OPNsense Forum
International Forums => German - Deutsch => Topic started by: dumbo on January 14, 2023, 12:16:14 pm
-
Hi Zusammen,
ich bekomme einfach eine Sache nicht hin.
Habe mein LAN, 2 VLAN und ein Gerät direkt auf einem Port an der OPNsense (eth3)
- LAN
- VLAN10
- VLAN20
- Notebook an Interface eth3 (Interface wurde erstellt mit DHCP Server etc.)
Ich würde jetzt gerne es so machen, dass ich für LAN, VLAN10/20 den Unbound nutzen mag und für ein Notebook an eth3 eben einen öffentlichen DNS Server (bsp. 1.1.1.1) nutzen mag.
Wie genau stelle ich das denn ein?
In den Haupteinstellungen > General habe ich 9.9.9.9 eingetragen (DNS für die Firewall selbst)
Unbound ist aktiviert und ich habe auch eine Regel, die entsprechend im NAT > Portforward sitzt (für jedes VLAN natürlich eine Regel) Damit keine Hardcoded DNS request so raus gehen, sondern alles über den Unbound läuft
- Interface: LAN
- Protocol: TCP/UDP
- Destination / Invert: Checked
- Destination: LAN address
- Destination Port: DNS
- Redirect target IP: 127.0.0.1
- Redirect target port: DNS
- NAT reflection: Disable
In jedem VLAN habe ich natürlich dann noch die Regel drin
IPv4 > TCP/UDP > Any/Any > Destination 127.0.0.1 Port 53 (DNS)
Doch wie bekomme ich es hin, dass eben bei dem Interface wo das Notebook dran hängt, der auch den o.a. DNS Server nutzt und nicht meinen Unbound?
Habe schon einiges probiert (im DHCP vom Notebook Interface DNS eingetragen, Unbound settings angepasst usw.).
Bekomme es aber einfach nicht hin.
Hoffe, dass das etwas verständlich war, was ich hier geschrieben habe und freue mich auf Mithilfe und Tipps.
-
Mach es doch simpel über den dhcp Server
Gesendet von iPhone mit Tapatalk Pro
-
Mach es doch simpel über den dhcp Server
Das habe ich probiert.
Aber wenn ich auf dem DHCP von dem Interface DNS-Einträge setze, scheint OPNsense die zu ignorieren und nutzt trotzdem den Unbound.
-
bitte mal screenshot:
- dhcp eth3
- interface eth3
hast du irgendwelche regel für LAN die nicht genau definiert sind und somit auch für deine eth3 greifen?
-
bitte mal screenshot:
Ich hoffe man kann es erkennen.
-
dann bau eine regel die entsprechend den dhcp für (am besten mit einem alias) dein notebook einen anderen dns nutzen lässt
-
Ja - das geht. Ich verstehe nur nicht, warum es nicht geht, wenn ich im DHCP DNS Server eintrage, warum nutzt er diese bitte nicht?
Ist hier ein großer Bug in OPNsense oder woran liegt es?
-
Wer ist "er"? Der DHCP-Server sagt den Clients im Netz, welchen Server sie verwenden sollen. Wenn sie das nicht tun, liegt das Problem beim Client. Auf das Verhalten der OPNsense hat die Konfiguration des DHCP-Servers keinen Einfluss.
-
Er ist der/die/das OPNsense 8)
Es ist egal, welchen Client ich dahinter packe, er nimmt nie die bei DHCP eingetragenen. Daher vermute ich das Problem eher bei der OPNsense - bzw. evtl. dann halt auch an einer Einstellung oder halt an einem Bug. Ich weiß es leider ja auch nicht genau.
Das was ich nur sagen kann ist, dass es bei eben dieser Config so ist, dass die DHCP Server Settings vom Interface einfach komplett ignoriert werden von den Clients.
-
Dann wirf doch mal tcpdump an und guck, was da beim DHCP Request und Reply so über den Draht fliegt.
-
Das kam beim Ping an Google raus.
-
Du sollst dir einen DHCP-Request und Reply angucken. Was schickt die Sense im Reply konkret an die Clients raus?
-
Tut mir leid, aber da bin ich ein wenig überfragt, was ich jetzt genau wie prüfen muss/soll.
Bin ja eher noch ein Einsteiger und mit TCPDUMP lesen bzw. entspr. starten tue ich mir noch sehr schwer um es mal so zu sagen.
-
tcpdump -n -v -i <interface> port bootpc
Und dann einen DHCP-Request auslösen, indem du z.B. einen Client einsteckst, einschaltest, auf "Lease erneuern" klickst oder was auch immer.
Du willst ein komplexes Netz mit VLANs bauen, du solltest grundlegende Werkzeuge erlernen. Hilfe findest du gerne hier. :)
"<interface>" ist vlan01 oder was auch immer das richtige ist, wo es klemmt. Findest du mit dem Befehl
ifconfig
HTH, viel Erfolg,
Patrick
-
Danke für die Hilfe.
So langsam komme ich vorwärts.
Beim Notebook kam jetzt als Resultat raus:
IP: meine IP halt
Subnet: 255.255.255.0
DNS: 1.1.1.1 und 1.0.0.1
localdomain
Default Gateway: 172.16.16.1
Das was im Grunde auch eingestellt ist - jedoch geht die Anfrage dann trotzdem über Unbound raus, wenn ich es im Browser checke.
Hat das evtl. was mit der NAT Port Forward Regel zu tun aus meinem Ausgangsposting?
-
Ja, klar. Wenn du die Anfragen wegNATest, gilt das für alle Geräte in dem Netz. Es sei denn, du formulierst die NAT-Regel so, dass du z.B. 1.1.1.1 als Ziel ausnimmst (destination invert).
Was genau willst du eigentlich lösen? Lass alle deine Geräte den Resolver auf der OPNsense nutzen, per Default Unbound, und gut ist.
-
Dann war es doch das mit dem NAT aus dem ersten Beitrag. Dachte, dass wäre ausgeschlossen auf Grund deiner Antworten/Vorschläge.
Aber ok - verstanden und gelernt.
Im Grunde sollen auf dem Port nachher Geräte laufen, die nicht über "meinen" Unbound sollen und direkt über einen anderen DNS ins Netz sollen.
Wenn ich NAT Port Forward für das Notebook-Netz weglasse und dann auch direkt die Regel mit dem DNS weglasse für das Interface, dann sollte es gehen, oder?
-
Sollte, ja. Aber weshalb sollen die Geräte nicht deinen Unbound benutzen? Lokaler Resolver ist immer besser, und man hat z.B. Logs, was die so alles abfragen ... AdGuard Home ist da eine klasse Ergänzung mit schöner Oberfläche.
-
Danke Dir für den Tipp.
Manchmal hat man sich ja etwas in den Kopf gesetzt und will es irgendwie umsetzen.
Da hilft auch oft mal ein Blick von außen, der einem einen anderen Weg vorschlägt - wie in dem Falle jetzt.
Ich denke, ich werde es dann so machen wie Du schreibst.
AdGuard Home wollte ich auch mal testen. Aktuell laufen bei mir noch Blacklists im Unbound (aber da sieht man ja wenig bis nichts, was da so passiert - bzw. hat man da auch keine Kontrolle drüber).
-
AdGuard Home ist da eine klasse Ergänzung mit schöner Oberfläche.
Wow - danke. Das lief wirklich sehr einfach. AdGuard ist drauf und läuft.
Jedoch habe ich noch zwei Probleme:
1. er löst meine IPs nicht auf in AdGuard - sprich ich sehe die Hostnamen der Devices nicht, sondern nur IPs
2. ich würde es gerne so einstellen, dass der Unbound meiner OPNsense der Upstream für meinen AdGuard ist - was muss man da tun?
Danke und Grüße
-
Hi,
du kannst das unter DNS settings den Unbound zusätzlich eintragen: [/example.com/]127.0.0.1:53
Port must halt anpassen. Dann nimmt er nur für example.com den Unbound. Wenn du example.com durch deine Heim-Domäne ersetzt, dann klappt die locale DNS-Auflösung für die Clients.
Wenn du nur die 127.0.0.1:<Unbound Port> einträgst, dann nimmt er den Unbound als Upstream.
Und für Reverse: Private reverse DNS servers dort auch den Unbound eintragen.
Gruß
KH
-
Einfach für alles den lokalen Unbound eintragen und den ohne Upstream sein rekursives Ding machen lassen. DNS ist dezentral, Leute, man braucht keinen Upstream Server. Weder vom ISP noch von Google/Cloudflare/...
-
Danke für die Hilfe.
Wenn ich das richtig verstehe, muss ich das so machen:
Port von Unbound wurde in der OPNsense auf 5353 angepasst, da der AGH ja Port 53 nutzt.
- Upstream DNS servers = 127.0.0.1:5353
- Bootstrap DNS servers = 127.0.0.1:5353
- Private reverse DNS servers = 127.0.0.1:5353
Bzgl. der private reverse und Host-Namensauflösung bin ich mir unsicher, ob das so richtig ist?
Oder muss dann noch der Eintrag [/example.com/]127.0.0.1:53 irgendwo rein? Und falls ja, ist das jetzt der Port für den AGH oder muss da auch 5353 rein?
-
AdGuard Home ist da eine klasse Ergänzung mit schöner Oberfläche.
Das Problem was ich aktuell mit dem AdGuard Home dann habe ist, dass meine NAT Port Forward Regel jetzt nicht mehr klappt. Beim Test mit Yahoo ins Host-Override gesetzt kommt folgende Meldung.
nslookup yahoo.com 1.1.1.1
;; reply from unexpected source: 172.16.16.1#53, expected 1.1.1.1#53
-
So - kurzes Update.
Unbound läuft, Namensauflösung läuft.
Habe im AGH jetzt einstellt:
- Upstream DNS servers = (IP der OPNsense):53053
- Bootstrap DNS servers = belassen wie es war
- Private reverse DNS servers = (IP der OPNsense):53053
Port 53053 deshalb, weil wohl der 5353 vom mDNS Responder genutzt wird bzw. es wohl da Probleme mit gibt.
Aktuell hängt jetzt nur noch die NAT Port Forward DNS Umschreibung (damit Clients keine Hard-Coded DNS nehmen können), die nicht geht. Da weiß ich aber noch nicht weiter woran es liegt.
-
Einfach für alles den lokalen Unbound eintragen und den ohne Upstream sein rekursives Ding machen lassen. DNS ist dezentral, Leute, man braucht keinen Upstream Server. Weder vom ISP noch von Google/Cloudflare/...
Hi. Hierzu habe ich noch einmal eine Frage, da ich nicht weiß, ob das ganze so "sicher" ist wenn man seinen eigenen Unbound nutzt. Macht man sich da nicht gerade im Bereich von IPv6 identifizierbar?
vgl. https://forum.opnsense.org/index.php?topic=32441.0
Oder habe ich einen Denkfehler?
-
Was soll der DNS-Dienst mit der Identifizierung deiner IPv6-Adressen zu tun haben?
Deine Clients fragen deinen lokalen DNS-Server. Der bearbeitet die rekursiven Anfragen selbständig. Dabei wird nirgends die Adresse des anfragenden Clients übertragen. Wozu auch? Dein lokaler DNS-Server ist natürlich sichtbar, normalerweise ist das dann die Adresse der OPNsense.
Moderne Client-Betriebssysteme benutzen darüberhinaus Privacy Extensions:
https://www.rfc-editor.org/rfc/rfc4941
HTH,
Patrick
-
Deine Clients fragen deinen lokalen DNS-Server. Der bearbeitet die rekursiven Anfragen selbständig. Dabei wird nirgends die Adresse des anfragenden Clients übertragen. Wozu auch? Dein lokaler DNS-Server ist natürlich sichtbar, normalerweise ist das dann die Adresse der OPNsense.
Danke Dir für das Feedback... Ja ich weiß. Aber im Grunde steht dann ja jetzt die Adresse der OPNsense im Netz und macht mich doch damit identifizierbar. Sprich Browsing-Aktivitäten können so gut geloggt und profiliert werden.
Mit ext. Resolvern wäre das ja dann so nicht der Fall... Oder?
-
Was meinst du mit "im Netz"?
Ein DNS Server für .org sieht und beantwortet deine Anfrage für opnsense.org.
Ein DNS Server für .opnsense.org sieht und beantwortet deine Anfrage für forum.opnsense.org.
Der Server mit dem Forum sieht die HTTPS-Verbindung vom Browser deines Clients.
Jeweils mit deren IP-Adressen. Logisch - es muss ja kommuniziert werden.
Nutzt du einen externen Resolver gibst du dem Betreiber des externen Resolvers die vollständige Info, dass du gerne auf forum.opnsense.org unterwegs bist, natürlich ebenfalls samt deiner IP-Adresse.
Warum sollte man dem Betreiber eines Resolvers trauen? Diese werden m.E. gezielt zum Datensammeln betrieben. Ich verwende grundsätzlich keine.
Ersetze forum.opnsense.org durch www.mecfs-beratung.de oder www.anonyme-alkoholiker.de oder ... (Domains frei erfunden) und du siehst hoffentlich, wo das Problem mit zentralen Instanzen liegt.
-
Warum sollte man dem Betreiber eines Resolvers trauen? Diese werden m.E. gezielt zum Datensammeln betrieben. Ich verwende grundsätzlich keine.
Hi. Das ist mir klar und deshalb mag ich auch eigentlich selbst meinen Unbound nutzen (bzw. habe ich es bisher auch so gemacht).
Seit IPv6 ist es aber so, dass quasi die Adresse des lokalen Unbound-Resolvers offen im Netz steht.
Schau mal z.B. auf https://browserleaks.com/dns > dort steht neben der IPv4 (wenn Du eine hast) auch die IPv6 Adresse deines lokalen Unbound-Resolvers.
Und darum geht es mir - Websites loggen das und nutzen das zum Profiling. Die Adresse ist mehr oder weniger statisch (Präfix mag sich mal ändern) der Rest aber nicht.
Ja - bei statischen IPv4 ist es ähnlich / aber nicht bei dynamischen IPv4.
Bei wechselnden IPv6 Präfixen ist es hingegen schon nicht gut, da wie o.a. der Rest der Adresse unique bleibt. > Daraufhin kann man loggen/Profilen etc.
Findest Du das sicher? Das ist das was ich meine.
-
Der Betreiber einer Website sieht den DNS-Request im Allgemeinen nicht. Die von dir verlinkte Site hat das speziell so implementiert. Kann man natürlich mit einer anderen Domain auch tun, ist aber bei Standard-Hostingpaketen z.B. bei uns nicht möglich.
Und selbst wenn - gibst du lieber alle deine Requests an Cloudflare oder Google?
-
Und selbst wenn - gibst du lieber alle deine Requests an Cloudflare oder Google?
Nein - das will ich mit Sicherheit nicht tun.
Aber worauf ich hinaus wollte ist dann ja mehr oder weniger doch der Fall. Sprich bei dynamischen IPs ist es sicherer keinen lokalen IPv6 Unbound Resolver zu haben, da man damit Daten leakt, welche man bei IPv4 nicht leakt.
-
Was man natürlich noch machen kann ist in der server.conf für Unbound hingehen und
do-ip6:no einstellen.