Hallo Zusammen,
ich habe hier seid Ewigkeiten Probleme mit dem Host override in unbound.
Nun habe ich mir heute mal die Zeit genommen und die opnsense komplett frisch installiert.
Ich habe erstmal keine großen Einstellungen vorgenommen.
clean install: noch keine WAN
host override eingestellt:
test.on3cx.de auf IP 192.168.179.200
nslookup am client:
Server: OPNsense.armbruster.net
Address: 192.168.178.1
Name: test.on3cx.de
Address: 192.168.179.200
Super das sieht ja soweit gut aus. Sobald ich jetzt aber meine Wan eingerichtet habe und ich erneut ein nslookup mache verweist dieser nun auf meine öffentliche IP-Adresse.
Server: OPNsense.armbruster.net
Address: 192.168.178.1
Nicht autorisierende Antwort:
Name: test.on3cx.de
Address: XXX.XXX.166.37
Kann mir hier jemand weiter helfen. Ich verzweifle langsam.
Und auch die Dokumentation zum Unbound gelesen? ;D
https://docs.opnsense.org/manual/unbound.html
Und zwar nicht nur oben die Override Sektion, sondern auch unter Advanced:
Private Domains
List of domains to mark as private. These domains and all its subdomains are allowed to contain private addresses.
Rebind Protection networks
These are addresses on your private network, and are not allowed to be returned for public internet names.
Any occurrence of such addresses are removed from DNS answers.
Additionally, the DNSSEC validator may mark the answers bogus. This protects against so-called DNS Rebinding. (Only applicable when DNS rebind check is enabled in Administration)
Hi,
@Rainer030
vielen Dank für das Feedback. Ich habe die Doku gelesen und auch dies getestet gehabt.
Ich hab hier auch unter private Domains test.on3cx.de und on3cx.de auch schon eingetragen.
Auch habe ich zu Testzwecken DNS Rebinding deaktiviert.
Leider alles ohne Erfolg
mmh, das ist komischk bei uns klappt das richtig gut mit dem Override soweit ich das "vermute".
Aktuell nutzen wir den OPNsense Unbound nur testweise für Gäste/Privates Netz, wo sowieso nicht ins Firmennetz gegangen werden soll, stellen aber nach und nach von pfSense um, so dass ich das Thema demnächst bestimmt auch noch mal haben werde und mehr dazu schreiben kaann.
- Wird vielleicht etwas "besonderes" wie DNSoverTLS oder so verwendet?
- Könnte es diese einfache Lösung sein, dass das richtige LAN Interface nicht aktiviert ist?
https://forum.opnsense.org/index.php?topic=19391.msg89336#msg89336 - Ansonsten finde ich nur öffentlich
https://homenetworkguy.com/how-to/create-unbound-dns-override-aliases-in-opnsense/
dazu, wo allerdings nicht auf diesen wesentlichen Punkt eingegangen wird...
Die "Fußnote in Services: Unbound DNS: Query Forwarding" kaann auch die Ursache sein:
Please note that entries without a specific domain (and thus all domains) specified in both Query Forwarding and DNS over TLS are considered duplicates, DNS over TLS will be preferred. If "Use System Nameservers" is checked, Unbound will use the DNS servers entered in System->Settings->General or those obtained via DHCP or PPP on WAN if the "Allow DNS server list to be overridden by DHCP/PPP on WAN" is checked.
Letzter Tel würde zu dem Hinweis "nach Aktivierung vom WAN Interface" passen...
Ich hatte noch https://forum.opnsense.org/index.php?topic=22972.0 gefunden,
der ein ähnliches Problem durch lokale DHCP-DNS Zuweisung hat(te) ...
Ansonsten mal unter Unbound => Advanced die Logging Optionen aktivieren:
* Log Queries
* Log Replies
und zumindest übergangsweise:
* Tag Queries and Replies
* Log local actions
* Log SERVFAIL
* Log Level Verbosity 3
* Log validation level 1 (Default)
und falls dann nicht schon selbst der Fehler erkannt wird die Logzeilen hier posten...