Hi,
ich versuche schon seit mehren Tagen einen lokalen DNS Server auf meiner OPNsense zum laufen zu bekommen aber leider schaffe ich Unbound Dns weder DNSMasq-DNS zum laufen zum bringen sobald ich sie aktiviere wird keine DNS mehr aufgelöst.
Ich habe unter System-->Settings-->General 1.1.1.1 und 8.8.8.8 angegeben Gateway:None
Und keinen Hacken auf der Seite.
Ich kann die Server von der Opnensense shell pingen.
Sobald ich Unbound und DNSmasq ausschalte und die Geräte direkt die Server zugewiesen bekommen Funktionierts!
Bin für jeden Tipp Dankbar.
Ohne Auswahl eines zugehörigen Gateway funktioniert das aber nicht.
Unbound ist eigendlich sehr einfach einzurichten.
Schaltet man an und es funktioniert weil es ein rekursive DNS Resolver ist. Man braucht keine weiteren DNS Server anzugeben oder Weiterleitungen einzurichten.
Das einzige ist, dass man in der Firewall Port 53 (DNS) auf Destination "This Firewall" zulassen muss, in jedem LAN/OPT interface was auf Unbound zugreifen soll. Danach verteilt man den Server mit DHCPv4 (Gateway Addresse der Firewall) (IPv4) oder SLAAC/DHCPv6 (IPv6) (Link Local IPv6 Addresse oder ULA)
Wenn die OPNsense selber den eigenen Unbound verwenden soll, gibt man 127.0.0.1 und Gateway none ein. Und man macht den Haken raus dass der ISP die DNS Server überschreiben darf.
Hab es auch schon über das WAN Gateway versucht aber leider ohne erfolg!
Wenn man nichts einträgt bei den Schnittstellen verwendet er doch automatisch die 127.0.0.1 oder sehe ich das falsch?
Quote from: Patzi on October 23, 2023, 06:38:14 AM
Wenn man nichts einträgt bei den Schnittstellen verwendet er doch automatisch die 127.0.0.1 oder sehe ich das falsch?
Einfach in die Hilfe schauen:
"Leer lassen, um die Standard-DNS-Server des Systems zu verwenden: Diese Schnittstellen-IP-Adresse, wenn ein DNS-Dienst aktiviert ist, oder die konfigurierten globalen DNS-Server."
Ja genau das hab ich gemacht!
Firewall kann ja nicht das Problem sein wenn ich von der Shell pingen kann oder?
Hier mal Screenshots von der Konfiguration und das Logfile nach dem Start!
Bei Unbound bei Interfaces "all (recommended)" lassen. Es hat einen Grund warum es recommended ist.
Query forwarding aus lassen, das brauch unbound nicht. Es hat root hints.
https://www.iana.org/domains/root/servers
Gerade versucht leider ohne erfolg!
Logfile sieht sehr ähnlich aus und ist angehängt!
Nehme mal bei "Services: Unbound DNS: Query Forwarding"
das " Use System Nameservers" raus und starte den Unbound neu.
Unbound holt sich selber eine Liste der Root-DNS-Server, damit sollte der funktionieren.
Firewall-Regel für "Allow DNS". hast du ja wohl, mache die als Floating-Regel reine mit "Interface = All Network" , Direction "in", Destination "This Firewall"
Das teste erst mal, damit muss es funktionieren.
Das hab ich gestern schon rausgenommen leider ohne erfolg!
Wo genau sollte diese Regel sein? Bzw wo muss ich sie anlegen? Firewall Rules WAN? Oder unter Floating?
Wie genau sollte diese Regel Aussehen?
Quote from: Patzi on October 24, 2023, 11:24:53 AM
Das hab ich gestern schon rausgenommen leider ohne erfolg!
Wo genau sollte diese Regel sein? Bzw wo muss ich sie anlegen? Firewall Rules WAN? Oder unter Floating?
Wie genau sollte diese Regel Aussehen?
So ist die bei mir, der Alias OPNSense beinhaltet bei mir alle Gateway-IPs , sollte auch mit "this firewall" gehen
und Teil 2
Habs jetzt so angelegt aber leider keine Änderung sichtbar!
Verstehe es einfach nicht gibs eine Möglichkeit alle Unbound Einstellungen zum Zurücksetzen?
Es funktioniert nicht nützt nicht viel.
Es wäre mal interessant was genau nicht funktioniert. Benutze mal Paketmitschnitte im LAN um herauszufinden, ob die DNS Pakete eines Clients bei der OPNsense ankommen. "Interfaces: Diagnostics: Packet Capture" und Port 53 mitschneiden.
Danach schaust du in der Firewall nach was mit den Paketen passiert (z.B. drop oder allow) in "Firewall: Log Files: Live View"
Jetzt überprüfst du, ob die Firewall Pakete in das Internet sendet, zu den Root DNS servern. Paketmitschnitt auf dem WAN interface und Port 53 mitschneiden.
So würde eine Anfrage ins WAN von Unbound aussehen:
https://forum.opnsense.org/index.php?topic=36425.msg177825#msg177825
Hier die 3 Test meiner Meinung Funktioniert das alles ganz normal und ich bekomme die antworten!
Bin gespannt was ihr dazu sagt!
Also niemand eine Idee an was es scheitert?
Du hast halt nie geschrieben, dass NordVPN verwendet wird. Das macht das Setup komplexer und das Troubleshooting schwieriger.
Sry hab nicht gedacht das es einen Unterschied macht da der komplette WAN Traffic darüber geleitet wird
Gibt es eine Möglichkeit DNS nicht über NordVPN abzufragen?
Bzw was müsste ich beim setup ändern?
Es ist spannend beim neustart von opnsense funktioniert unbound für kurze zeit und ladet die adressen in denn cache die sind dann auch weiterhin aufrufbar aber nach kurzer zeit<1min wird nichts mehr gefunden was nicht schon im cache liegt
Quote from: Patzi on October 27, 2023, 04:43:07 PM
Es ist spannend beim neustart von opnsense funktioniert unbound für kurze zeit und ladet die adressen in denn cache die sind dann auch weiterhin aufrufbar aber nach kurzer zeit<1min wird nichts mehr gefunden was nicht schon im cache liegt
Schalte mal den NordVPN Kram ab und teste, ob es dann funktioniert oder bringe es in Funktion - wenn das geht, kannst dir Gedanken über NordVPN machen.
Gerade versucht sobald das NordVPN Interface aus ist , einmal reboot und unbound läuft ganz normal!
Hast du eine Idee woran das mit NordVPN liegen kann?
Kann ich nur vermuten:
NordVPN lässt die DNS-Anfrage zu den Root-Server oder zu Cloudflare / Quad9 nicht durch und erzwingt auf eigene DNS-Server.
Meine persönliche Meinung: lass den Mist weg, das ist eh nur eine Pseudo-Sicherheit.
Auf Mobilgeräten, die sich in fremde Netze einloggen, macht das Sinn aber nicht für zuhause.
Es sollte ja auch möglich sein die Dns abfrage nicht über die Vpn verbindung zu machen?
Wenn ich bei unbound outgoing interface auf Wan stelle !
Funktioniert aber leider!
Hab ich da einen denkfehler?
Schau dir das mal an, ich hab mein Unbound in Verbindung mit nem VPN so eingerichtet, ist zwar ein größeres Prohekt aber man lernt viel damit: https://schnerring.net/blog/opnsense-baseline-guide-with-vpn-guest-and-vlan-support/#overview
LG
Hab jetzt mal rausgefunden das es für 2-3h perfekt funktioniert hat dann hat unbound aufgehört DNS Anfragen zu beantworten hat das Problem schon mal jemand gehabt?