Hallo,
ich möchte auf meine Server bzw. deren GUI gerne über deren Hostnamen zugreifen können. Also z.B. wenn ich im Browser opnsense eingebe, dann soll die Webgui aufgehen. Das geht aber nicht, es öffnet sich immer eine Google-Suche. Über die IP geht es ganz normal.
Ich hab folgendes Setup:
Opnsense macht DHCP und. verteilt als DNS meinen Pihole. Im Pihole ist conditional forwarding aktiviert und die 3 Felder darunter entsprechend ausgefüllt.
Woran könnte es noch liegen?
Quote from: halloween on December 20, 2023, 07:07:09 PM
Woran könnte es noch liegen?
Vermuttlich, weil dein PiHole deine lokale Hostnanem nicht kennt.
Mache mal auf der Kommadozeile eine "nslookup HOSTNAME" mit einem HOSTNAME aus deinem Netz.
Quote from: halloween on December 20, 2023, 07:07:09 PM
Woran könnte es noch liegen?
Oder das dein Browser ,,Sicheres DNS" aktiviert hat und damit gar nicht mehr über das Betriebssystem geht, sondern direkt den Google oder Cloudflare DNS Server via DoH fragt.
Gruß KH
Browser hängen per Default die Suchdomain nicht mehr an einen flachen Hostnamen an sondern bewerfen eine Suchmaschine damit. Ich habe hier bei mir intern die Domain ettlingen.hausen.com und alle Clients bekommen die per DHCP reingedrückt. Ich kann "ping opnsense" oder "ssh opnsense" eingeben und das funktioniert, weil die Resolver-Library auf dem Client, die dafür zuständig ist, ".ettlingen.hausen.com" hinten dran hängt.
Das tun Browser nicht mehr so etwa seit diese "unified address and search field" erfunden wurde, also seit es keine separaten Felder mehr für URLs oder Suchbegriffe gibt.
Beschwer dich bei den Browser-Herstellern. Es wird nicht funktionieren. Also selbst wenn du dein DNS und DHCP tip top hast und "ping foo" funktioniert, wird "foo" im Browser dies nicht tun.
HTH,
Patrick
Quote from: Tuxtom007 on December 20, 2023, 10:46:37 PM
Vermuttlich, weil dein PiHole deine lokale Hostnanem nicht kennt.
Mache mal auf der Kommadozeile eine "nslookup HOSTNAME" mit einem HOSTNAME aus deinem Netz.
Da funktioniert es. Die lokalen DNS-Namen werden alle richtig angezeigt. Auch ein Ping zum DNS-Namen funktioniert.
Sicheres DNS im Browser ist deaktiviert, ich habe eine ganz normale ungesicherte Verbindung über Port 53 zu meinem pihole.
Also kann ich wohl nichts weiter machen?
Versuch es mit FQDNs anstelle von Kurznamen mit Suchdomäne. Das wird vom Browser (immer?) richtig behandelt.
Also anstelle von "pihole" ein "pi.hole" oder "pihole.example.com".
Ich hab auch OPNsense und Pihole. Meine OPNsense hat conditional forwarding zu dem DNS Server der meine interne Domain macht, und der Rest geht alles zum Pihole.
Im Browser (Firefox auf Linux) funktioniert alles, außer halt Kurznamen.
Ich hab local.lan als meine "Domäne" eingetragen. Aber auch wenn ich pihole.local.lan eingebe, kommt eine Google-Suche.
Conditional Forwarding ist im Pihole konfiguriert, muss ich das in der opnsense auch nochmal konfigurieren?
DHCP macht die Opnsense und verteilt den DNS-Eintrag (pihole). Pihole macht nur internen DNS und fragst selbst dann wieder beim unbound auf der opnsense nach, welcher nach extern zu den Root-Servern geht.
Hmm keine Ahnung ob es was ausmacht, aber bei mir ist es anders aufgebaut:
OPNsense Unbound -> Pihole -> Pihole Unbound -> Internet
1. DNS Request geht zur OPNsense, dort sind Overwrites definitiert für verschiedene interne DNS Namen (z.b. pihole.example.com, nas01.example.com etc...). Ich benutze kein .local etc... weil das gerne ignoriert wird.
2. Das Forwarding im OPNsense Unbound schickt alle anderen DNS Anfragen zum Pihole.
3. Der Pihole sendet alle DNS Anfragen an den eigenen Unbound der darauf läuft. (https://docs.pi-hole.net/guides/dns/unbound/)
4. Der Request geht vom Pihole durch die OPNsense direkt ins Internet.
In dieser Kette kann es keine Request Loops geben und funktioniert schon seit Jahren fehlerfrei.
Quote from: Monviech on December 21, 2023, 09:42:23 AM
Ich benutze kein .local etc... weil das gerne ignoriert wird.
Exakt. @halloween nimm mal eine vernünftige Domain statt local.lan. Die Browser ignorieren Zeug gerne, dass ihnen komisch vorkommt. Wie schon geschrieben ist das eine Entscheidung das Browsers, ob er überhaupt einen DNS-Request macht oder das, was du eingibst, gleich in die Suchmaschine wirft. Das ist kein Infrastruktur/DNS-Problem.
Kann ich mir da irgendwas aussuchen? z.B. opnsense-home.de ? Ist das dann nur für intern? Nach aussen hat das keine Bedeutung? Was nimmt man da normalerweise, wenn man keien eigene Domain hat?
Ich habe keine eigene Domain. Nur einen dyndns-Namen für WireGuard.
Ich benutze gerne Subdomains von richtigen Domains, die ich habe. Also für die Firma mit "punkt.de" zum Beispiel "intern.punkt.de". Oder privat mit "hausen.com" für mein Homelab die "ettlingen.hausen.com".
Dabei geht es in erster Linie darum, dass diese garantiert nirgendwo draußen im Internet existieren und es so keine Konflikte gibt.
Also wenn du einen DynDNS-Namen hast, dann nimm doch "intern.meindyndns.com" oder "home.meindyndns.com" als Domain. Das kann ja auch niemand anders auf der Welt haben.
Wenn mein dnyndns-Name lautet: xyz.dyndns.de
Dann nehme ich als lokalen Domainnamen fürs Netzwerk xyz.dyndns.de (da wo jetzt local.lan drinsteht) und wenn ich dann lokal auf die opnsense möchte, dann muss ich im Browser opnsense.xyz.dyndns.de eingeben --- richtig so?
Nein, du nimmst intern.xyz.dyndns.de oder home.xyz.dyndns.de ...
Hm, dann bleib ich aber eher bei den IP-Adressen, wenn ich sonst immer den ewig langen Domainnamen komplett eingeben muss... opensense.intern.xyz.dyndns.de --- da tippe ich mir ja den Wolf...
In unserer Arbeit haben wir das in der Form: firmenname.lokal
Und dann z.B. der DC hat dc1.firmenname.lokal
Im Internet gibts nur firmenname.de - das könnte ich dann bei mir zuhause auch so machen oder? Wenn ich nachname.lokal nehme? nachname.de gibts im Internet. nachname.lokal nicht.
Oder gibts dann die selben Probleme wie bei local.lan, dass das einige Browser nicht richtig verarbeiten können?
Probier es doch aus :-)
.local ist reserviert für mDNS, von Apple "Bonjour" getauft, aber tatsächlich ein Internet-Standard. Deshalb funktioniert .local nur, wenn es auch einen Rechner dieses Namens in deinem lokalen Netz gibt, der auf mDNS-Requests selbst antwortet.
foo.lokal könnte funktionieren.
Ich nehm wie gesagt ettlingen.hausen.com und ... oh mein Gott! ... Lesezeichen im Browser :P
Quote from: Patrick M. Hausen on December 21, 2023, 02:31:47 PM
...Lesezeichen im Browser :P
Wofür dann den ganzen Domainnamequatsch? Bookmarks nehmen auch IPs... :-P
Happy Holiday! o<:O)>
Quote from: chemlud on December 21, 2023, 02:53:52 PM
Quote from: Patrick M. Hausen on December 21, 2023, 02:31:47 PM
...Lesezeichen im Browser :P
Wofür dann den ganzen Domainnamequatsch? Bookmarks nehmen auch IPs... :-P
Aber SSL-Zertifikate nehmen keine IPs sondern nur FQDN ... :P
Quote from: halloween on December 20, 2023, 07:07:09 PM
Hallo,
ich möchte auf meine Server bzw. deren GUI gerne über deren Hostnamen zugreifen können. Also z.B. wenn ich im Browser opnsense eingebe, dann soll die Webgui aufgehen. Das geht aber nicht, es öffnet sich immer eine Google-Suche. Über die IP geht es ganz normal.
Ich hab folgendes Setup:
Opnsense macht DHCP und. verteilt als DNS meinen Pihole. Im Pihole ist conditional forwarding aktiviert und die 3 Felder darunter entsprechend ausgefüllt.
Woran könnte es noch liegen?
Ich gehe mal von der Grundeinstellung OPNsense mit Unbound DNS und DHCPv4 [LAN] + Pihole + Fritzbox aus.
Ich empfehle dir "Unbound DNS" und "Dnsmasq-DNS" NICHT gleichzeitig zu verwenden!
OPNsense > Einstellungen > System > Verwaltung "Deaktiviere DNS-Rebinding-Prüfungen" CHECKBOX aktivieren.
OPNsense > Dienste > DHCPv4 [LAN] > DNS-Server = IP vom PiHole angeben.
OPNsense > Dienste > Unbound DNS > Allgemein > "Register DHCP Leases" und "Register DHCP Static Mappings" CHECKBOX aktivieren.
PiHole > Settings > DNS > Upstream DNS Servers > IP OPNsense z.B. 192.168.1.1#53
PiHole > Settings > DNS > Advanced DNS settings > "Never forward non-FQDN A and AAAA queries" und "Never forward reverse lookups for private IP ranges" CHECKBOX aktivieren.
Die Erklärungen dazu sind in den Dokus bereits beschrieben und sollten aktiviert bleiben.
DNSSEC in PiHole > CHECKBOX DNSSEC aktiviert gibt nur antworten zu DNSSEC-Anwendung aus, sonst nichts. SECURE oder INSECURE im Log.
Um DNSSEC zu nutzen, musst Du in der OPNsense unter "Dienste: Unbound DNS: Allgemein" <Aktiviere DNSSEC Unterstützung> die CHECKBOX aktivieren. Dann muss noch in der OPNsense oder Fritzbox ein öffentlicher DNS-Server angegeben werden der DNSSEC unterstützt. Ich habe das gleich in der übergeordneten Fritzbox über Quad9 mit zusätzlichen "DNS over TLS (DoT)" eingetragen. Das ist am "sichersten"!
TEST: https://wander.science/projects/dns/dnssec-resolver-test/
PiHole > Settings > DNS > Advanced DNS settings > "Use Conditional Forwarding" CHECKBOX aktivieren.
CDIR: 192.168.1.0/24
DHCP server: 192.168.1.1
Local domain name: local.net
Die IP(Range) und Domain variieren auf das was Du in deiner OPNsense angegeben hast. Den DHCP Server sollte in dem Fall OPNsense und nicht PiHole machen!
Überprüfe in PiHole ob deine IPs in Namen aufgelöst werden "Top Clients (total)" oder "Query Log" in der Spalte "Status"... da sollten spätestens jetzt Hostnamen und keine IPs angezeigt werden.
Deine Geräte (Beispiel "OPNsense" = https://opnsense) sollten nun lokal mit Namen erreichbar sein. Die Domain muss nur angeben werden, wenn sich die Geräte gegenüber nicht in der selbigen befinden. Andere Domains müssen erst bekannt gemacht werden.