Hallo zusammen,
ich bin aktuell dabei meine Netzwerke zu Hause von einem Lancom-Router auf die OPNsense mit MultiWAN umzubauen. Bisher habe ich lediglich zwei Subnets umgebaut, Hausautomation und Test.
Nach dem letzten Update auf 20.7.4 ist mir aufgefallen, dass mein Hausautomations-Netzwerk nicht mehr richtig läuft. Ursache war, dass die DNS-Auflösung auf der OPNsense nicht mehr funktioniert hat. Da diese DNS- und DHCP-Server für das Hausautomationsnetzwerk ist, ist es nur dort aufgefallen.
Zusätzlich haben dann auch ein Großteil meiner Firewall-Regeln nicht mehr funktioniert, da die Firewall-Aliase nicht aufgelöst werden konnten und damit die entsprechenden pfTables leer waren :-(.
Bedingt durch MultiWAN und den Unbound-DNS-Server sieht meine resolv.conf auf der OPNsense standardmäßig so aus:
root@OPNsense:~ # cat /etc/resolv.conf
domain opn.mydomain.com
nameserver 127.0.0.1
nameserver 192.168.8.1
nameserver 192.168.165.1
nameserver 8.8.8.8
nameserver 9.9.9.9
Wird die OPNsense-Installation neugestartet, sieht sie nur noch so aus:
root@OPNsense:~ # cat /etc/resolv.conf
# Generated by resolvconf
nameserver 10.0.4.2
Beheben kann ich das nur, indem ich in "Dienste: Unbound DNS: Allgemein" einmal speichere und die Änderungen anwende. Danach sieht die resolv.conf wieder so aus, wie im ersten Block.
Für mich stellen sich die folgenden Fragen:
- Warum wird die resolv.conf mit falschen Werten befüllt?
- Warum wird gerade diese IP-Adresse eingetragen? Das ist der DC meines Test-Netzwerkes.
- Gibt es eine Möglichkeit das Speichern/Anwenden von Unbound DNS zu automatisieren (als Workaround)
- Ist das ein Fehler oder habe ich was falsch konfiguriert?
Hier zum bessern Verständnis noch mein Netzaufbau (ohne Lancom-Router)
WAN / Internet WAN / Internet
: :
: Mobilfunk (Telekom) : /PPPoE/Telekom/VDSL 100
: :
.----+----------. .-----+----------.
| LTE-Gateway | | VDSL-Gateway | (Vigor 165)
'----+----------' '-----+----------'
| 192.168.8.1/24 | 192.168.165.1/24
| |
| Gatewaygruppe WANGWGroup |
\---------- ------------------------/
\/
192.168.8.104/24 || 192.168.165.11
Tier 2 || Tier 1
WANLTE (opt2,re3) || WAN (wan,re0)
||
.---------------::----------------------.
| OPNsense.opn.mydomain.com |
| 20.7.4-amd64 |
| CPU: i3-4130T 4x2,9 GHz |
| RAM/HDD: 8GB / 2x128 GB SSD Mirror |
'--------------:---------:--:-----------'
| re1| | re2
| \/
| ++--lagg0
| || |
| || | VLAN IP Subnet DHCPv4 OPT
10.0.1.253 | || +--- 20 Intra 10.0.2.253 10.0.2.0/24 off opt4
MGMT (lan,alc0) | || +--- 30 Gäste 10.0.3.253 10.0.3.0/24 off
10.0.1.0/24 | || +--- 40 Test 10.0.4.253 10.0.4.0/24 off opt3
| || +--- 41 WLAN intern 192.168.1.253 192.168.1.0/24 off
| || +--- 70 IoT 10.0.7.253 10.0.7.0/24 on opt1
| ||
| ||
| ||
| ||
.------------+------. ||
| LAN-Switch +---'|
| Unifi USW-48 +----'
'-----+-+-+-+-+-----'
| | | | |
| | | | '----... (Netzwerkdevices/Servers) VLAN 10 mgmt.mydomain.com
| | | |
| | | '------... (Clients/Servers) VLAN 20 intra.mydomain.com
| | |
| | '--------... (Clients) VLAN 30
| |
| '----------... (Clients/Servers) VLAN 40 test.mydomain.com
|
'------------... (IoT Devices) VLAN 70 han.mydomain.com
Aktivierte Dienste
- C-ICAP
- ClamAV
- DHCPv4
- Dynamisches DNS
- Unbound DNS
- Web-Proxy
+ http
+ https
+ transparent proxy
+ ICAP
+ Remote Access Lists
DHCPv4 auf Schnittstelle VLAN 70
- Subnetz 10.0.7.0
- Subnetzmakse 255.255.255.0
- Bereich 10.0.7.100 - 10.0.7.199
- DNS-Server 10.0.7.253 (OPNsense)
- Gateway 10.0.7.253 (OPNsense)
- Domain Name han.mydomain.com
Bisher habe ich nur diesen Fehler gefunden: https://github.com/opnsense/core/issues/2828, der etwas ähnlich aussieht. Der Workaround einen Neustart des Unbound DNS in den Start einzubauen, hat leider nicht geholfen. Nur ein erneutes Anwenden der gespeicherten Konfiguration triggert bei mir ein erneutes Erzeugen der resolv.conf.
Hat jemand Tipps für mich, wie diesen Fehler beheben umgehen kann?
Danke
Ulf
Schau mal unter:
System: Settings: General
DNS server options: Allow DNS server list to be overridden by DHCP/PPP on WAN
Ist das bei Dir vielleicht an?
Was ist das für ein Nameserver, den er Dir da einträgt? Kommt der von einem der WAN Links?
QuoteDNS server options: Allow DNS server list to be overridden by DHCP/PPP on WAN
Ja, das ist aktiviert. Ich werde es mal deaktivieren und neustarten zum Testen, komme allerdings erst morgen dazu.
QuoteWas ist das für ein Nameserver, den er Dir da einträgt? Kommt der von einem der WAN Links?
Warum dann aber die 10.0.4.2 drin steht, erklärt sich für mich nicht. Das ist der Domain Controller (mit DHCP und DNS) aus dem angeschlossen Netzwerk VLAN 40. Das ist aber KEIN WAN-Netzwerk.
Bezieht Deine OPNsense denn aus diesem Testnetzwerk eine IP per DHCP?
Ich habe heute früh noch ein bisschen hin- und herprobiert.
Wenn ich den Haken
System: Settings: General: DNS server options: Allow DNS server list to be overridden by DHCP/PPP on WANentferne werden nur die zwei IP-Adressen der WAN-Gateways (hier rot markiert) aus der resolv.conf gelöscht
- 127.0.0.1 -> Unbound DNS
- 192.168.8.1 -> WANLTE Gateway
- 192.168.165.1 -> WAN VDSL Gateway
- 8.8.8.8 -> Google Public DNS für Multi-WAN-Monitoring VDSL-Gateway
- 9.9.9.9 -> Google Public DNS für Multi-WAN-Monitoring LTE-Gateway
Nach einem Neustart ist dann wieder nur die 10.0.4.2 als DNS-Server und KEINE domain eingetragen.
Der 10.0.4.2. lediglich ein Server aus einem angeschlossenem Netzwerk. Die Netzwerk-Übersicht habe ich ja oben in Textform aufgezeigt.
Ich glaube ich habe es gelöst.
Ich habe mal die config.xml-Dateien aus /conf/backup nach der IP-Adresse durchstöbert. Dabei ist mir der Eintrag 10.0.4.2 als DNS-Server im Wireguard-Server aufgefallen:
VPN: Wireguard: Local
(siehe Anhang).
Nachdem ich die IP-Adresse dort rausgenommen habe, ist die resolv.conf auch nach dem Neustart korrekt mit allen fünf DNS-Servern bestückt.
Mich wundert es nur, dass als Beschreibung für den DNS-Server-Eintrag steht, dass dieser nur für die Wireguard-Schnittstelle sein soll. Ist das dann ein Bug, den ich melden sollte?
Danke
Ulf