12
Wie wäre die Optimalste DNS Server Reihenfolge?
Guten Abend Leutchen 
Ich bin am überlegen wie die Richtige Reihenfolge für DNS Auflösung in meinem Netzwerk wäre.
Also kurz zum Aufbau:
Fritzbox 172.16.0.1 -> Opnsense VM 172.16.0.2 -> VLAN 10 Server 172.16.10.0/24 -> Adguard VM im Vlan 10 172.16.10.10 -> Endgeräte
Also Ich habe es so eingestellt:
Die Fritzbox nutzt als DNS Server von Kabeldeutschland.
In der Opnsense ist unter Einstellungen -> Allgemein der DNS Server 172.16.0.1 also die Fritzbox eingetragen.
Der DHCP Server der jeweiligen VLAN Netze gibt als DNS Server den Adguard an 172.16.10.10.
Im Adguard habe ich als Upstream-DNS-Server die Fritzbox 172.16.0.1 , als Bootstrap DNS-Server die Fritzbox 172.16.0.1 und als Private inverse DNS-Server die Opnsense 172.16.10.1 für die interne Namens Auflösung. Weil die Opnsense ja DHCP macht und ja die Geräte kennt.
Ist das Korrekt oder habe ich hier einen Denkfehler ? Oder doch anders bauen?
LG Nico
Ich bin am überlegen wie die Richtige Reihenfolge für DNS Auflösung in meinem Netzwerk wäre.
Also kurz zum Aufbau:
Fritzbox 172.16.0.1 -> Opnsense VM 172.16.0.2 -> VLAN 10 Server 172.16.10.0/24 -> Adguard VM im Vlan 10 172.16.10.10 -> Endgeräte
Also Ich habe es so eingestellt:
Die Fritzbox nutzt als DNS Server von Kabeldeutschland.
In der Opnsense ist unter Einstellungen -> Allgemein der DNS Server 172.16.0.1 also die Fritzbox eingetragen.
Der DHCP Server der jeweiligen VLAN Netze gibt als DNS Server den Adguard an 172.16.10.10.
Im Adguard habe ich als Upstream-DNS-Server die Fritzbox 172.16.0.1 , als Bootstrap DNS-Server die Fritzbox 172.16.0.1 und als Private inverse DNS-Server die Opnsense 172.16.10.1 für die interne Namens Auflösung. Weil die Opnsense ja DHCP macht und ja die Geräte kennt.
Ist das Korrekt oder habe ich hier einen Denkfehler ? Oder doch anders bauen?
LG Nico
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3630121279
Url: https://administrator.de/contentid/3630121279
Ausgedruckt am: 24.11.2024 um 19:11 Uhr
12 Kommentare
Neuester Kommentar
Du hast mehrere Denkfehler.
Die Opnsense sollte alle Anfragen beantworten und einen Forward zum Adguard haben. Der Adguard löst z. B. zu 1.1.1.1 auf. Die Fritzbox kann DNS over TLS, daher könnte Adguard dort auch auflösen.
Die Opnsense sollte alle Anfragen beantworten und einen Forward zum Adguard haben. Der Adguard löst z. B. zu 1.1.1.1 auf. Die Fritzbox kann DNS over TLS, daher könnte Adguard dort auch auflösen.
Zitat von @2423392070:
Du hast mehrere Denkfehler.
Die Opnsense sollte alle Anfragen beantworten und einen Forward zum Adguard haben. Der Adguard löst z. B. zu 1.1.1.1 auf. Die Fritzbox kann DNS over TLS, daher könnte Adguard dort auch auflösen.
Du hast mehrere Denkfehler.
Die Opnsense sollte alle Anfragen beantworten und einen Forward zum Adguard haben. Der Adguard löst z. B. zu 1.1.1.1 auf. Die Fritzbox kann DNS over TLS, daher könnte Adguard dort auch auflösen.
Hallo,
das ist auch wieder ein Denkfehler, wenn ich am Adguard auswerten will, welcher Client welche Requests macht, dann muss der Adguard direkt als DNS der First Responder sein, ansonsten wird es mit der Auswertung bescheiden....
1
Stimmt, dann nehme ich den der der schlechtes dns Server bzw Forwarder ist und auch das DHCP nicht macht.
Last euch mal wegen den vielen Denkfehlern behandeln 😄. Ein single instance unbound erledigt das alles in einem da braucht man nicht x Server und forwarder was das ganze eh nur langsamer macht ... 🖖
Danach wurde aber nicht gefragt.
@godlie
Gruß,
Dani
das ist auch wieder ein Denkfehler, wenn ich am Adguard auswerten will, welcher Client welche Requests macht, dann muss der Adguard direkt als DNS der First Responder sein, ansonsten wird es mit der Auswertung bescheiden....
das ist so nicht richtig. Wenn der/die DNS-Server hinter AdGuard EDNS unterstützt ist das auch weiterhin problemlos möglich.Gruß,
Dani
Hm also das bringt mich jetzt noch nicht so richtig weiter was nun das richtige Vorgehen ist
Hi,
was willst du denn eigentlich machen, einfach nur ein paar Clients ins Netz bringen und Werbung blockieren?
Dann gib jedem als primären DNS Adguard und leite von dem weiter ins Internet zu 1.1.1.1 oder sowas.
Intern zwischen mehreren DNS Servern weiterzuleiten sollte schon einen gewissen Grund haben, warum genau machst du das denn?
Gruß
Drohnald
was willst du denn eigentlich machen, einfach nur ein paar Clients ins Netz bringen und Werbung blockieren?
Dann gib jedem als primären DNS Adguard und leite von dem weiter ins Internet zu 1.1.1.1 oder sowas.
Intern zwischen mehreren DNS Servern weiterzuleiten sollte schon einen gewissen Grund haben, warum genau machst du das denn?
Gruß
Drohnald
Also was richtig funktionieren soll ist das die interne Namensauflösung klappt sowie das komplette Filtern und Blocken der Werbung . Wie wäre der richtige Werdegang denn .
Clients bezogen die DNS ip über DHCP vom Adguard . Dieser löst nach extern z.b. zu 1.1.1.1 auf . Und intern zur Opnsense auf ?
Wäre das so richtig ?
Welcher Server müsste denn in der Opnsens unter allgemein eingetragen werden ? Die Fritzbox oder auch ein öffentlicher DNS Server
Clients bezogen die DNS ip über DHCP vom Adguard . Dieser löst nach extern z.b. zu 1.1.1.1 auf . Und intern zur Opnsense auf ?
Wäre das so richtig ?
Welcher Server müsste denn in der Opnsens unter allgemein eingetragen werden ? Die Fritzbox oder auch ein öffentlicher DNS Server
Clients bezogen die DNS ip über DHCP vom Adguard . Dieser löst nach extern z.b. zu 1.1.1.1 auf
RichtigUnd intern zur Opnsense auf
warum? AdGuard ist doch schon ein DNS Server der deine interne Namensauflösung machen kannWelcher Server müsste denn in der Opnsens unter allgemein eingetragen werden ? Die Fritzbox oder auch ein öffentlicher DNS Server
Ich würde intern allen Geräten den gleichen DNS geben, damit die sich dort mit Namen anmelden.Zitat von @Drohnald:
Clients bezogen die DNS ip über DHCP vom Adguard . Dieser löst nach extern z.b. zu 1.1.1.1 auf
RichtigOk gut mache ich so.
Und intern zur Opnsense auf
warum? AdGuard ist doch schon ein DNS Server der deine interne Namensauflösung machen kannIch dachte weil die Sense die Clients kennt und somit die Auflösung dann übernimmt für intern.
Welcher Server müsste denn in der Opnsens unter allgemein eingetragen werden ? Die Fritzbox oder auch ein öffentlicher DNS Server
Ich würde intern allen Geräten den gleichen DNS geben, damit die sich dort mit Namen anmelden.Also Unter Einstellung Allgemein auch den Adguard eintragen ?
Ich dachte weil die Sense die Clients kennt und somit die Auflösung dann übernimmt für intern.
Der DNS kennt auch alle Clients, zumindest mit Name und IP, das macht der DNS schließlich.Wenn du auch die MAC Adressen kennen willst, z.b. für Filtern von bestimmten Geräten, dann sollte der AdGuard auch DHCP machen
Also Unter Einstellung Allgemein auch den Adguard eintragen ?
Genau, dann kannst du deine Fritze und Opnsense auch per DNS intern ansprechen.In der OPNsense würde ich den DNS auch weiter laufen lassen und als secondary DNS nutzen, dann darf der adguard auch mal ausfallen. Filtert zwar keine Werbung, aber immerhin ist noch Internet erreichbar.
