Hallo zusammen,
bestimmt kein neues Problem, aber ich habe die Lösung gerade nicht gefunden:
Ich verwende Unbound mit einem Query Forwarding auf meinen AdGuard. Geht auch alles bestens, jedoch zeigt AdGuard natürlich an, dass alle Anfragen von der OpenSense kamen (was physikalisch aber die gleiche Maschine ist).
Kann man das irgendwo einstellen / konfigurieren, dass AdGuard die korrekten Rechner anzeigt und nicht nur die OpenSense?
Gruß
Doktor
Du kannst die Reihenfolge umdrehen - Clients fragen AGH und der leitet weiter an Unbound.
Ich mach das mit NAT Port Forwarding, aber natürlich kannst du auch AGH auf Port 53 legen und Unbound z.B. auf 53530.
Die Antwort klingt gut...ich würde gerne noch mal die Maxi-Version davon nehmen :)
Ich wüsste noch nicht, wo ich was eintragen muss...
Naja, du legst den Unbound auf Port 53530 und den AdGuard auf Port 53.
Dann trägst du im Unbound evtl. Forward Server aus und im AdGuard 127.0.0.1:53530 ein.
Fertig.
Ah..also Du meinst, ich trage im AdGuard den Unbound als Upstream-DNS-Server ein, richtig?
Dann leitet AdGuard die Anfrage weiter an Unbound.
Und im Unbound habe ich dann die System-DNS-Server eingetragen, z.B. 1.1.1.1. Auch richtig?
Wenn du das willst. Ich benutze gar keine Upstream-Server in Unbound.
Ich glaube mir fehlt da noch ein wenig wissen.
AdGuard agiert auf Port 53 als DNS Server.
Anfragen kommen rein.
In AdGuard ist Unbound als Upstream-DNS-Server konfiguriert.
Also schaut AdGuard erst auf seine Sperrlisten, wenn alles ok ist, leitet er die Anfrage dann an Unbound weiter.
Aber woher weiß Unbound jetzt die IP-Adressen von den DNS-Server in der freien Welt?
Daher dachte ich, ich muss in Unbound ein Query-Forwarding eintragen und dort die DNS-Server von Google & Co.
Was passt da noch nicht?
Jeder rekursive DNS-Server braucht keinen Upstream. Nur "Internet". Die Liste der Server für die Root-Zone ist fest verdrahtet, und von da hangelt er sich den Baum entlang.
Das Internet ist dezentral konzipiert. Zentrale Plattformen sind Mist :)
Öh..bedeutet:
Ich leite die Anfrage an Forwarde die Anfrage an Unbound weiter, aber dort muss ich nichts eintragen, da er von sich alleine die Anfrage an das Gateway schickt zur DNS Auflösung, richtig?
Ausnahme ich trage im Unbound ein Upstream-DNS ein, dann könnte ich mir die DNS ,,aussuchen" die verwendet werden. Ja?
Du möchtest zu forum.opnsense.org.
Unbound hat eine Liste aller Nameserver für die Root-Zone.
Davon würfelt er einen aus und fragt nach NS (nameserver) Records für .org.
Er bekommt eine Liste zurück. Von dieser Liste würfelt er zufällig einen aus und fragt diesen nach NS Records für opnsense.org.
Er bekommt eine Liste zurück, würfelt davon einen aus, fragt diesen nach forum.opnsense.org.
Warum sollte er irgendwas an dein Gateway schicken? Abgesehen davon, dass auf Routing-Infrastruktur selten Nameserver laufen :)
Ah..die Info hat mir gefehlt: Ich wusste nicht, das Unbound schon über eine Liste der Rootserver verfügt.
Danke fürs Erklären!
Das schrieb ich aber schon :)
Die ändern sich so selten, die sind fix eingebaut. Und um ganz sicher zu gehen, holt er sich beim Start eine aktualisierte Liste. Sollte einer in seiner eingebauten "kaputt" sein muss er es halt ein, zwei mal versuchen. Ab da tobt er einfach rekursiv (deshalb heißt das so) durch das ganze Internet.
Wie auch schon geschrieben: das ist alles komplett dezentral geplant gewesen. Auf jeder Ebene. Routing, DNS, E-Mail ...
Ein Mailserver braucht nämlich auch keinen Smarthost beim Provider oder eine "Plattform". Den hängst du ans Internet, und wenn IP und DNS funktionieren, dann kann der Mail an alle existierenden Ziel-Adressen zustellen.
Dass heute nur noch wenige Mail von überall annehmen ist ein anderes trauriges Thema.
Aber grundsätzlich: IP-Uplink, BIND (später Unbound) und Sendmail starten - go! Keine Konfiguration nötig.
So..alles umkonfiguriert und es läuft.Top. Danke noch mal!
Feststellung: wenn man auf der OpenSense unter AdGuard den Haken setzt als Primärer DNS-Server, dann bringt das nix. Ich musste noch mal per Hand in das Konfigfile von AdGuard gehen und dort den Port 53 setzten.
Die IP-Adressen aller anfragenden Rechner werden jetzt angezeigt.
Kann man anstatt der IP-Adressen auch die Rechnernamen der anzeigenden Rechner anzeigen lassen?
Ist eine Option in AGH irgendwo.
Ich nutze auch kein Upstream-Server in Unbound und bin eigentlich zufrieden, keine ausfälle.
Meine Durchschnittliche DNS Bearbeitungsdauer liegt bei 11 ms und Upstream-Antwortzeit 70 ms.
Sind die werte OK?
Rekursionszeit (Durchschnitt): 0.070956
Rekursionszeit (Median): 0.0480553
Request queue avg: 0.289383
Meist Du diese Zeiten?
Aber wo ich dem AdGuard sage, dass er die Namen auflösen soll, bzw. was ich da eintragen soll, habe ich noch nicht herausgefunden...
Im AGH UI unter Settings > DNS Settings
Das habe ich bereits aktiviert...Sehe trotzdem nur ips und keine hostnames.
Was hast du denn bei "private DNS servers" drin stehen? Da gehört der Unbound rein, also 127.0.0.1:53530 oder eben passend.
Quote from: Patrick M. Hausen on October 20, 2024, 11:49:34 PM
Was hast du denn bei "private DNS servers" drin stehen? Da gehört der Unbound rein, also 127.0.0.1:53530 oder eben passend.
Also wenn Du meinst, dass ich den lokalen Unbound eingetragen haben soll (unter Private inverse DNS-Server), dann habe ich das gemacht.
Was mir aufgefallen ist, aber vielleicht soll das ja auch so sein: schaue ich unter z. B. Berichterstattung - Datenverkehr, dann stehen dort auch nur IPs und keine Hostnamen.
Registrieren deine Clients ihre Hostnamen denn in Unbound? Also ist in Services > Unbound > General "Register ISC DHCP4 Leases" gesetzt?
Quote from: Patrick M. Hausen on October 21, 2024, 10:20:14 AM
Registrieren deine Clients ihre Hostnamen denn in Unbound? Also ist in Services > Unbound > General "Register ISC DHCP4 Leases" gesetzt?
Ja, siehe Bild.
Und funktioniert die Reverse-Auflösung auch? Test direkt auf der OPNsense:
drill -x -p <unbound-port> @127.0.0.1 192.168.1.133
Hmm..sieht doof aus, oder?
Tja :)
Ich schlage vor, du machst einen neuen Thread auf, denn hier haben wir ja wohl ein Problem mit der Reverse-Auflösung durch Unbound.
Ach ... nimm erst mal bei AGH mal den Haken "primary DNS" raus - ich bin mir nicht ganz sicher, was für Magie das wieder einschaltet.
Zur Dokumentation: Das Thema wurde hier (https://forum.opnsense.org/index.php?topic=43545.0) weiter besprochen und gelöst. Kurzform:
Ich hatte als DHCP Kea verwendet, aber anscheinend geht arbeitet Unbound nur mit ISC zusammen.
Kea also deaktiviert und ISC aktiviert. Nun läufts.