Hi,
ich bin neu im OPNsense Universum. Ich habe angefangen alles einzurichten. Unteranderem habe ich IDS aktiviert. Dort kann ich sehen, dass mein access point versucht NTP bei nicht konfigurierten domains abzufragen. Ich bin gerade ziemlich verunsichert.
WAN 2025-07-27T00:42:56 192.168.xx.15:123 mail.murphyslantech.de:123 udp nat rule
WAN 2025-07-27T00:42:43 192.168.xx.15:123 mail.bmwiedemann.de:123 udp nat rule
WAN 2025-07-27T00:42:37 192.168.xx.15:123 where-you.at:123 udp nat rule
Das geschieht sehr oft. Der AP wurde gerade erst aufgesetzt. Oder könnte es ein WLAN Client sein?
Ich bin ziemlich ratlos und weiß nicht, was ich tun soll. Meine Vermutung wäre ein bot netz, dass irgendwelche host belagert?
Beste Grüße
Port 123 ist NTP. Anscheinend hat dein AP einige NTP-Server vorkonfiguriert.
Ich habe mich falsch ausgedrückt. Die Daten sind nicht aus dem IDS sonder aus dem ,,Firewall: Log Files: Live View".
Quote from: Patrick M. Hausen on July 27, 2025, 12:50:31 AMPort 123 ist NTP. Anscheinend hat dein AP einige NTP-Server vorkonfiguriert.
Die sind nicht konfiguriert worden. Das ist ja das, was mich so verunsichert.
Edit1: Der AP wurde resettet und mit der neuesten Firmware bespielt.
Edit2: Das Label lautet ,,nat rule".
Viele Geräte haben ab Werk bereits NTP aktiviert, das das ein sinnvolles und notwendiges Protokoll ist. Eine über alle Geräte synchronisierte Uhrzeit im Netzwerk ist unabdingbar.
Was genau ist denn das Problem damit? Dieser Verkehr ist erwünscht und harmlos.
P.S.: Die seltsamen Namen der NTP-Server resultieren daraus, dass man in NTP typischerweise mittels 0.pool.ntp.org o.ä. Pools von NTP-Server addressiert, in dem alle möglichen NTP-Server im Internet enthalten sind. Das ist also nichts Verdächtiges.
Quote from: Patrick M. Hausen on July 27, 2025, 01:55:07 PMViele Geräte haben ab Werk bereits NTP aktiviert, das das ein sinnvolles und notwendiges Protokoll ist. Eine über alle Geräte synchronisierte Uhrzeit im Netzwerk ist unabdingbar.
Was genau ist denn das Problem damit? Dieser Verkehr ist erwünscht und harmlos.
Ich war verunsichert, weil mein AP externe NTPs anfragt, die ich nicht konfiguriert habe; vor allem wegen dem "nat rule". Ich war aber auch unvorsichtig in der Wahl meiner internen domain. Ich habe die meiner externen (domain.tld) gewählt. Ich habe vorhin nochmal von vorne angefangen und local.domain.tld als interne domain gewählt. Das sieht schon mal etwas besser aus; zumindest keine "nat rule" mehr.
Quote from: meyergru on July 27, 2025, 01:59:27 PMP.S.: Die seltsamen Namen der NTP-Server resultieren daraus, dass man in NTP typischerweise mittels 0.pool.ntp.org o.ä. Pools von NTP-Server addressiert, in dem alle möglichen NTP-Server im Internet enthalten sind. Das ist also nichts Verdächtiges.
Ich hatte vor dem Installieren von OPNsense die Vermutungen, dass mein Netzwerk kompromittiert sei.
Interne DNS Auflösung:
Wie funktioniert das bei OPNsense? Ich sehe auf den ersten Blick mehrere Möglichkeiten A-Records zu erstellen. Eimal Unbound und DNSmasq. Ist das richtig? Wo sollte ich interne A-Records eintragen?
Wenn Du beides benutzt, eher DNSmasq, falls es um A-Records für interne Clients geht. Normalerweise sind es ja nicht nur die A-Records, sondern eher statische DHCP-Einträge, die neben IP und Namen auch noch MACs beinhalten. Das kann Unbound sowieso nicht, zudem wirst Du in einer Standardkonfiguration die interne Domain von Unbound auf DNSmasq delegieren, da wäre es widersinnig, die Records für einzelne Einträge im Unbound zu haben.
Ich will beim empfohlenen OPNsense Standard bleiben. So wie ich das gelesen habe, findet gerade ein Umbruch was DHCP und DNS angeht, statt.
1. Ist Unbound für externe Auflösung und DNSmasq für interne Auflösung zuständig?
2. Wie kann ich statische IP-Adressen im internen Netzwerk automatisch bei DNS eintragen lassen? Oder muss ich das manuell machen? Ich kenne es nur manuell.
Quote from: spraysn on July 27, 2025, 08:18:06 PM1. Ist Unbound für externe Auflösung und DNSmasq für interne Auflösung zuständig?
Nein, das sind zwei Werkzeuge. Unbound ist ein DNS Resolver - der löst selbst DNS über die Root Server auf. DNSmasq ist ein Forwarder, der schickt nur alles an irgendeinen DNS Server (oder mehrere) draußen weiter. Ich persönlich bin kein Fan von Forwarding, weil ich mich dann verlasse auf das was der Forwarder mir sagt und das wieder zentralisiert, was dezentral sein sollte. Was du tust, liegt ganz bei dir und deinen Vorlieben. Beide laufen aber theoretisch auf dem gleichen Port also entweder - oder. Der Umbruch der stattfindet ist lediglich der default, und da DNSmasq auch DHCP spielen kann, ist das für kleine Setups vielleicht einfacher (ähnlich wie Pihole). Ich bevorzuge klar Unbound für DNS und was anderes (Kea, ISC, Dnsmasq, egal) für DHCP. Je nach Bedarf.
Quote from: spraysn on July 27, 2025, 08:18:06 PM2. Wie kann ich statische IP-Adressen im internen Netzwerk automatisch bei DNS eintragen lassen? Oder muss ich das manuell machen? Ich kenne es nur manuell.
Wenn es um IPs geht, die Geräte via DHCP fix haben (static reservations), die können in DNS mit reingeladen werden. Hängt aber von DHCP/DNS Kombo ab. Wenn es um völlig getrennte IPs geht (Geräte statisch konfiguriert), dann kann man sowohl Unbound als auch DNSmasq über Host Overrides problemlos Einträge dazukonfigurieren. Oder du machst dann das große Fass auf und machst bspw. das Bind Paket mit rauf und machst eine eigene interne Domain mit DNS Server. Was du da vor hast, weiß ich ja nicht :)
Cheers
\jens
Habe jetzt nach dieser Anleitung DHCPv4 with DNS registration (https://docs.opnsense.org/manual/dnsmasq.html#dhcpv4-with-dns-registration) und dieser Anleitung DHCPv6 and Router Advertisements (https://docs.opnsense.org/manual/dnsmasq.html#dhcpv4-with-dns-registration) die empfohlene Konfiguration durchgeführt. Habe dann unter "Services ‣ Dnsmasq DNS & DHCP ‣ Hosts" meinen internen Host eingetragen und das Häkchen bei "Local" gesetzt. Leider löst er nicht auf.
Edit: Es war nötig, den DNS-Server in der IP-Range zu deklarieren. Er hat sonst die DNS-Server unter "System -> Settings -> General" verwendet.