OPNsense Forum

Schönen guten Tag,

ich habe seit ein paar Tagen eine Opnsense im Einsatz. Vlan,DDNS funktionieren, auch Port Forward funktioniert.

Aber was nun plötlich nicht mehr funktioniert ist DNS!

Wenn ich ein Gerät das ich unter DNSMASQ (ui/dnsmasq/settings#hosts) eingetragen habe nicht mehr anpingen kann.

Das Gerät hat auch diese IP Adresse aber ich kann es nicht anpingen.


Ethernet adapter Ethernet:

   Connection-specific DNS Suffix  . : local
   Description . . . . . . . . . . . : Microsoft Hyper-V Network Adapter
   Physical Address. . . . . . . . . : 00-15-5D-01-90-00
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv6 Address. . . . . . . . . . . : xxxx:xxxx:xxxx:xxxx:xxxx:(Preferred)
   Lease Obtained. . . . . . . . . . : Sonntag, 2. November 2025 13:36:38
   Lease Expires . . . . . . . . . . : Mittwoch, 5. November 2025 17:06:43
   IPv6 Address. . . . . . . . . . . : xxxx:xxxx:xxxx:xxxx:xxxx:(Preferred)
   Link-local IPv6 Address . . . . . : xxxx:xxxx:xxxx:xxxx:xxxx:(Preferred)
   IPv4 Address. . . . . . . . . . . : 192.168.1.145(Preferred)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : Dienstag, 4. November 2025 14:25:13
   Lease Expires . . . . . . . . . . : Donnerstag, 6. November 2025 15:28:38
   Default Gateway . . . . . . . . . : fe80::caff:bfff:fe04:fec6%13
                                       192.168.1.1
   DHCP Server . . . . . . . . . . . : 192.168.1.1
   DHCPv6 IAID . . . . . . . . . . . : 201332061
   DHCPv6 Client DUID. . . . . . . . : 00-01-00-01-2F-46-57-9E-00-15-5D-01-90-00
   DNS Servers . . . . . . . . . . . : xxxx:xxxx:xxxx:xxxx:xxxx:bfff:fe04:fec6
                                       192.168.1.1
                                       xxxx:xxxx:xxxx:xxxx:xxxx:bfff:fe04:fec6
   NetBIOS over Tcpip. . . . . . . . : Enabled
   Connection-specific DNS Suffix Search List :
                                       [color=red]local
                                       local[/color]
Das ist der Code von einer VM.

Woher der DNS Suffix kommt "local" erschließt sich mir nicht. Habe das nirgends eingetragen.

Gibt es ggf. eine Funktion in Opnsense um den DNS "Stack" Zurückzusetzen. Habe jetzt schon mehrere Funktionen getestet ala FQDN an und aus das ich schon gar nicht mehr weiß ob ich es getestet habe.

Geräte sind wie gesagt per IP erreichbar aber per DNS nicht.

OPNSense ist auch der einzige DNS Server (Aktuell)

Danke

".local" wird der DNS-Suchanfrage hinzugefügt, das macht Windows per Default so. Woher es kommt, kann unterschiedlich sein. Man kann die DNS-Domain und die DNS-Searchlist per DHCP verteilen lassen, man kann das aber auch in den Netzwerkeinstellungen in Windows setzen.

Es kann sein, dass es bei Dir aus "System: Settings: General -> Domain" stammt.

Ich nehme dafür typischerweise eine eigene Domain und trage die Namen im DNS auch mit dieser Domain ein, damit sie gefunden werden.

Ok habe mir extra zwei Windows 11 Vms gemacht und in ein eigenes Netz (VLAN30) gesteckt.

Per IP können sich beiden anpingen.

Auch bei dem PC Namen können sie sich anpingen.
zb.: ping pc1

kommt direkt automatisch das "pc1.local" dazu und die richtige IP.

ABER ich habe ja unter DNSMASQ eine Fixe IP Vergeben + Namen!

Dieser wird aber nicht genommen!!

Hier habe ich unter Host Namen

Test1
bzw.
Test2

genommen.

Bei anderen DNS Lösungen wird das auch so genommen wie man es einstellt. Warum hier in Opnsense nicht?

Danke.

Was ist denn die eingestellte Domain der OPNsense? Da solltest du nicht .local benutzen sondern z.B. meinedomain.lan oder so etwas. Unter dieser Domain werden die Hostnamen Test1 und Test2 dann ins DNS eingetragen.

Dann noch per DHCP dafür sorgen, dass die Clients auch die Domain meinedomain.lan verwenden, und alles wird funktionieren.

Man hat hier einfach mehr Konfigurationsmöglichkeiten statt zwangsweise fritz.box. :-)

Danke für die Hilfe.

Ich bin hinter den Fehler gekommen den ich unabsichtlich gemacht habe. Ich hole aber etwas aus.

Habe ja geschrieben das ich von Tomato Firmware komme und dort auch DNSMASQ verwendet wird. Soweit so gut.

Im gleichen Atemzug habe ich mich auch in Opnsense an DNSMASQ gewagt und dort DHCP eingestellt. Auch das haben die VMs ohne Probleme übernommen.

Habe dann auch den Rat befolgt mit der Domain. Auch hier wurden die Änderungen übernommen. -> geshen in ipconfig /all.

Trotzdem waren die Geräte nicht mit dem von mir vergeben Alias Erreichbar. Egal ob mit Domain Anhang oder ohne. Mehrere Settings durchgetestet. Sogar die Opnsense komplett Reset und NEU installiert.

Nichts hat geholfen.

----------------------------------------------------------

Nun zu meinem Fehler! Und zugleich eine Bitte an die GUI Abteilung :)

Ich habe ja DHCP per DNSMASQ ausgegeben. Und auch in DNSMASQ die LEASE bekommen. Jetzt gibt es da einen Butten STATIC Lease! Damit kann man Static Lease erstellen mit Alias.

ABER DNS macht ja nicht DNSMASQ sondern UNBOUND!! Weil DNSMASQ hat den Port auf 0. Der macht ja kein DNS :)

Klar wenn DNSMASQ meine Static Lease kennt aber Unbound nicht das ich keinen Ping bekomme!

Deswegen bitte in der Wiki oder in der GUI selbst entweder riesen groß -> bitte dann UNBOUND Lease nehmen oder die Funktion/Tab sperren!

Ich weiß es war mein Fehler.

Habe es direkt zum Anlass genommen DNSMASQ links liegen zu lassen und auf KEA DHCP und Unbound DNS zu wechseln.

Sollte mein vorgehen KOMPLETT Falsch sein bitte direkt sagen. Ich will nicht einen Fehler mit einem Fehler korrigieren.

Werde die Tage nun nochmals alles auf Default oder neu installieren da ich doch einiges "getestet" habe und dann langsam alles von Tomato auf Opnsense übernehmen.

Danke nochmals für die Hilfe.

PS: ICH HASSE FRITZBOXEN. Ich will sie nicht ich habe sie nicht, kurz die Dinger sind ein graus.

Wenn man die Doku liest und 1:1 befolgt hat man keine dieser Probleme:

https://docs.opnsense.org/manual/dnsmasq.html#dhcpv4-with-dns-registration

Quote from: The_Master on November 05, 2025, 03:50:12 PMWoher der DNS Suffix kommt "local" erschließt sich mir nicht. Habe das nirgends eingetragen.

.local ist mDNS https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS

Offiziell vorgesehen für Heimnetze ist .home.arpa; .internal kommt neu dazu und ist in der Standardeinstellung noch keine local-zone in Unbound.

Quote from: Monviech (Cedrik) on November 19, 2025, 05:30:57 PMWenn man die Doku liest und 1:1 befolgt hat man keine dieser Probleme:

https://docs.opnsense.org/manual/dnsmasq.html#dhcpv4-with-dns-registration

Danke ich kenne die Seite :) Keine Ahnung warum ich die Zeilen mit DNS macht Unbound aus meinem Kopf gestrichen habe. Wie gesagt wenn man in die LEASE sieht und dann FIXE IPs vergibt springt er ja nach DNSMASQ. Hier wäre ein Hinweis hilfreich ala Vorsicht DNSMASQ ist auf Port 0 bzw. abgeschaltet! Spätestens dann klingelt beim User etwas.

Einfach eine GUI Verbesserung.

Oder DNSMASQ gar nicht installieren. Nur den neuen DHCP/DNS Dienst anbieten. Zumindest Optional zum installieren oder ggf. deinstallieren.

Weniger ist oft mehr in dem Falle...

Ich sehe hier gerade keinen Handlungsbedarf. Man kann noch viel mehr falsch konfigurieren und warnungen werden auch fast immer überlesen.

Geh mal zu "System - Settings - Administration" und ändere das interface wo die Webgui hört. Da kommt wohl das bekannteste Fenster was so ziemlich alle ignorieren xD

Hallo, ich sehe hier sehr wohl Handlungsbedarf für die GUI. Mit KEA findet man die Reservations in KEA DHCP v4. Fürs Workflow gehört das aber in Leases DHCP v4. Und die möglichkeit in den Leases mit einem + direkt einen Client zu den Reservations hinzuzufügen fehlt auch. Beim vorherigen DHCP war das wesentlich besser.

Man will ja schnell mal einen Client wählen und dem dann z.B. eine andere IP zuweisen oder die DNS für den Client festlegen. Ich nutzte z.B. Lancache und weise daher meinen PCs den Lancache als DNS zu und meinen Handys aber die OpnSense.

Wäre gut wenn das wieder so komfortabel wird wie früher...

FYI: https://github.com/opnsense/core/pull/9409

Kommt bald.

Bei den Reservations in KEA kann man die DNS für den client angeben. Gibt man da z.b. die ip .200 ein und danach die .1, also erst lancache und dann opnsense, trägt er automatisch erst die .1 in die reihenfolge ein obwohl man es anders herum eingibt.

Gibt man für DNS als Beispiel .210 .111 und .110 ein nimmt er diese reihenfolge.

Also wird die .1 (opnsense) immer an die erste stelle gestellt sobald man sie bei DNS mit angibt. Das darf so nicht sein! Meine reihenfolge muss schon beachtet werden.

Ein FIX wäre toll...

Clients verwenden die übergebenen DNS Server round-robin. Es gibt da keine Reihenfolge.

Moin, ich rede ja aber nicht von Clients. Ob die Round Robin oder anders die DNS verwenden spielt erstmal keine rolle.

Wenn schon OpnSense die Reihenfolge in der DNS zuweisung eigenständig ändert kann auch KEIN Client der Welt die richtige Reihenfolge verwenden.

Ich möchte ja gern das meine Windows PCs und XBOX als ersten DNS meinen Lancache .207 verwenden und falls der mal nicht erreichbar ist soll als zweiter dann die OpnSense .1 als DNS drin stehen. Wenn ich die aber so eintrage dreht OpnSense die Reihenfolge und trägt die .1 und dann die .207 ein. Somit nimmt mein Windows Client und auch die XBOX als ersten die OpnSense als DNS und umgeht den Lancache...

Die Reihenfolge ist irrelevant, kein Client auf der Welt beachtet irgendeine Reihenfolge. Das ist so definiert, was die Resolver-Library macht. Gib den Systemen per DHCP nur den richtigen DNS, weshalb überhaupt mehr als einen? Wenn du Redundanz brauchst, dann brauchst du zwei DNS Server, die einen identischen Datenbestand haben.

Du zitierst die Theorie der RFC und hast damit teils auch recht geht aber an dem vorbei was ich als Problem bezeichne.
In der sollte natürlich der DNS genommen werden der schneller antwortet. WILL ich aber nicht. Ich will das der Lancache die erste anfrage bekommt und sollte der nicht erreichbar sein soll die Anfrage an die OpnSense gehen.
Fakt ist das es mit ISC tadelos funktioniert hat die reihenfolge festzulegen!
Und das die Windows Clients das ALLE in meinem Netz auch so übernommen haben. DAS IST FAKT.
Es geht also nur mit KEA NICHT.

Quote from: Patrick M. Hausen on November 18, 2025, 03:55:37 PMWas ist denn die eingestellte Domain der OPNsense? Da solltest du nicht .local benutzen sondern z.B. meinedomain.lan oder so etwas. Unter dieser Domain werden die Hostnamen Test1 und Test2 dann ins DNS eingetragen.

Patrick, sag doch sowas nicht, das bleibt ewig online ;) und dann heißt es wieder "das hat aber jemand gesagt ich soll das so machen". Bitte nicht irgendwelche ausgedachten TLDs für internen Betrieb nehmen.

Für zu DNS/Domains sollte man entweder:

* eine echte Domain/TLD verwenden - dann klappt auch der ganze Geraffel rund um DNS, Zertifikate und Co gut und ist problemlos zu automatisieren
* wenn schon eine "ausgedachte" Domain, dann bitte entweder mit der TLD/Endung:
  - .test       was explizit dafür gedacht ist zu testen/ein Labor zu sein
  - .home.arpa  was explizit reserviert wurde für interne/home Domains
  - .internal   was seit Anfang des Jahres jetzt auch offiziell ratifiziert wurde, dass das ein geschützter Domain TLD Suffix ist, der NICHT öffentlich reserviert werden darf.

Gut es gibt noch .example und Co, aber das ist nicht für halbwegs produktive Home/Lab/Spielumgebungen gedacht.

Quote from: Gh0sti on November 23, 2025, 11:10:56 PMDu zitierst die Theorie der RFC und hast damit teils auch recht geht aber an dem vorbei was ich als Problem bezeichne.
In der sollte natürlich der DNS genommen werden der schneller antwortet. WILL ich aber nicht. Ich will das der Lancache die erste anfrage bekommt und sollte der nicht erreichbar sein soll die Anfrage an die OpnSense gehen.
Fakt ist das es mit ISC tadelos funktioniert hat die reihenfolge festzulegen!
Und das die Windows Clients das ALLE in meinem Netz auch so übernommen haben. DAS IST FAKT.
Es geht also nur mit KEA NICHT.

Das stimmt so leider nicht. Das mag jetzt aktuell genau für dein Windows der Fall sein. Die Auslieferung von 2 DNS Servern ist aber trotzdem Client-abhängig, wie die Auflösungs-Reihenfolge ist. Windows macht SEHR oft genau das was du denkst - es nimmt den ersten DNS und ansonten den zweiten wenn der zu lange braucht. Das ist aber Windows jetzt. Alte Windosen oder andere Systeme handeln NICHT zwingend so, denn was die tun liegt an der Art und dem Typ der DNS Konfig, die sie nutzen. Linux damals anders als Linux heute, SYSVINIT anders als SystemD und selbst bei heutigen Systemen kann man es anpassen oder anders einstellen bzw. ein Windows-Update und dann ist es plötzlich eben nicht mehr "nacheinander", sondern parallel wie es viel andere Systeme auch handeln. Du kannst dich eben genau NICHT darauf verlassen, dass die 2 DNSe in einer spezifischen Reihenfolge abgearbeitet werden, darum geht man auch immer davon aus, dass beide gleichberechtigt sind und entsprechend abgefragt werden können. Wenn man das nicht möchte, wird nur ein DNS gepusht - dann aber eben mit Risiko dass der dann tot sein kann, wenn was schief läuft.

Die einzige Art das gezielt und definiert zu 100% sicherzustellen ist es über DNS Loadbalancing zu realisieren, bei der der entsprechende LB dann prüft, welche DNSe verfügbar sind und diese dann in gezielter Reihenfolge befragt. Alles andere ist einfach ein "ja passt schon, kann klappen oder eben auch nicht". Was du als Fakt ansiehst, ist lediglich Zufall.

Cheers :)

Quote from: JeGr on November 27, 2025, 10:26:03 PM

Quote from: Patrick M. Hausen on November 18, 2025, 03:55:37 PMWas ist denn die eingestellte Domain der OPNsense? Da solltest du nicht .local benutzen sondern z.B. meinedomain.lan oder so etwas. Unter dieser Domain werden die Hostnamen Test1 und Test2 dann ins DNS eingetragen.

Patrick, sag doch sowas nicht, das bleibt ewig online ;) und dann heißt es wieder "das hat aber jemand gesagt ich soll das so machen". Bitte nicht irgendwelche ausgedachten TLDs für internen Betrieb nehmen.

Du meinst, es ist nicht offensichtlich, dass "meinedomain.lan" ein Platzhalter ist? 🤯

Das schon. Aber auch in einem Platzhalter sollte man doch Beispiele verwenden, die sich zumindest an gängigen Standards orientieren. meinedomain.internal oder meinedomain.home.arpa wären da als Platzhalter besser geeignet, finde ich 😉

Nein, Patrick, das müsstest Du doch wissen!

https://www.rfc-editor.org/rfc/rfc2606.html
https://www.rfc-editor.org/rfc/rfc6761.html

;-)

Wir wissen ja nur zu gut, dass manche Leute alles wörtlich nehmen - und andere eben nicht... die Kunst ist zu unterscheiden, wann etwas wörtlich zu nehmen ist und wann nicht. Aber um das zu wissen, muss man leider schon Experte sein - ein wichtiger Aspekt des Dunning-Kruger-Effekts.

Quote from: Patrick M. Hausen on November 27, 2025, 11:49:21 PMDu meinst, es ist nicht offensichtlich, dass "meinedomain.lan" ein Platzhalter ist? 🤯

leider nicht :/ Darum dachte ich lieber, ich "korrigier" es mal bevor sich das jemand beim Drüberlesen ins Gehirn meißelt und denkt, es wäre ne gute Idee ".lan" als TLD zu nutzen, weil das jemand so geschrieben hatte. Ich weiß, es nervt, ich fühle es :)