OPNsense Forum
International Forums => German - Deutsch => Topic started by: micneu on November 25, 2018, 03:33:32 am
-
Moin, habe in der ct einen artikel über li-hole gelesen.
kann man das auch direkt in die opnsense integrtieren oder kann sie das auch schon von sich aus?
-
Das Bind Plugin kann das.
https://docs.opnsense.org/manual/how-tos/bind.html
-
Jetzt fehlen bei BIND noch die Reports, dann ist das PlugIn auf dem richtigen Weg.
-
Ja, da fehlt noch einiges, vor allem Zeit :(
-
Ha, genau die selbe Frage hätte ich auch gehabt ;-)
Aber jetzt noch eine Noob-Frage dazu: ich nutze auch Unbound DNS, kommen die zwei sich nicht in die Quere? Beu Unbound DNS kann ich nur leider keine Listen importieren, sonst hätte ich das einfach damit gemacht.
Viele Grüße!
-
Das wäre Unbound only:
https://devinstechblog.com/block-ads-with-dns-in-opnsense/
-
Ha, genau die selbe Frage hätte ich auch gehabt ;-)
Aber jetzt noch eine Noob-Frage dazu: ich nutze auch Unbound DNS, kommen die zwei sich nicht in die Quere? Beu Unbound DNS kann ich nur leider keine Listen importieren, sonst hätte ich das einfach damit gemacht.
Viele Grüße!
Die Anleitung https://docs.opnsense.org/manual/how-tos/bind.html unter "Advanced" verrät wie Du Unbound als Resolver und BIND zum blocken nutzen kannst. Die beiden Dienste müssen natürlich unterschiedliche Ports nutzen damit sie sich nicht in die Quere kommen.
-
Jau, super, vielen Dank. Nur für mein Verständnis - mit den advanced settings laufen alle Anfragen beim Unbound DNS auf, der schaut dann erst nach, ob bei ihm was eingetragen ist (z.B. eine Überbrückung) und wenn nein, schickt er das an Bind weiter, der dann die Blacklist prüft?
Und die Blacklist (wenn ich keine DNSBL nutze, sondern die Listen von CT) kopiere ich einfach bei ACL in das Feld "Netzwerk Liste". Richtig verstanden?
Viele Grüße
-
Eigene Listen gehen nicht. Der Rest war richtig verstanden.
Welche Liste ist das? Dann füge ich sie hinzu
-
Die hat die C't hier im Artikel (https://www.heise.de/ct/ausgabe/2018-25-Smart-TVs-mit-Netzwerkmethoden-absichern-und-einhegen-4225169.html?wt_mc=print.ct.2018.25.78#zsdb-article-links) verlinkt:
https://github.com/Akamaru/Pi-Hole-Lists/blob/master/hbbtv.txt
Ich denke mal die anderen Listen dort sind über die in Bind enthaltenen Listen abgedeckt.
Vielen Dank und viele Grüße
-
danke,
jetzt noch eine sau frage, ich setze zurzeit dnsmasq als dns server ein, wie muss ich mein system umkonfigurieren das der unbound läuft und auch meine lokale domain auflöst?
hoffe die frage ist nicht zu doof, nur ich habe kein howto gefunden.
-
hallo, danke schonmal.
ich habe alles nach der anleitung (https://docs.opnsense.org/manual/how-tos/bind.html) eingestellt. wie kann ich jetzt sehen ob es funktioniert?
leider ist in meinen logs nichts zu sehen.
-
/var/log/named/query.log? Nix?
-
Hier meine Einstellungen, Part1
-
Hier meine Einstellungen, Part2
-
Hier meine Einstellungen, Part3
-
Hier meine Einstellungen, Part4
-
Einstellungen sehen korrekt aus.
DNSmasq hast Du deaktiviert, und die Clients nutzen die OPNsense als DNSer? Siehst Du in den Logeinträgen vom Unbound Anfragen eingehen? Ggf. den LogLevel auf mind. 2 hochdrehen.
-
Hallo, ja ich sehe einträge.
(siehe bild)
aber wo kann ich sehen welche was durch den dens geblockt wurde.
ich habe das gefühl mit pi-hole wurde mehr geblockt.
oder wie kann ich die listen aus dem pi-hole in den bind bekommen?
-
Wenn du mir die Listenquelle sagst kann ich sie hinzufügen
-
Danke, hier die habe ich glaube ich nicht in deiner liste gefunden:
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://mirror1.malwaredomains.com/files/justdomains
http://sysctl.org/cameleon/hosts
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
https://hosts-file.net/ad_servers.txt
-
Hallo, ja ich sehe einträge.
(siehe bild)
aber wo kann ich sehen welche was durch den dens geblockt wurde.
ich habe das gefühl mit pi-hole wurde mehr geblockt.
oder wie kann ich die listen aus dem pi-hole in den bind bekommen?
Welche version von dem Plugin hast du installiert? Bei mir ist unter Logs ein Reiter für Blocked wo man das explizit sieht.
-
Danke, hier die habe ich glaube ich nicht in deiner liste gefunden:
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts
https://mirror1.malwaredomains.com/files/justdomains
http://sysctl.org/cameleon/hosts
https://zeustracker.abuse.ch/blocklist.php?download=domainblocklist
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt
https://hosts-file.net/ad_servers.txt
Ich hab mir ne Erinnerung gemacht :)
https://github.com/opnsense/plugins/issues/1033
-
Servus,
ich habe BIND jetzt auch wie beschrieben über advanced im Unbound DNS eingerichtet und mal ein paar DNSBLs aktiviert, z.B. PornTop1M. Allerdings kann ich immer noch problemlos Pornoseiten aufrufen und auch im Protokoll von BIND finde ich keine Einträge. Habt ihr vielleicht mal ein Beispiel, welche Seite sicher gelockt werden müsste, dann kann ich da mal weiter testen.
Viele Grüße
doc
-
Schau mal in den Thread, da wurde das Blockieren von DNS-Aufrufen getestet: BIND DNSBL Problem (https://forum.opnsense.org/index.php?topic=9616.msg43749#msg43749)
-
/usr/local/etc/named/dnsbl.inc da stehen die Domains drin.
-
Hm - bei mir steht das nicht unter /usr/local/etc/named/dnsbl.inc sondern /usr/local/etc/namedb/dnsbl.inc
Liegt es vielleicht daran? Wenn ich eine der Domains die da drin stehen aufrufe, z.B. adcell.de, komme ich ganz normal auf die Seite. Ich habe die gleiche Einstellungen wie micneu. Auch im Protokoll von BIND steht lediglich: Die Datei /var/log/named/query.log lieferte keine Ergebnisse und /var/log/named/rpz.log.
Wobei das ja kein Wunder wäre, weil es das Verzeichnis named gar nicht gibt - sondern nur namedb.
Viele Grüße
doc
PS: habe OpnSense 18.7.8
-
Es war ausm Kopf am Handy geschrieben, dann heisst es namedb :)
Ich glaube das Umleitung am Unbound geht noch nicht.
Probier mal mit port forward ..
-
Ähm.. sorry, kannst das kurz erklären mit dem Port Forward?
Und übrigens: es steht nicht nur named in deinem Post, sondern auch in den Protokolldateien von BIND:
Die Datei /var/log/named/query.log lieferte keine Ergebnisse
Die Datei /var/log/named/rpz.log lieferte keine Ergebnisse.
Und wäre ja auch kein Wunder, wenn die keine Ergebnisse liefern, weil es die ja nicht gibt ;-)
-
Du machst einen port forward auf den LAN interface, source dein LAN, destination LAN address, UDP, port 53, umschreiben auf 127.0.0.1 port 53530.
Dann wird Unbound umgangen.
/var/log/named/ ist richtig
/usr/local/etc/namedb/ ist richtig
-
Ah ok, na das verstehe ich - aber grundsätzlich brauch ich den Unbound. Ich habe einige interne Umleitungen, die laufen müssen, sonst kann ich die Alexa nicht mehr sprechen lassen was ich möchte ;-)
Das hier:
do-not-query-localhost: no
forward-zone:
name: „.“
forward-addr: 127.0.0.1@53530
bei den benutzerdefinierten Optionen des Unbound sollte doch (soweit ich Laie das verstehe) doch eigentlich alles weiterleiten, wenn Unbound fertig ist als erste DNS Instanz. Das wäre zumindest meine Hoffnung ;-)
PS: Sorry, wer lesen kann, ist klar im Vorteil... ganz anderer Pfad /var/log und /usr/local :-X
-
Eigentlich schon, mit 1.7 hat das geklappt, mit 1.8 hab ich's noch nicht getestet.
-
So, also mit deinem Port Forward funktioniert es - lustigerweise geht der Unbound trotzdem und biegt mir die DNS anfragen um, die ich brauche. Scheint also zu klappen ;-)
Vielen Dank und viele Grüße
doc
-
Hm, aber irgendwie läuft das zumindest nicht so, wie ich dachte - meine Vorstellung von Bind war, dass er den Zugriff verhindert, oder? Ich habe jetzt nämlich zwar Einträge bei blocked:
client @id IP#56442 (youporn.com): query: youporn.com IN AAAA + (127.0.0.1)
aber die Seite öffnet sich einfach trotzdem im Browser. Und das würde ich ja gerne verhindern ;-)
Bin über jeden Tipp dankbar - viele Grüße
doc
-
Proxy?
-
Nope, nur HAProxy, aber der sollte damit ja gar nix zu tun haben...
-
Kannst du deinen DNS Traffic mal mitschneiden? Eigentlich bekommst du nen leeren Eintrag vom DNS.
Ich glaub eher du benutzt Bind und Unbound gleichzeitig (irgendwie) und deswegen klappts dann ..
-
So, Verkehr mal mitgeschnitten. Nachdem DNS Abfragen bei mir anscheinend über ipv4 und 6 parallel laufen, habe ich mal noch ein ipv6 Port Forward gemacht. Jetzt komme ich auch nicht mehr auf die OPNSense Oberfläche, weil mir UnboundDNS das nicht mehr umbiegt (also nur noch über IP). Allerdings komme ich immer noch auf die unerwünschte Seite. Der Mittschnitt ist eigentlich ganz simpel. PC fragt vom Port 51117 bei OPNSense auf Port 53 an und bekommt dann dann die Antwort (je auf IPV4 und 6).
Ich habe jetzt allerdings im BIND-Protokoll etwas komisches gefunden:
07-Dec-2018 17:52:12.692 query-errors: warning: client @0x1ff68461a00 IP#52859 (www.youporn.com): rpz QNAME rewrite youporn.com via youporn.com.blacklist.localdomain query_getzonedb()failed: : zone not loaded
Was bedeutet denn das?
Und kann man dem Unbound bei den erweiterten Einstellungen
do-not-query-localhost: no
forward-zone:
name: „.“
forward-addr: 127.0.0.1@53530
auch irgendwie ipv6 beibringen?
Viele Grüße
-
Hallo Allen,
Ich hab das gleiche wie docb mal versucht, aber es klapt bei mir auch nicht. Mit ein port forward nach 53530 kan ich Bind betreiben, aber ich kann nicht forwarden von Unbound aus. Siehe auch das Bild im attachment.
-
Irgendwie scheint das seit Unboung 1.8 zu spinnen :(
-
OK... leider.... ist der root cause schon bekannt?
ich habe ein Artikel gefunden wo einer es andersherum gemacht hat. Er braucht BIND als 1er DNS server und braucht Unbound als forward DNS in BIND. Das hab ich schon auch ein mal versucht, aber leider ist dieser weg nicht moeglich in der GUI: Ich kann nicht forwarden ueber IPv6 mit ein geandertem port.
FYI:
https://www.going-flying.com/blog/better-ad-blocking-and-safer-dns-with-unbound-and-cloudflare.html
-
Hi,
könnt ihr bitte mal den Topic ändern? Das hat ja nix mit PI-Hole zu tun!
cheers till
-
Hallo,
das Topic könnte man wirklich ändern :D
aber ich würde mich dem Problem gerne Anschließen, ich nutze auch den Unbound DNS und möchte mit dem Skriptschnipsel auf den Bind weiterleiten.
Leider funktioniert das nicht und die geblockten Seiten werden trotzdem einfach geladen.
Gruß Rocker
-
moin, zu was soll ich es den ändern?
Unbound, BIND oder was möchtet ihr, ich bin in sowas nicht kreativ genug
Gesendet von iPad mit Tapatalk Pro
-
Vielleicht ein Topic wie: "Unbound und BIND anwenden als alternativ fuer Pi-Hole" ?
-
Danke, werde ich gleich ändern.
-
Danke. Und wenn ihr aus "alternativ" noch "Alternative" macht klingst gut. ;)
cheers till
-
Hallo,
ich habe in den Tutorial für das DNSCrypt-Proxy Plugin den Codeschnipsel für die Weiterleitung verwendet und den Port etwas modifiziert, jetzt funktioniert das Blocking mit Unbound/Bind wie es soll :D
do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: ::1@53530
forward-addr: 127.0.0.1@53530
evtl. klappt es hiermit ja jetzt bei euch auch!
Gruß Rocker
-
Hi Rocker,
ansonsten hast du kein NAT eingerichtet, sondern nur den Code im Unbound bei erweitert eingegeben?
Muss man bei den Einrückungen im Code etwas beachten?
Bei mir geht es so nämlich leider nicht - das Queries oder Blocked Protokoll im BIND bleibt leer...
Viele Grüße
doc
-
Schau ins Unbound Log .. steht bestimmt was von duplicates use
-
nein ich habe nichts weiter eingerichtet, ich habe die config so wie es das Tutorial vorschlägt + plus diesen Codeschnipsel.
Die Firewall Regel habe ich auch nicht übernommen.
und es funktioniert gerade. ABER ich bin bei weitem kein Profi, zumindest ist die Werbung gerade nirgends zu sehen. Ob es negative Sideeffects gibt weis ich nicht
Gruß Rocker
-
Na da hat der mimugmail leider recht...
unbound: [2736:0] error: duplicate forward zone . ignored.
-
Lass Mal System : Settings : General die Liste von DNS Servern leeren. Dann sollte es gehen.
-
Das habe ich gerade mal versucht - allerdings geht dann gar keine DNS Anfrage mehr - das ist zu effektiv ;-)
Hab ich vielleicht grundsätzlich was falsch eingesellt? Mein OPNSense ist hinter einer Fritzbox 6590 Cable.
-
der Codeschnipsel aus dem Tutorial https://forum.opnsense.org/index.php?topic=10670.0 ist auch für IPv6 konfiguriert. Nutzt du das überhaupt? Ob du von Unbound auf DNSCrypt/BIND umbiegst sollte wurst sein. Lediglich die Ports sollten angepasst werden. Wenn du kein IPv6 benützt sollte der Codeschnipsel für Unbound so aussehen:
Configuration Unbound DNS:
Services/Unbound DNS/General
=> Uncheck the Option for "DNS Query Forwarding"
=> Under "Custom options" you must configure Unbound DNS that is all forwarding to DNSCrypt-proxy. I setup this for IPv4
server:
do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: 127.0.0.1@53530
=> Under "Outgoing Network Interfaces" I choose Localhost. So I have the assurance that the traffic for dns-requests goes only to localhost (DNSCrypt or BIND)
Configuration System DNS-Server:
System/Settings/General
=> Check that no one DNS-Server is configured
=> Uncheck "Allow DNS server list to be overridden by DHCP/PPP on WAN"
=> Uncheck "Do not use the local DNS service as a nameserver for this system"
-
Yuhuu, p1n0ck10 Dankeschön - so läuft es!!! Geniale Sache, echt top. Die DNS-Server unter System/Settings/General muss ich allerdings drin lassen, sonst geht nix. Aber jetzt greift BIND, DANKE!!!
Allerdings hast du mich jetzt auch mit dem DNSCrypt neugierig gemacht ;) Kann man beides, also BIND und DNSCrypt betreiben / die DNS Abfrage nacheinander irgendwie von Unbound zu BIND und zu DNSCrypt biegen?
Viele Grüße
doc
-
IP alias hinzufügen, Interface localhost, IP 127.0.0.8 und dann den Dnscrypt-proxy auf die IP hören lassen. Dann die IP in Bind als Forwarder
-
@docb: geht laut mimugmail ;-)
Wie gut und stabil das läuft muss du selber testen. Ich bin kein Fan davon DNS-Ringelpietz mit anfassen zu spielen und gewisse Funktionen auf eigene Resolver auszulagern. Ist sonst schwierig bei der Fehleranalyse ::)
Für mich kommen zuerst die Security-Funktionen wie DNSSEC und Verschlüsselung in Frage und dann die Blocking-Funktionen, da es dafür X-Alternativen gibt. Haben ja viele DNS-Anbieter schon intus wie Ads, Porn, IoT etc. Die ein oder andere Funktion wird bestimmt noch in den Standard-Resolvern wie Unbound und DNSmasq kommen und dann sind die weiteren Plugins unnötig.
-
Irgendwie scheint das seit Unboung 1.8 zu spinnen :(
Ich habe meine Fehler gefunden. Ich hatte mein WAN Interfaces activiert unter Unbound>general>Outgoing Network Interfaces und nicht Localhost. Jetzt habe ich nur Localhost activiert und WAN deactiviert und alles funktioniert!
-
Ja da gibt es mehrere Wege hab ich gemerkt. Der mit outgoing Interface macht Sinn :)
-
Auf meiner Instanz wird mir gar nicht Localhost als Unbound Outgoing Interface angeboten...
Wenn ich aber alle Interfaces als Outgoing angebe, funktioniert die Weiterleitung von Unbound zu DNSCrypt-Proxy so wie oben beschrieben. Das ist aber m.M. nach ein unsauberer Workaround einfach All zu benutzen.
Muss ich irgendwo noch was konfigurieren um die Option mit Localhost zu bekommen?
-
Hallo,
ich habe genau das Setup wie in diesem Thread beschreiben, in Nutzung.
(und es funktionierte bis vor Kurzem)
sprich keinen DNS Server unter der Allgemeinen Firewall Konfiguration.
es ist keine der drei Check-boxen gesetzt, die sich darunter befinden
Unbound leitet entsprechend an Bind weiter
do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: ::1@53530
forward-addr: 127.0.0.1@53530
Und seit kurzem bekomme ich folgende Fehlermeldung im log bei Bind:
lame-servers: info: host unreachable resolving
Ich hab keine Ahnung woran es liegen könnte... ich habe schon alles versucht, Bind neu installiert die Firewall neu installiert (Konfig zurückgespielt)
Ich kann aktuell z.B. kein apt update && apt upgrade mit den UIbuntu Servern machen... Hier bekomme ich die Meldung Verbindung fehlgeschlagen.
Ich habe auch schon auf dem Interface eine LAN --> allow --> any --> any regel gesetzt um Probleme mit den Regeln auszuschließen, aber leider geht es trotzdem nicht :(
im Livelog der Firewall ist auch nichts zu sehen, außer die üblichen blocks (ICMP usw...)
Ich weis aktuell nicht mehr weiter :(
Auch kann ich nicht mehr sagen ob oder was ich geändert habe um das Problem zu verursachen
Vielen Dank
Gruß Rocker
-
Auf der Console mit dig schauen ob Bind auflösen kann:
dig @127.0.0.1 -p 53530 test.de
Wenn das geht wären die Logs von Unbound interessanter. Hast du einen Override in Unbound gesetzt?
-
der Befehl wird ohne Probleme ausgeführt.
Ich erhalte instant eine IP zurück
Meine Unbound Konfiguration habe ich angefügt.
Danke
Gruß Rocker
-
Und die Unbound logs?
-
HAllo,
die hab ich glatt vergessen, ich habe aktuell Level 2 eingestellt, das sieht so aus:
Apr 30 17:49:27 unbound: [53148:0] info: control cmd: stats_noreset
Apr 30 17:49:08 unbound: [53148:2] info: query response was ANSWER
Apr 30 17:49:08 unbound: [53148:2] info: reply from <.> 127.0.0.1#53530
Apr 30 17:49:08 unbound: [53148:2] info: response for archive.ubuntu.com. A IN
Apr 30 17:49:08 unbound: [53148:2] info: resolving archive.ubuntu.com. A IN
Apr 30 17:49:03 unbound: [53148:1] info: query response was ANSWER
Apr 30 17:49:03 unbound: [53148:1] info: reply from <.> 127.0.0.1#53530
Apr 30 17:49:03 unbound: [53148:1] info: response for epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:49:03 unbound: [53148:1] info: resolving epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:49:03 unbound: [53148:1] info: query response was CNAME
Apr 30 17:49:03 unbound: [53148:1] info: reply from <.> ::1#53530
Apr 30 17:49:03 unbound: [53148:1] info: response for epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:49:03 unbound: [53148:1] info: resolving epdg.epc.mnc002.mcc262.pub.3gppnetwork.org. A IN
Apr 30 17:48:06 unbound: [53148:0] info: query response was ANSWER
Apr 30 17:48:06 unbound: [53148:0] info: reply from <.> 127.0.0.1#53530
Apr 30 17:48:06 unbound: [53148:0] info: response for connectivitycheck.gstatic.com. AAAA IN
Apr 30 17:48:06 unbound: [53148:0] info: resolving connectivitycheck.gstatic.com. AAAA IN
Apr 30 17:48:04 unbound: [53148:1] info: query response was ANSWER
Apr 30 17:48:04 unbound: [53148:3] info: query response was ANSWER
Apr 30 17:48:04 unbound: [53148:3] info: reply from <.> 127.0.0.1#53530
Apr 30 17:48:04 unbound: [53148:3] info: response for connectivitycheck.gstatic.com. A IN
Apr 30 17:48:04 unbound: [53148:1] info: reply from <.> ::1#53530
Apr 30 17:48:04 unbound: [53148:1] info: response for connectivitycheck.gstatic.com. A IN
Hier noch mal Loglevel 3:
Apr 30 18:39:22 unbound: [49012:3] debug: cache memory msg=138079 rrset=139165 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:3] info: finishing processing for www.gstatic.com. A IN
Apr 30 18:39:22 unbound: [49012:3] info: query response was ANSWER
Apr 30 18:39:22 unbound: [49012:3] info: reply from <.> 127.0.0.1#53530
Apr 30 18:39:22 unbound: [49012:3] info: response for www.gstatic.com. A IN
Apr 30 18:39:22 unbound: [49012:3] info: iterator operate: query www.gstatic.com. A IN
Apr 30 18:39:22 unbound: [49012:3] debug: iterator[module 0] operate: extstate:module_wait_reply event:module_event_reply
Apr 30 18:39:22 unbound: [49012:2] debug: cache memory msg=137870 rrset=138974 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:2] info: finishing processing for wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: query response was NXDOMAIN ANSWER
Apr 30 18:39:22 unbound: [49012:2] info: reply from <.> ::1#53530
Apr 30 18:39:22 unbound: [49012:2] info: response for wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: iterator operate: query wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] debug: iterator[module 0] operate: extstate:module_wait_reply event:module_event_reply
Apr 30 18:39:22 unbound: [49012:2] debug: cache memory msg=137612 rrset=138974 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:2] debug: sending to target: <.> ::1#53530
Apr 30 18:39:22 unbound: [49012:2] info: sending query: wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: processQueryTargets: wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] info: resolving wpad.localdomain. A IN
Apr 30 18:39:22 unbound: [49012:2] debug: iterator[module 0] operate: extstate:module_state_initial event:module_event_new
Apr 30 18:39:22 unbound: [49012:3] debug: cache memory msg=137612 rrset=138974 infra=10866 val=0
Apr 30 18:39:22 unbound: [49012:3] debug: sending to target: <.> 127.0.0.1#53530
Gruß Rocker
-
Hier noch anbei im Anhang das Ruleset für das Interface und die Bind Config
Gruß Rocker
-
Hä? Log sieht doch super aus?
-
Hm ich hab so n bissl den Verdacht dass er http seiten nicht auflöst,
denn wenn ich bei meinem ubuntu server ein apt update mache lädf er die ersten 2 https repos danach aber ist sense...
Ign:1 https://artifacts.elastic.co/packages/6.x/apt stable InRelease
OK:2 https://artifacts.elastic.co/packages/6.x/apt stable Release
Fehl:4 http://ftp.hosteurope.de/mirror/mariadb.org/repo/10.3/ubuntu bionic InRelease
Verbindung fehlgeschlagen [IP: 80.237.136.138 80]
Fehl:5 http://archive.ubuntu.com/ubuntu bionic InRelease
Verbindung fehlgeschlagen [IP: 91.189.91.23 80]
Fehl:6 http://nginx.org/packages/mainline/ubuntu bionic InRelease
Verbindung fehlgeschlagen [IP: 95.211.80.227 80]
Ich komme einfach nicht dahinter :(
Gruß Rocker
-
Aber da steht doch eine IP dahinter, ist also aufgelöst. Proxy der was blockt dazwischen?
-
Hallo,
Danke für deine Unterstützung, aber ich finde den Fehler einfach nicht :(
Ich installiere die Opnsense noch einmal neu und werde ein älteres Backup einspielen und Hoffen dass es dann wieder Funktioniert.
Gruß Rocker
-
Auf meiner Instanz wird mir gar nicht Localhost als Unbound Outgoing Interface angeboten...
Wenn ich aber alle Interfaces als Outgoing angebe, funktioniert die Weiterleitung von Unbound zu DNSCrypt-Proxy so wie oben beschrieben. Das ist aber m.M. nach ein unsauberer Workaround einfach All zu benutzen.
Muss ich irgendwo noch was konfigurieren um die Option mit Localhost zu bekommen?
wurde mit der 19er Version entfernt...
-
Chiming in to say this worked for me. I have Unbound running on tcp/udp 53 (bound to static internal LAN address) and BIND running on 53530 (I think bound to the LAN address, but the firewall doesn't allow traffic to it). This is my Unbound custom config:
do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: 127.0.0.1@53530
For Outgoing Network Interface, I can only choose from LAN or WAN (not localhost). I have it set to LAN and things are forwarding correctly, LAN clients --> LAN interface @ 53 --> BIND @ 53530 --> outside resolver.