Text only | Text with Images

OPNsense Forum

International Forums => German - Deutsch => Topic started by: ahlewurscht on June 08, 2025, 08:36:58 PM

Title: DNS Auflösung Richtung Internet funktioniert nicht
Post by: ahlewurscht on June 08, 2025, 08:36:58 PM
Hallo,

ich haben auf meiner opnsense (steht hinter einem DSL Router) mehrere Netze eingerichtet die keine Kommunikation untereinander haben sollen, aber jedes Netz soll Zugang zum Internet haben.
Ich habe als erstes für jedes Interface ein Block Rule gesetzt die die Kommunikation in die anderen Netze unterbindet außer Richtung WAN Interface. Danach erfolgen die Regel für den Zugriff auf das Internet (http, https, dns allow -> destination any).
Unter System->General->Settings habe ich meine bevorzugten DNS Server eingetragen. In der Konfig des Unbound DNS haben query forwardings aktiviert.
Mein Problem:
Wenn ein Client eine Namensauflösung durchführen möchte funktioniert diese nicht. In der Live log der Firewall ist zu erkennen das meine Block Rule die ich als erstes für jedes Interface angelegt habe zuschlägt, deaktiviere ich die Rule funktioniert der Zugriff. Ich kann nicht erkennen  wo das Problem liegen soll.
Title: Re: DNS Auflösung Richtung Internet funktioniert nicht
Post by: Patrick M. Hausen on June 08, 2025, 08:44:28 PM
Zeig doch mal die Regeln und die DHCP-Settings - exemplarisch für eines der Netze oder für alle - wie du willst.
Title: Re: DNS Auflösung Richtung Internet funktioniert nicht
Post by: ahlewurscht on June 08, 2025, 08:55:40 PM
Hier meine DHCP Settings. Für DNS habe ich keinen Eintrag hinterlegt da, wenn keine kein Eintrag vorliegt, wird das Gateway als DNS genutzt.
 
Title: Re: DNS Auflösung Richtung Internet funktioniert nicht
Post by: Patrick M. Hausen on June 08, 2025, 08:56:27 PM
Und die Firewall-Regeln an diesem Interface?
Title: Re: DNS Auflösung Richtung Internet funktioniert nicht
Post by: ahlewurscht on June 08, 2025, 09:00:52 PM
Hier noch das Regelwerk

Title: Re: DNS Auflösung Richtung Internet funktioniert nicht
Post by: Patrick M. Hausen on June 08, 2025, 09:11:47 PM
Das ist wieder der DHCP-Server ...
Title: Re: DNS Auflösung Richtung Internet funktioniert nicht
Post by: ahlewurscht on June 08, 2025, 09:15:21 PM
Sorry,
Title: Re: DNS Auflösung Richtung Internet funktioniert nicht
Post by: Patrick M. Hausen on June 08, 2025, 10:24:41 PM
Irgendeines der Netze in deiner Block-Regel enthält durch irgendeinen Zufall/Typo/Netzmaske/... wahrscheinlich auch den DNS-Server, den deine Clients zu verwenden versuchen.

Ich mach das eher so - ich hab eine Gruppe "Net4_Local" bzw. "Net6_Local", da sind alle lokalen Netze drin, in die jedes dieser jeweiligen Netze keinen Zugriff haben soll. Und dann diesen Regelsatz:

(https://forum.opnsense.org/index.php?action=dlattach;attach=45359;image)

HTH,
Patrick
Title: Re: DNS Auflösung Richtung Internet funktioniert nicht
Post by: ahlewurscht on June 11, 2025, 06:21:04 AM
Danke, damit hat es geklappt. Was den Zugang zum Internet angeht ist die opnsense leider etwas zu offen, ein kleiner Fehler und man hat zu allen anderen Netzen Zugang den man eigentlich nicht haben möchte. Aber wenn man es weiß kann man sich ja danach richten
Title: Re: DNS Auflösung Richtung Internet funktioniert nicht
Post by: Patrick M. Hausen on June 11, 2025, 09:58:46 AM
Quote from: ahlewurscht on June 11, 2025, 06:21:04 AMWas den Zugang zum Internet angeht ist die opnsense leider etwas zu offen, ein kleiner Fehler und man hat zu allen anderen Netzen Zugang den man eigentlich nicht haben möchte.

Was meinst du mit "die OPNsense ist zu offen"? Die tut exakt das, was du konfigurierst. Z.B. "from XY net - to any" - "any" heißt "any". Wenn du das nicht willst, musst du anders konfigurieren. Eine Firewall ist ein Policy Enforcement Device. Die Policy kommt von dir, nicht vom Gerät.
Text only | Text with Images