OPNsense Forum
International Forums => German - Deutsch => Topic started by: mignon on April 05, 2021, 10:00:14 am
-
Hallo zusammen,
ich habe eine Opnsense 21.1 mit allen updates laufen.
Installiert ist Wireguard und IPsec für roadwarrior Einsatz.
Adguard lauscht auf dem Port 53 der Firewall und Unbound nimmt die Anfragen von Adguard entgegen auf dem Port 5353
Bei Wireguard Client und Ipsec Client ist jeweils die IP der Firewall als DNS Server angegeben. Erwartungshaltung ist also, dass diese via adguard beantwortet werden.
Nun kämpfe ich hier mit der Situation, dass die Clients keine DNS Auflösung hinbekommen. Gebe ich eine IP direkt im Browser ein, funktioniert es. Dies betrifft sowohl IPSec als auch WG.
Die Anfragen selbst kommen beim Adguard im Query Log an. Jedoch scheinen die Antworten nicht zurückzukommen...?
Rules sind Net to Any
und jeweils eine NAT Rule über WAN to Any.
Danke vorab für Unterstützung!
-
Muss man die verschiedenen Netze in AdGuardHome freigeben? Geht's denn wenn Unbound auf dem Port lauscht?
-
In Adguard Home wüsste ich nicht wo. Die Anfragen kommen auch an und werden laut Query-Log aufgelöst.
Client ist dann hier korrekterweise die WG bzw. IPSEC IP.
Stelle ich den Unbound auf Port 53 und den den Adguard home ab - funktioniert es auch einwandfrei.
Es scheint daher tatsächlich das Problem zu sein:
WG/IPSEC Client ----> DNS Anfrage an Adguard Home auf :53 ----> Weiterleitung DNS Anfrage Unbound auf :5353
Funktionierend:
WG/IPSEC Client ----> DNS Anfrage Unbound auf :53
-
Hast Du mal das Live Log der Firewall angeguckt, ob die Antworten evtl. doch blockiert werden?
-
Ja, hatte ich geprüft jedoch nichts gefunden.
Ich habe jetzt die Opnsense in dem im Posting 1 beschriebenen Setting gelassen.
Also Adguard auf 53 mit Forward Query auf localhost:5353 (Unbound) und parallel einen weiteren Adguard installiert (per Docker in einer Synology), der auch auf die Firewall 5353 zeigt.
In IPSEC und WG habe ich die IP als DNS von der Synology angegeben und es wird auch der Adguard von dort für die VPN Clients benutzt mit Upstream Firewall 5343 -> Funktioniert.
Ergo ist das Problem nur lokal bei mir nachstellbar in der Konstellation Posting#1
-
Bist du hier weitergekommen? Habe das gleiche Problem
-
Hallo,
ich nutze die selbe Konstellation ( AdGuard + Unbound auf OPNsense ) und bekomme auch per WireGuard keine DNS-Auflösung.
Ich sehe aber auch im Firewalllog keinerlei Anfragen reinkommen. Direkt IP zu den Server-IP in meinem Netz funktionier problemlos, also Verbindung ins LAN ist vorhanden.
AdGuard hat auch das VPN-Netz eingebunden, das ging automatisch.
Kleiner Tip: Setze Port von Unbound nicht auf 5353 sondern lieber auf 53053, da 5353 wohl noch voneinem anderen Dienst benutzt wird - ich bekomms nur nicht mehr zusammen, was das war.
Tip hat mir jemand hier aus dem Forum gegeben.
-
Hi,
ich frage mich, ob der Adguard vor dem Wireguard startet und das Interface nicht da ist ...
Was nehmt ihr denn für eine IP der Firewall um Adguard Home anzusprechen? Eine aus dem Wireguard Netz oder eine aus dem LAN/internes Netz? Sind irgendwelche Regeln im Weg?
Ich habe bei mir Adguard Home in ein eigenes VLAN verbannt, d.h. er läuft nur auf diesem Interface, und Regeln eingerichtet, dass er per DNS/DoH/DoT und DoQ erreicht werden kann. Und es klappt aus dem WireGuard VPN problemlos. Nachteil ist halt, dass ich für jedes (V)LAN im DHCP und in den Router Advertisments die IP des DNS-Servers anpassen muss.
Und warum man Port 5353 UDP nicht nehmen sollte: Der wird für mDNS Broadcast (Bonjour, ZeroConfig, AVAHI und wie sie alle heißen) verwendet. Falls man mal Apple Airplay bzw. Chromecast über Netzwerkgrenzen betreiben will sollte dieser Port dafür frei sein.
Gruß
KH
-
127.0.0.1:5353 - und dann auf jedem Interface, wo der benutzt werden soll, eine NAT-Port-Forwarding-Rule ...
-
WireGuard läuft bei mir ohne das ich speziell was einstellen musste. IPSec leider nicht.
127.0.0.1:5353 - und dann auf jedem Interface, wo der benutzt werden soll, eine NAT-Port-Forwarding-Rule ...
Welche NAT rule meinst du hier? Könntest du mir ein Beispiel geben?
-
Na, du lässt AGH auf 127.0.0.1:5353 lauschen und wenn die Systeme an LAN den nutzen sollen, machst du auf LAN
Port 53
TCP und UDP
Redirect target: 127.0.0.1:5353
Associated filter rule: Pass
-
Hat den Fehler bei mir gefunden, war sowas von banal:
ich hatte im WireGuard-Client noch einen alten DNS-Server eingetragen ( PiHole ) den ich aber derzeit nicht nutze. IP auf die VPN-Gatewayadresse geändert, schon läuft es, interne wie externe DNS-Auflösungen gehen wunderbar.
Brauche kein NAT-Regel usw. dafür.
Adguard - Port 53
UnBound - Port 53053
-
Wireguard läuft bei mir auch. Nur ipsec nicht. ich seh zwar das die Anfragen kommen aber scheinbar kommen sie zum externen Client der per ipsec verbunden ist nicht zurück.
-
Das mit der NAT RULE ist auch bissl blöd weil ich das für jedes Interface anlegen müsste. Da muss es doch eine andere Möglichkeit geben :(