Eigentlich brauche ich auf dem WAN Interface keinen DNS Server laufen, muss ich aber...
Die opnsense hängt in zwei Netzen. WAN und LAN. Wenn ich nun den unbound nur auf dem LAN Interface aktiviere, nicht auf dem wan dann resolvt er nicht mehr. Er lauscht noch auf dem lan Port aber antwortet nicht mehr. Aktiviere ich den WAN im unbound dann geht wieder alles...
Ist das so gewollt?!? [emoji38]
Gesendet von iPhone mit Tapatalk
1. bitte mal einen grafischen netzwerk plan
da wir nicht wissen wie dein netz aufgebaut ist können wir nicht ausschließen das du einen konfigurations fehler gemacht hast
2. screenshots von unbound konfiguration
Gesendet von iPad mit Tapatalk Pro
Eine opnsense mit einem WAN und einem LAN Interface. Wenn ich unbound auf dem WAN interface deaktiviere antwortet unbound nicht mehr... ok, wenn das einen netzwerkplan braucht male ich einen. [emoji2] Screenshots kommen
Gesendet von iPhone mit Tapatalk
franco empfiehlt iirc immer WAN angeschaltet zu lassen. Ich mach DNSEC und DoT und habe WAN abgeschaltet in unbound, funzt...
Ja, die Empfehlung ist nicht nur die von franco... Grundsätzlich sollte/muss alles nicht benötigte abgeschaltet werden. So ist das bei mir auch... NUR: Wenn ich halt das Binding von unbount an das WLAN-Interface deaktiviere, dann resolvd er nicht mehr... Zumindest auf dem LAN. Auf localhost resolved er noch. Und ja, UDP/TCP für DNS ist vom gesamten LAN-Netz erreichbar, also freigegeben. Nur halt: WLAN in unbound zusätzlich an, apply gedrückt dann geht alles. WLAN als interface aus der unbound-Konfig rausgenommen (haken weg), apply => Keine Resolution mehr... :(
Ich hab BIND auf 127.0.0.1:53 am laufen, und überall dort, wo Clients DNS brauchen, ein Port-Forwarding für TCP+UDP/53. BIND nimmt für die ausgehenden Anfragen ein paasendes lokales Interface, auch, wenn er dort nicht "lauscht".
Quote from: pmhausen on November 13, 2021, 02:15:22 PM
Ich hab BIND auf 127.0.0.1:53 am laufen, und überall dort, wo Clients DNS brauchen, ein Port-Forwarding für TCP+UDP/53. BIND nimmt für die ausgehenden Anfragen ein paasendes lokales Interface, auch, wenn er dort nicht "lauscht".
Wie sieht dabei das Portforwarding aus? Screenshot? :-)
Bitte sehr:
Bedankt! :-)
Das ist vor allem dann praktisch, wenn man ein HA-Pärchen von 'Sensen hat. Dann nimmt man statt LAN_Address die CARP Adresse. BIND läuft dann auf beiden Firewalls vor sich hin, aber die Anfragen landen alle auf dem CARP Master.