Hallo,
gibt es einen Weg Bind und DNS over TLS (unbound) gleichzeitig zu verwenden?
Ich habe es über DNScrypt schon versucht aber das hat leider nicht funktioniert.
Ich wünsche euch noch einen schönen 4. Advent.
Gruß
PaoPao
Bind unterstützt es nativ leider nicht. Was war das Problem bei dnscrypt?
Ich habe es leider mit keinen DNS Server zum Laufen gebracht und ich habe irgendwann aufgegeben.
Ausserdem ist es "nur" DNScrypt.
Das liegt aber nicht am Plugin ;)
DoH kann es doch auch ...
Mit DoH kann man auch leben :)
Es liegt bestimmt an meiner Konfig.
Gibt es vielleicht ein Tutorial für Bind & dnscrypt?
Dann würde ich noch einen Anlauf starten.
Firewall - Virtual IPs .. Alias hinzufügen mit Interface Localhost und IP 127.0.0.8/8
In DNSCrypt den Haken bei Allow Privileged Ports rein und dann bei Listen 127.0.0.8:53
Dann im BIND als Forwarder 127.0.0.8 ... das wars ..
Vielen Dank für den Tipp.
Wie sieht es mit dem Service Unbound DNS?
Wird der Service disabled?
Brauchst du ihn?
Nein wenn es ohne ihn geht ist das auch OK.
Muss in System - Settings - Generall ein DNS Server eingetragen werden?
Ich habe jetzt einmal einen DNS Server eingetragen mit WAN Gateway.
Es läuft aber Bind scheint nicht zu greifen. In den Logfiles ist nichts eingetragen.
Wenn es leer ist nimmt er localhost. Dann musst du Unbound stoppen und Bind auf Port 53 hören lassen
Leider klappt es nicht wie geplant.
Hier die Config:
(https://up.picr.de/34687332qa.jpg)
(https://up.picr.de/34687331zy.jpg)
(https://up.picr.de/34687365fn.jpg)
(https://up.picr.de/34687327qe.jpg)
(https://up.picr.de/34687328xn.jpg)
Bei der acl fehlt 127.0.0.0/8
Wenn Unbound gestoppt ist sollte Bind auch auf die LAN IP hören
Vielen Dank für die Unterstützung!
"Wenn Unbound gestoppt ist sollte Bind auch auf die LAN IP hören"
Was meinst du damit?
Leider hat das Hinzufügen bei ACL nicht geholfen.
Benötigt man vielleicht noch den DNS Port Forward wie im BIND Turorial bei routerperformance genannt?
Also deine Clients im LAN bekommen doch die LAN IP deiner Firewall als DNS vergeben.
Wenn Unbound gestoppt ist, muss ja irgend ein DNS Server auf der LAN IP der Firewall auf Port 53 arbeiten, d.h. du solltest bei BIND die Listen Address auch die LAN IP der Firewall eintragen.
Den Portforward brauchst du nur wenn du Unbound zusätzlich betreiben willst ...
Leider noch keine Besserung obwohl ich jetzt die 192.168.1.1 bei Listen IPs eingetragen habe.
Log File:
GENERAL - relsover: info: resolver priming query complete
QUERIES - client@.....127.0.0.8#.....
Wo liegt der Fehler?
Sorry das ich euch so beschäftige.
Was sind das für Logs und was genau geht denn jetzt nicht
Die Loge sind aus dem BIND Plugin.
Es fehlt eine Verbindung zu einem DNS Server - es lassen sich keine Web Seiten aufrufen.
Kann es vielleicht daran liegen das ich 3 zusätzliche VPN Gateways im System habe?
2 Gateway sind in einer Gateway Group verwendet.
Muss man dabei evtl etwas bei den DNS einträgen beachten?
Im Wiki steht bei Multi WAN etwas in der Richtung.
Du solltest auf jeden Fall auf die Console und dich mit tcpdump vertraut machen. Dann alle interfaces nach port 53 abhorchen und dann siehst du relativ schnell woran es liegt.
Das setup ist zu speziell um sowas über Forum zu lösen
Dann werde ich mal in die Tiefen des CLI absteigen. :)
Danke für den Tipp!
Interessanterweise funktioniert Unbound mit Bind gut.
Auf der console "ifconfig" .. dann siehst du die Interface Namen und schaust welches welche IP hat.
Dann:
tcpdump -n -i interface port 53
Statt interface dann em0, igb0, hn0, je nachdem. Dann siehst du den Traffic. Wenn du z.B. nur eine Richtung siehst ist es entweder geblockt (in filter log schauen) oder es geht am falschen Interface wieder raus (z.B. ovpncX falls OpenVPN).
@mimugmail
Quote from: mimugmail on December 27, 2018, 10:46:42 AM
Firewall - Virtual IPs .. Alias hinzufügen mit Interface Localhost und IP 127.0.0.8/8
In DNSCrypt den Haken bei Allow Privileged Ports rein und dann bei Listen 127.0.0.8:53
Dann im BIND als Forwarder 127.0.0.8 ... das wars ..
Please can you help me,
I set VirtualIP
IPAlias, Loopback, 127.0.0.8 / 8,
--> ::8 / 128 (is this correct for ipv6) ??
When I set in dns-crypt
Allow Privileged Ports
and set [::8]:53 127.0.0.8:53
the service didn´t start and log -> " [FATAL] listen udp 127.0.0.8:53: bind: address already in use"
this is always, when I change VirtualIP to 127.0.0.9 also!
What I´m doing wrong??
Greets
Byte
You need to set Unbound to only listen to specific interfaces