Guten Tag,
Zur Vorgeschichte:
Ich besitze 2 Server und habe dort alle LXC/VM-Container Adressen zugeteilt (mal nötig für z.B. Vaultwareden aber hauptsächlich Bequemlichkeit.) und habe dort immer Bind9 mit Verbindung mit Webmin bzw. einem LXC-Container genutzt.
Problem:
Ständig musste ein LXC-Container laufen damit eben eine Auflösung stattfand, einmal für Lokal aber auch für extern, das war ziemlich nervig wenn ich den ganzen Server mal runterfahren musste um Komponenten zu tauschen oder etwas umzustellen etc.
Erkenntnis:
Es wäre sinnvoller wenn die Lokale (extern sowieso) über OPNsense läuft.
OPNsense hat bekanntlich verschiedene DNS-Systeme wie DNSmasq, Unbound, OpenDNS, Bind Plugin wobei DNSmasq und Unbound natürlich fest eingebunden sind und genutzt werden.
Warum nicht wieder Bind als Plugin?
Ich möchte offen für neue Wege sein. Ich will vielleicht noch was Performanteres und einfacheres finden.
Frage:
Es ist schwer einen guten Vergleich auszuführen aufgrund der verschiedenen Einsatzzwecke und so richtig als Auflöse für Lokale Adressen gibt es nicht viel Text zu lesen. Außerdem höre ich gerne weitere Meinung und nicht nur von 2-3, vielleicht haben ja mehr Leute dieses Problem das sie vor der Frage der Auswahl stehen.
- Welcher DNS-Server eignet sich eurer Meinung am besten für eine Lokale (+externe) Auflösung?
- Welche Nachteile hat euer gewählter DNS-Server?
Liebe Grüße und danke für eure Meinungen
Der, mit dem du dich am besten auskennst.
Ich benutze aus diesem Grund BIND.
Was für Hürden soll es da geben? Ist doch nur ein rekursiver Nameserver. Seit über 30 Jahren existierende und verstandene Software ;)
Hallo,
bei mir läuft auf der OPNSense AdGuard als DNS-Filter, der unbound als Upstream nutzt. Upstream macht dann auch die Auflösung der lokalen Adressen aus dem DHCP.
Man muss dort in der Konfig nur eben den Haken setzen, das der die DHCP-Lease einliest.
Das funktioniert wunderbar.
Quote from: pmhausen on July 02, 2022, 07:37:10 AM
Der, mit dem du dich am besten auskennst.
Ich benutze aus diesem Grund BIND.
Was für Hürden soll es da geben? Ist doch nur ein rekursiver Nameserver. Seit über 30 Jahren existierende und verstandene Software ;)
Ja ich hab es falsch ausgeschrieben, ich meinte im Bezug auf Nachteile, ich weiß ja das es funktionieren kann auf Webmin aber man einiges natürlich davor einstellen muss.
Aber sehr interessant das du weiterhin auf Bind setzt.
Quote from: Tuxtom007 on July 02, 2022, 10:19:16 AM
Hallo,
bei mir läuft auf der OPNSense AdGuard als DNS-Filter, der unbound als Upstream nutzt. Upstream macht dann auch die Auflösung der lokalen Adressen aus dem DHCP.
Man muss dort in der Konfig nur eben den Haken setzen, das der die DHCP-Lease einliest.
Das funktioniert wunderbar.
Interessanter Weg, darf ich fragen warum du nicht die Blocklist von Unbound nutzt? Hat dahingehend AdGuard noch Vorteile die ich übersehen habe (komme wenn dann aus der PiHole-Fraktion)
Aber stimmt, als Upstream-Server ist das beliebt wie ich hin und wieder gelesen habe.
Die Blocklists sind in der Sense sowohl für BIND als auch für Unbound sehr ... nun ja ... geradlinig implementiert. Es werden Listen mit Tausenden von Adressen in die Konfiguration geladen. Das führt zu langsamen Neustarts des Dienstes und bei einem Syntax-Fehler in nur einer der Listen - die ja extern abgerufen werden - schmiert der Dienst ganz ab. Robust ist anders.
AdGuard Home macht das besser und bringt noch eine schöne Oberfläche mit Auswertungen mit, eine mobile App für geringes Geld etc. pp.
Habe hier seit Jahren unbound auf opnsense am laufen (ohne blocklists), da unbound so auch grad die dhcp IPs handhaben kann.
Für die clients habe ich pihole in einem lxc container, der unbound als resolver nutzt und alles andere geblockt bzw. port 53 geNATted auf pihole.
Funktioniert für mich sehr gut. Hatte auch mal adguard getestet aber pihole stimmt für mich besser. Der lxc container macht mir keinen Aufwand da alles auf proxmox läuft.
Quote from: Kawachiller on July 02, 2022, 02:49:04 PM
Interessanter Weg, darf ich fragen warum du nicht die Blocklist von Unbound nutzt? Hat dahingehend AdGuard noch Vorteile die ich übersehen habe (komme wenn dann aus der PiHole-Fraktion)
Aber stimmt, als Upstream-Server ist das beliebt wie ich hin und wieder gelesen habe.
AdGuard ist bei mir derzeit eine temp. Notlösung - ich nutze auch lieber PiHole, der bietet mehr Möglichkeiten.
Aber so funktioniert es derzeit problemlos auch mit IPv6, da ich kein statische IPv6 Adresse vom Provider habe, sondern nur Prefix-Delegation.
PiHole liefe sonst bei mir auf dem Proxmox-Server und dafür bräuchte ich dann eben statische IPv6 Adressen, die dann per DHCP verteilen kann, da dafür hab ich noch keine Lösung.
Quote from: Tuxtom007 on July 03, 2022, 08:05:00 AM
Quote from: Kawachiller on July 02, 2022, 02:49:04 PM
Interessanter Weg, darf ich fragen warum du nicht die Blocklist von Unbound nutzt? Hat dahingehend AdGuard noch Vorteile die ich übersehen habe (komme wenn dann aus der PiHole-Fraktion)
Aber stimmt, als Upstream-Server ist das beliebt wie ich hin und wieder gelesen habe.
AdGuard ist bei mir derzeit eine temp. Notlösung - ich nutze auch lieber PiHole, der bietet mehr Möglichkeiten.
Aber so funktioniert es derzeit problemlos auch mit IPv6, da ich kein statische IPv6 Adresse vom Provider habe, sondern nur Prefix-Delegation.
PiHole liefe sonst bei mir auf dem Proxmox-Server und dafür bräuchte ich dann eben statische IPv6 Adressen, die dann per DHCP verteilen kann, da dafür hab ich noch keine Lösung.
Ich hab aktuell ein ähnliches Problem nur das ich kein PiHole nutze sondern alles über OPNsense laufen lasse.
Meine CTs bekommen über DHCP eine Adresse, die hält einige Stunden läuft dann aber ab. Und normal sollten die ja erst nach 24h ablaufen und nicht einfach zwischendurch (also wenn nichts eingetragen ist bei DHCP).
Bei mir ist es wie folgt:
Proxmox -> Netzwerk -> net0 -> IIPv4/6 DHCP und VLAN-Tag: 11
Die CT bekommt von der OPNsense eine Adresse, funktioniert wunderbar. Irgendwann ist die dann weg.
Dann wollte ich eben bei den Leases für diese DHCP-Adresse (in dem Fall der ioBroker) eine statische IP über MAC vergeben (einfach über das +) - Aber ich weiß nicht, irgendwie funktioniert das nicht, muss ich da irgendwas einstellen oder kann ich einfach selbige IP welche von DHCP kommt eintragen und dann auf speichern drücken?
Oder soll ich direkt eine statische eintragen in Proxmox statt DHCP welche natürlich im VLAN-Bereich ist?
Zwei Bilder sind dazu angehangen, das erste wo die Adresse weg ist, ist vom ioBroker in dem Beispiel. Das zweite Bild ist vom WebServer, welche noch eine IP-Adresse besitzt.
Also hier in der Frage geht es nur darum wo ich die statische IP setzen sollte, bei Proxmox oder OPNsense mit der oben aufgeführten Aufgabe oder noch eine gänzlich andere.
Quote from: Kawachiller on July 07, 2022, 02:48:14 PM
Die CT bekommt von der OPNsense eine Adresse, funktioniert wunderbar. Irgendwann ist die dann weg.
Dann wollte ich eben bei den Leases für diese DHCP-Adresse (in dem Fall der ioBroker) eine statische IP über MAC vergeben (einfach über das +) - Aber ich weiß nicht, irgendwie funktioniert das nicht, muss ich da irgendwas einstellen oder kann ich einfach selbige IP welche von DHCP kommt eintragen und dann auf speichern drücken?
Oder soll ich direkt eine statische eintragen in Proxmox statt DHCP welche natürlich im VLAN-Bereich ist?
Ich vergebe für alle Container die IP's fest über die DHCP-Reservierung, genauso wie du das machst ( über + ).
Liegen deine festen IP's, die du vergibst, innerhalb oder ausserhalb des DHCP-Bereiches ?
Die sollten ausserhalb liegen, weil sonst kommt es zu unschönen Verhalten.
Ich habs so gemacht: .2 bis .128 ist immer für feste IPs, .192 bis .254 ist dann DHCP oder auch kleiner.
Quote from: Tuxtom007 on July 07, 2022, 04:53:40 PM
Quote from: Kawachiller on July 07, 2022, 02:48:14 PM
Die CT bekommt von der OPNsense eine Adresse, funktioniert wunderbar. Irgendwann ist die dann weg.
Dann wollte ich eben bei den Leases für diese DHCP-Adresse (in dem Fall der ioBroker) eine statische IP über MAC vergeben (einfach über das +) - Aber ich weiß nicht, irgendwie funktioniert das nicht, muss ich da irgendwas einstellen oder kann ich einfach selbige IP welche von DHCP kommt eintragen und dann auf speichern drücken?
Oder soll ich direkt eine statische eintragen in Proxmox statt DHCP welche natürlich im VLAN-Bereich ist?
Ich vergebe für alle Container die IP's fest über die DHCP-Reservierung, genauso wie du das machst ( über + ).
Liegen deine festen IP's, die du vergibst, innerhalb oder ausserhalb des DHCP-Bereiches ?
Die sollten ausserhalb liegen, weil sonst kommt es zu unschönen Verhalten.
Ich habs so gemacht: .2 bis .128 ist immer für feste IPs, .192 bis .254 ist dann DHCP oder auch kleiner.
Alles klar, dann über DHCP bzw. über OPNsense.
Ja die lagen IM DHCP-Vergabe-Bereich, hab mit deiner Nachricht auch verstanden das sie darin liegen.
Ja in der Vergangenheit führte das zu Problemen, dann werd ich das ganze jetzt mal
Im VLAN-Bereich, außerhalb des DHCP-Bereich bei OPNsense vergeben.
Quote from: Kawachiller on July 07, 2022, 04:58:53 PM
Alles klar, dann über DHCP bzw. über OPNsense.
Ja die lagen IM DHCP-Vergabe-Bereich, hab mit deiner Nachricht auch verstanden das sie darin liegen.
Ja in der Vergangenheit führte das zu Problemen, dann werd ich das ganze jetzt mal
Im VLAN-Bereich, außerhalb des DHCP-Bereich bei OPNsense vergeben.
Fest vergeben IP-Adressen IMMER ausserhalb des DHCP-Pools legen, da macht immer Ärger - eigene Erfahrung.
Trennt das am besten so auch, wie ich es gemacht habe, kannst ja den DHCP-Pool so gross machen wie benötigt.
Im Smarthome-VLAN hab ich z.b. einen ganz kleinen DHCP-Pool, weil alle Geräte festes IP's bekommen.
Quote from: Tuxtom007 on July 08, 2022, 08:58:11 AM
Quote from: Kawachiller on July 07, 2022, 04:58:53 PM
Alles klar, dann über DHCP bzw. über OPNsense.
Ja die lagen IM DHCP-Vergabe-Bereich, hab mit deiner Nachricht auch verstanden das sie darin liegen.
Ja in der Vergangenheit führte das zu Problemen, dann werd ich das ganze jetzt mal
Im VLAN-Bereich, außerhalb des DHCP-Bereich bei OPNsense vergeben.
Fest vergeben IP-Adressen IMMER ausserhalb des DHCP-Pools legen, da macht immer Ärger - eigene Erfahrung.
Trennt das am besten so auch, wie ich es gemacht habe, kannst ja den DHCP-Pool so gross machen wie benötigt.
Im Smarthome-VLAN hab ich z.b. einen ganz kleinen DHCP-Pool, weil alle Geräte festes IP's bekommen.
Danke für den Tipp, hab ich so gemacht.
Ich hab jetzt aber ein neues Problem, hin und wieder verlieren meine Container die IP-Adresse? Ich muss mich dann extra über Proxmox auf den Container aufschalten und "dhclient" ausführen. Dann ist wieder gut
Hast du dafür eine Lösung oder auch so ein Problem gehabt?
Quote from: Kawachiller on July 12, 2022, 01:05:36 AM
Hast du dafür eine Lösung oder auch so ein Problem gehabt?
Nö, das Problem hab ich nicht. Bei mir läuft DHCP absolut stabil, sowohl mit IPv4 als auch mit IPv6.
Auch bei den ganzen LXC'n ( sind alle Ubuntu )
Hast du irgentwas in der DHCP-Konfig der LXC geändert ?
Quote from: Tuxtom007 on July 12, 2022, 08:07:36 AM
Quote from: Kawachiller on July 12, 2022, 01:05:36 AM
Hast du dafür eine Lösung oder auch so ein Problem gehabt?
Nö, das Problem hab ich nicht. Bei mir läuft DHCP absolut stabil, sowohl mit IPv4 als auch mit IPv6.
Auch bei den ganzen LXC'n ( sind alle Ubuntu )
Hast du irgentwas in der DHCP-Konfig der LXC geändert ?
Tatsächlich sind es auch nicht die Ubuntu-Container sondern die Debian-Container..... Aber warum O.o
Aber nein, geändert an DHCP hab ich nichts. Bzw. nur damals an der Netzwerkschnitstelle direkt bei Proxmox aber das bei allen Container, das Problem hab ich ja aktuell nur bei den Debian-Containern....
Komisch, Ubuntu basierd ja auf Debian, ich hab aber auch eine Debian-VM, die macht auch keine Probleme.
Mache mal Screenshost von deiner DHCP-Config auf der OPNSense und aus dem Proxmox-Server der Netzwerkkarte, dann vergleichen wir mal
Quote from: pmhausen on July 02, 2022, 02:57:40 PM
Die Blocklists sind in der Sense sowohl für BIND als auch für Unbound sehr ... nun ja ... geradlinig implementiert. Es werden Listen mit Tausenden von Adressen in die Konfiguration geladen. Das führt zu langsamen Neustarts des Dienstes und bei einem Syntax-Fehler in nur einer der Listen - die ja extern abgerufen werden - schmiert der Dienst ganz ab. Robust ist anders.
AdGuard Home macht das besser und bringt noch eine schöne Oberfläche mit Auswertungen mit, eine mobile App für geringes Geld etc. pp.
Ich hatte die Lösung mit Bind und Unbound auf einer APU2D4 ausprobiert, Unbound war sehr langsam, BIND ist allerdings recht performant gewesen, auch mit größeren Blocklisten.
Quote from: bimbar on July 12, 2022, 11:28:57 AM
Quote from: pmhausen on July 02, 2022, 02:57:40 PM
Die Blocklists sind in der Sense sowohl für BIND als auch für Unbound sehr ... nun ja ... geradlinig implementiert. Es werden Listen mit Tausenden von Adressen in die Konfiguration geladen. Das führt zu langsamen Neustarts des Dienstes und bei einem Syntax-Fehler in nur einer der Listen - die ja extern abgerufen werden - schmiert der Dienst ganz ab. Robust ist anders.
AdGuard Home macht das besser und bringt noch eine schöne Oberfläche mit Auswertungen mit, eine mobile App für geringes Geld etc. pp.
Interessant, ich merke bei Unbound an sich kein Problem aber ich muss auch sagen, mit meiner Hardware habe ich auch den stärkeren CPU, knapp 25% Leistungsstärker, ob es daran liegen kann....
Ich hab aber auch schon viel gesehen das Bind recht Resourcensparend ist.
Ich hatte die Lösung mit Bind und Unbound auf einer APU2D4 ausprobiert, Unbound war sehr langsam, BIND ist allerdings recht performant gewesen, auch mit größeren Blocklisten.
Quote from: Tuxtom007 on July 12, 2022, 11:10:34 AM
Komisch, Ubuntu basierd ja auf Debian, ich hab aber auch eine Debian-VM, die macht auch keine Probleme.
Mache mal Screenshost von deiner DHCP-Config auf der OPNSense und aus dem Proxmox-Server der Netzwerkkarte, dann vergleichen wir mal
Richtig, Ubuntu ist ne Distro welche auf Debian agiert ... eventuell kann es ja sein das gerade bei der DHCP-Verwaltung andere Pakete installiert sind, eventuell bessere.
Schauen wir uns das ganze mal an. Vorweg, in dem Beispiel sind beide Container im selben Netzwerk/VLAN. (In unserem Fall ioBroker [Debian], Vaultwarden [Ubuntu])
An sich sehe ich auch bei den Protokolldateien bei DHCPv4 nichts ungewöhnliches, DHCPRequest, DHCPPack und DHCPOffer, keine Fehler, nichts. An sich hab ich kein Plan warum der manchmal keinen DHCPRequest stellt, ist auch nicht so als ob er sich verschlucken würde, er hat genug Resourcen.
Quote from: Kawachiller on July 12, 2022, 04:53:25 PM
Quote from: Tuxtom007 on July 12, 2022, 11:10:34 AM
Komisch, Ubuntu basierd ja auf Debian, ich hab aber auch eine Debian-VM, die macht auch keine Probleme.
Mache mal Screenshost von deiner DHCP-Config auf der OPNSense und aus dem Proxmox-Server der Netzwerkkarte, dann vergleichen wir mal
Richtig, Ubuntu ist ne Distro welche auf Debian agiert ... eventuell kann es ja sein das gerade bei der DHCP-Verwaltung andere Pakete installiert sind, eventuell bessere.
Schauen wir uns das ganze mal an. Vorweg, in dem Beispiel sind beide Container im selben Netzwerk/VLAN. (In unserem Fall ioBroker [Debian], Vaultwarden [Ubuntu])
An sich sehe ich auch bei den Protokolldateien bei DHCPv4 nichts ungewöhnliches, DHCPRequest, DHCPPack und DHCPOffer, keine Fehler, nichts. An sich hab ich kein Plan warum der manchmal keinen DHCPRequest stellt, ist auch nicht so als ob er sich verschlucken würde, er hat genug Resourcen.
Hallo,
das sieht erst mal gut aus, wobei ich bei mir aber kein VLAN nutze, die Server-Container sind eh alle im selben VLAN.
Bei IPv6 nutze ich SLAAC, aber dein Problem ist ja IPv4.
Zeigt mal die DHCP-Config aus der OPNSense.
Quote from: Tuxtom007 on July 13, 2022, 08:15:45 AM
Hallo,
das sieht erst mal gut aus, wobei ich bei mir aber kein VLAN nutze, die Server-Container sind eh alle im selben VLAN.
Bei IPv6 nutze ich SLAAC, aber dein Problem ist ja IPv4.
Zeigt mal die DHCP-Config aus der OPNSense.
Ja genau, ich nutze nur IPv4 weils ausreicht in meiner Konstellation. Und ja, in dem Fall sind die beiden Container bei mir im selben VLAN.
Aber heute habe ich auf mein Uptime-Dashboard geschaut, es läuft alles. Also i.d.r. setzt er ein Request, frage mich nur ... warum manchmal nicht...
Hallo ,
sieht auch soweit ok aus.
Ich hab bei mir noch die DNS-Server und das Gateway eingetragen ( sehe in deinem Screenshot jetzt nicht )
Zudem noch aktiviert:
Time format change - Change DHCP display lease time from UTC to local time. ( rein optische Gründe )
Dynamic DNS - Enable registration of DHCP client names in DNS.
NTP servers - = Gateway-IP des VLAN, da die OPNSense mein NTP-Server ist.
könnte dann nur noch ein Problem auf der Debian-Seite sein.
Quote from: Tuxtom007 on July 13, 2022, 11:24:57 AM
Hallo ,
sieht auch soweit ok aus.
Ich hab bei mir noch die DNS-Server und das Gateway eingetragen ( sehe in deinem Screenshot jetzt nicht )
Zudem noch aktiviert:
Time format change - Change DHCP display lease time from UTC to local time. ( rein optische Gründe )
Dynamic DNS - Enable registration of DHCP client names in DNS.
NTP servers - = Gateway-IP des VLAN, da die OPNSense mein NTP-Server ist.
könnte dann nur noch ein Problem auf der Debian-Seite sein.
Also DNS-Server und Gateway ist frei, sollte ja Default nehmen. DNS-Server ist ja bei mir die OPNsense.
DynamicDNS ist bei mir nicht vorhanden weil ich DNS-Verwaltung von Unbound machen lasse.
Warum nimmst du als NTP die Gateway-IP des VLANS und nicht default?
Quote from: Kawachiller on July 13, 2022, 05:18:13 PM
Also DNS-Server und Gateway ist frei, sollte ja Default nehmen. DNS-Server ist ja bei mir die OPNsense.
DynamicDNS ist bei mir nicht vorhanden weil ich DNS-Verwaltung von Unbound machen lasse.
Warum nimmst du als NTP die Gateway-IP des VLANS und nicht default?
Das DynamicDNS sollte aktiviert sein, weil damit die DHCP-Leases für die interen Auflösung in Unbound registriert werden ( hab ich mal gelesen ), weil ohne funktioniert es bei mir nicht richtig.
NTP könnte auch leer bleibem ich hatte da mal den PiHole als NTP-server eingetragen
Quote from: Tuxtom007 on July 14, 2022, 07:57:40 AM
Das DynamicDNS sollte aktiviert sein, weil damit die DHCP-Leases für die interen Auflösung in Unbound registriert werden ( hab ich mal gelesen ), weil ohne funktioniert es bei mir nicht richtig.
NTP könnte auch leer bleibem ich hatte da mal den PiHole als NTP-server eingetragen
Also, heute haben 3 Debian-Maschinen keine IP mehr bezogen oder bekommen...
Was hast du denn bei DynamicDNS eingetragen? Oder was von denen ausgefüllt? - Würde das auch gerne ausprobieren.
Quote from: Kawachiller on July 15, 2022, 12:52:59 AM
Also, heute haben 3 Debian-Maschinen keine IP mehr bezogen oder bekommen...
Was hast du denn bei DynamicDNS eingetragen? Oder was von denen ausgefüllt? - Würde das auch gerne ausprobieren.
Ausgefüllt garnicht, nur
- Enable registration of DHCP client names in DNS. aktiviert, mehr nicht.
und in Unbound folgendes aktiviert:
- DHCP Registration Register DHCP leases
- DHCP Static Mappings Register DHCP static mappings
- IPv6 Link-local Register IPv6 link-local addresses
Quote from: Tuxtom007 on July 15, 2022, 09:35:27 AM
Quote from: Kawachiller on July 15, 2022, 12:52:59 AM
Also, heute haben 3 Debian-Maschinen keine IP mehr bezogen oder bekommen...
Was hast du denn bei DynamicDNS eingetragen? Oder was von denen ausgefüllt? - Würde das auch gerne ausprobieren.
Ausgefüllt garnicht, nur
- Enable registration of DHCP client names in DNS. aktiviert, mehr nicht.
und in Unbound folgendes aktiviert:
- DHCP Registration Register DHCP leases
- DHCP Static Mappings Register DHCP static mappings
- IPv6 Link-local Register IPv6 link-local addresses
Ah danke, gut dann werde ich mal selbiges probieren.