments
Latest comment
Moin,
Gruß,
Dani
Nun stehe ich aber vor der Herausforund, dass beim AdGuard natürlich nur Anfragen von einer IP bzw. Host nämlich der OPNsense landen.
das das Standverhalten, wenn alle Beteiligten die RFCs einhalten. Damit AdGuard die IP-Adressen deiner Clients sehen, muss Unbound DNS die Option EDNS Client Subnetz (ECS) unterstützen. Ob dem so ist, muss du prüfen.Gruß,
Dani
1
Darf man fragen, wofür so ein gestaffeltes Setup gut sein soll?
1
wie genau habe ich den Satz zu verstehen: Unbound DNS die Option EDNS Client Subnetz (ECS) unterstützen?
Habe noch nichts finden können was mir sagt, wie ich das in OPNsense direkt oder ggf. auch direkt per terminal in unbound aktivieren kann. Unbound scheint es aber zu unterstützen.
Die Idee für dieses Setup kam einfacher daher, dass ich der Meinung bin, dass ich es gut finde, wenn ich alle meinen privaten internen Anfragen an meine internen Services auch in meinem Netz behalte. Bei der vorherigen Config war ich mir da nicht so sicher. Zu mal die auch eigentlich etwas blöd war.
Der Weg war Client -> Unbound -> AdGuard -> Unbound für DoT -> www
Also im Grunde von AdGuard wieder zurück.
Habe noch nichts finden können was mir sagt, wie ich das in OPNsense direkt oder ggf. auch direkt per terminal in unbound aktivieren kann. Unbound scheint es aber zu unterstützen.
Die Idee für dieses Setup kam einfacher daher, dass ich der Meinung bin, dass ich es gut finde, wenn ich alle meinen privaten internen Anfragen an meine internen Services auch in meinem Netz behalte. Bei der vorherigen Config war ich mir da nicht so sicher. Zu mal die auch eigentlich etwas blöd war.
Der Weg war Client -> Unbound -> AdGuard -> Unbound für DoT -> www
Also im Grunde von AdGuard wieder zurück.
Die Idee für dieses Setup kam einfacher daher, dass ich der Meinung bin, dass ich es gut finde, wenn ich alle meinen privaten internen Anfragen an meine internen Services auch in meinem Netz behalte.
Hm, mal davon abgesehen, dass die Privatssphäre ja Sinn und Zweck eines (lokalen) Adguard-Servers wäre, verstehe ich den Hype darum nicht so richtig. Die 2-3 lokalen IP-Adresse kann man doch auch direkt eingeben, dann umgeht man das DNS-Thema komplett?!Grunddevise sollte doch sein "so kompliziert wie nötig" ... nicht "so kompliziert wie möglich"! Alleine schon wegen der Latenzen.
Üblich wäre doch daher beim Einsatz vom adguard, diesen einfach in der OPNsense unter "Services > DHCP4 > entspr. Interface > als DNS-Server zu hinterlegen?! Oder verstehe ich das falsch?!
Dann läuft natürlich alles über den adguard und Du bekommst die Clients aufgeschlüsselt.
Oder Du siehst Dir mal genauer den Unbound an. Der hat ja selber schon Filterlisten zum anklicken. Ich habe mir zusätzlich Aliase mit den "üblichen" Adguard-Default, -DNS, OISD, DanPollocks, FireHOL 2,3, Peter Lowe, Spamhaus drop, -edrop, -v6drop, Steven Black usw. erstellt und die einfach auf der Firewall geblockt.
Was Du da aber vermutlich nicht so schön machen kannst, ist es die Clients ggfs. freizugeben.
Im Grunde gebe ich dir da Recht so ist auch mein Verständnis. Dennoch möchte ich AdGuard lediglich als DNS Blocker und naja jetzt auch als letzten internen Punkt zum bösen Internet nutzen.
Mit den Rules ist ein Interessanter Ansatz. Da nutze ich zur Zeit Spamhaus und Geoblocking Listen.
Mit den Rules ist ein Interessanter Ansatz. Da nutze ich zur Zeit Spamhaus und Geoblocking Listen.
Da nutze ich zur Zeit Spamhaus und Geoblocking Listen.
Genau, die laufen bei mir auch und ich bin hier noch über Firehol gestolpert und habe in dem Kontext noch einiges in Aliasen zusammengefasst.https://forum.opnsense.org/index.php?topic=17596.msg79920#msg79920
Moin all.
@netzer2021
@Visucius
Gruß,
Dani
@netzer2021
wie genau habe ich den Satz zu verstehen: Unbound DNS die Option EDNS Client Subnetz (ECS) unterstützen?
Es ist eine Konfiguration für den Unbound DNS. Unbound with ECS and DNSSEC. Ob dieses Flag bei der Implementierung von OPNsense gesetzt ist, weiß ich ad-hoc nicht und kann gerade auch nicht nachsehen.Der Weg war Client -> Unbound -> AdGuard -> Unbound für DoT -> www
Warum zwei Mal Unbound? AdGuard kann doch DoH/DoT. Spar die Ehrenrunde...Die Idee für dieses Setup kam einfacher daher, dass ich der Meinung bin, dass ich es gut finde, wenn ich alle meinen privaten internen Anfragen an meine internen Services auch in meinem Netz behalte.
Option B ist AdGuard (redundant) ins Internet zu stellen. Anfragen stellt die OPNsense über DoH. Das hat den großen Vorteil, dass die AdGuard App auf den mobilen Geräten auch außerhalb der bekannten WLANs funktionieren und uns weiterhin schützen. Wobei es für uns nicht relevant ist, welche IP-Adresse welche Seiten aufgerufen hat.@Visucius
Die 2-3 lokalen IP-Adresse kann man doch auch direkt eingeben, dann umgeht man das DNS-Thema komplett?!
Das hängt davon ab, was man für Endgeräte hat und wie bequem es sein soll. auf einem iPad tue mich mir schwer mit der HOSTS-Datei.Gruß,
Dani