raxxis990
Goto Top

Wie wäre die Optimalste DNS Server Reihenfolge?

Guten Abend Leutchen face-smile


Ich bin am überlegen wie die Richtige Reihenfolge für DNS Auflösung in meinem Netzwerk wäre.

Also kurz zum Aufbau:

Fritzbox 172.16.0.1 -> Opnsense VM 172.16.0.2 -> VLAN 10 Server 172.16.10.0/24 -> Adguard VM im Vlan 10 172.16.10.10 -> Endgeräte

Also Ich habe es so eingestellt:

Die Fritzbox nutzt als DNS Server von Kabeldeutschland.
In der Opnsense ist unter Einstellungen -> Allgemein der DNS Server 172.16.0.1 also die Fritzbox eingetragen.
Der DHCP Server der jeweiligen VLAN Netze gibt als DNS Server den Adguard an 172.16.10.10.

Im Adguard habe ich als Upstream-DNS-Server die Fritzbox 172.16.0.1 , als Bootstrap DNS-Server die Fritzbox 172.16.0.1 und als Private inverse DNS-Server die Opnsense 172.16.10.1 für die interne Namens Auflösung. Weil die Opnsense ja DHCP macht und ja die Geräte kennt.

Ist das Korrekt oder habe ich hier einen Denkfehler ? Oder doch anders bauen?


LG Nico

Content-Key: 3630121279

Url: https://administrator.de/contentid/3630121279

Ausgedruckt am: 24.09.2022 um 16:09 Uhr

Mitglied: unbelanglos
unbelanglos 12.08.2022 um 22:08:00 Uhr
Goto Top
Du hast mehrere Denkfehler.

Die Opnsense sollte alle Anfragen beantworten und einen Forward zum Adguard haben. Der Adguard löst z. B. zu 1.1.1.1 auf. Die Fritzbox kann DNS over TLS, daher könnte Adguard dort auch auflösen.
Mitglied: godlie
godlie 13.08.2022 um 01:33:14 Uhr
Goto Top
Zitat von @unbelanglos:

Du hast mehrere Denkfehler.

Die Opnsense sollte alle Anfragen beantworten und einen Forward zum Adguard haben. Der Adguard löst z. B. zu 1.1.1.1 auf. Die Fritzbox kann DNS over TLS, daher könnte Adguard dort auch auflösen.

Hallo,

das ist auch wieder ein Denkfehler, wenn ich am Adguard auswerten will, welcher Client welche Requests macht, dann muss der Adguard direkt als DNS der First Responder sein, ansonsten wird es mit der Auswertung bescheiden....
Mitglied: unbelanglos
unbelanglos 13.08.2022 um 08:09:22 Uhr
Goto Top
Stimmt, dann nehme ich den der der schlechtes dns Server bzw Forwarder ist und auch das DHCP nicht macht.
Mitglied: 3479126418
3479126418 13.08.2022 aktualisiert um 10:20:01 Uhr
Goto Top
Last euch mal wegen den vielen Denkfehlern behandeln 😄. Ein single instance unbound erledigt das alles in einem da braucht man nicht x Server und forwarder was das ganze eh nur langsamer macht ... 🖖
Mitglied: unbelanglos
unbelanglos 13.08.2022 um 15:10:08 Uhr
Goto Top
Danach wurde aber nicht gefragt.
Mitglied: Dani
Dani 13.08.2022 um 18:15:53 Uhr
Goto Top
@godlie
das ist auch wieder ein Denkfehler, wenn ich am Adguard auswerten will, welcher Client welche Requests macht, dann muss der Adguard direkt als DNS der First Responder sein, ansonsten wird es mit der Auswertung bescheiden....
das ist so nicht richtig. Wenn der/die DNS-Server hinter AdGuard EDNS unterstützt ist das auch weiterhin problemlos möglich.


Gruß,
Dani
Mitglied: raxxis990
raxxis990 14.08.2022 um 00:55:08 Uhr
Goto Top
Hm also das bringt mich jetzt noch nicht so richtig weiter was nun das richtige Vorgehen ist
Mitglied: Drohnald
Drohnald 14.08.2022 um 09:50:04 Uhr
Goto Top
Hi,

was willst du denn eigentlich machen, einfach nur ein paar Clients ins Netz bringen und Werbung blockieren?
Dann gib jedem als primären DNS Adguard und leite von dem weiter ins Internet zu 1.1.1.1 oder sowas.

Intern zwischen mehreren DNS Servern weiterzuleiten sollte schon einen gewissen Grund haben, warum genau machst du das denn?

Gruß
Drohnald
Mitglied: raxxis990
raxxis990 14.08.2022 um 14:55:08 Uhr
Goto Top
Also was richtig funktionieren soll ist das die interne Namensauflösung klappt sowie das komplette Filtern und Blocken der Werbung . Wie wäre der richtige Werdegang denn .

Clients bezogen die DNS ip über DHCP vom Adguard . Dieser löst nach extern z.b. zu 1.1.1.1 auf . Und intern zur Opnsense auf ?

Wäre das so richtig ?

Welcher Server müsste denn in der Opnsens unter allgemein eingetragen werden ? Die Fritzbox oder auch ein öffentlicher DNS Server
Mitglied: Drohnald
Drohnald 14.08.2022 um 16:36:11 Uhr
Goto Top
Clients bezogen die DNS ip über DHCP vom Adguard . Dieser löst nach extern z.b. zu 1.1.1.1 auf
Richtig

Und intern zur Opnsense auf
warum? AdGuard ist doch schon ein DNS Server der deine interne Namensauflösung machen kann

Welcher Server müsste denn in der Opnsens unter allgemein eingetragen werden ? Die Fritzbox oder auch ein öffentlicher DNS Server
Ich würde intern allen Geräten den gleichen DNS geben, damit die sich dort mit Namen anmelden.
Mitglied: raxxis990
raxxis990 14.08.2022 um 16:50:24 Uhr
Goto Top
Zitat von @Drohnald:

Clients bezogen die DNS ip über DHCP vom Adguard . Dieser löst nach extern z.b. zu 1.1.1.1 auf
Richtig

Ok gut mache ich so.

Und intern zur Opnsense auf
warum? AdGuard ist doch schon ein DNS Server der deine interne Namensauflösung machen kann

Ich dachte weil die Sense die Clients kennt und somit die Auflösung dann übernimmt für intern.


Welcher Server müsste denn in der Opnsens unter allgemein eingetragen werden ? Die Fritzbox oder auch ein öffentlicher DNS Server
Ich würde intern allen Geräten den gleichen DNS geben, damit die sich dort mit Namen anmelden.


Also Unter Einstellung Allgemein auch den Adguard eintragen ?
Mitglied: Drohnald
Drohnald 14.08.2022 um 17:36:13 Uhr
Goto Top
Ich dachte weil die Sense die Clients kennt und somit die Auflösung dann übernimmt für intern.
Der DNS kennt auch alle Clients, zumindest mit Name und IP, das macht der DNS schließlich.
Wenn du auch die MAC Adressen kennen willst, z.b. für Filtern von bestimmten Geräten, dann sollte der AdGuard auch DHCP machen

Also Unter Einstellung Allgemein auch den Adguard eintragen ?
Genau, dann kannst du deine Fritze und Opnsense auch per DNS intern ansprechen.
In der OPNsense würde ich den DNS auch weiter laufen lassen und als secondary DNS nutzen, dann darf der adguard auch mal ausfallen. Filtert zwar keine Werbung, aber immerhin ist noch Internet erreichbar.