OPNsense Forum
International Forums => German - Deutsch => Topic started by: white_rabbit on January 07, 2023, 12:30:49 pm
-
Hallo.
Folgende Situation hier: Hinter unserer OPNSense befindet sich ein Server, der ein Samba4 & AD bereit hält. Dieser Server soll der primäre DNS-Server für alle sein.
Daher habe ich auf der OPNSense unter System → Einstellungen → Allgemein bei den DNS-Servern NUR diesen Server (10.16.1.1) eingetragen.
Zusätzlich läuft auf der OPNSense Unbound, wo ich die externen DNS-Server (9.9.9.9 und 1.1.1.1) unter
Dienste → Unbound → Unbound DNS → Query Forwarding → Custom forwarding eingetragen habe. Damit funktioniert im Moment alles: Ich kann von jedem Host aus sowohl interne als auch externe Server im Internet auflösen.
Meine Frage ist nun, wie die Reihenfolge der DNS-Abfrage abläuft, wenn ich ein zusätzliches Netz (z.B. ein WLAN) einrichte. Dort ist es beispielsweise so, dass die OPNSense die Adresse 172.17.17.254 bekommen hat und der DHCP-Server als DNS-Server ebenfalls die 172.17.17.254 für alle Clients dieses Netzes vergibt.
Es funktioniert zwar aber ich frage mich, ob ich in diesem WLAN nicht auch direkt 10.16.1.1 als DNS-Server mitgeben sollte?
Also ganz konkret: Ein Client im WLAN stellt eine DNS-Anfrage. Dann fragt er zunächst die 172.17.17.254. Wie ist das nun technisch geregelt: Wird nun der Umweg über die 10.16.1.1 genommen, weil dieser Server unter System eingetragen ist ODER wird direkt der Unbound auf der OPNSense gefragt? Welche der beiden Einstellung auf der OPNSense hat nun Vorrang?
Danke für Klärung.
-
Moin.
Also mir fällt dazu nur ein, um zu schauen wohin die Anfragen gehen aktuell, starte doch am Endegerät was im WLAN hängt einfach mal ein trace route. Dann hast du zumindest mal den IST Zustand ermittelt.
regards
-
Hallo.
Verstehe ich nicht -- ich will ja nicht die Routen überprüfen sondern sehen, welcher der DNS-Server Vorrang erhält!?
-
Hallo.
Verstehe ich nicht -- ich will ja nicht die Routen überprüfen sondern sehen, welcher der DNS-Server Vorrang erhält!?
Ich kapiere die Frage nicht, dein DNS Server ist 10.16.1.1 aber zusätzlich forwardest du auf 1.1.1.1 und 9.9.9.9?
Wurde für Unbound die Schnittstelle für Wlan aktiviert? Besser wäre ein Plan von deinem Netzwerk.
Außerdem kannst du zB. bei 10.16.1.1 nachschauen, ob dort eine DNS Anfrage ankommt, ping einfach mal aus dem Wlan irgendeine Domain an und dann schau in den Logs auf dem AD oder mach einen TCP Dump oder so...
-
Du musst unterscheiden zwischen dem konfigurierten Nameserver der OPNsense. Diesen benutzt das Betriebssystem auf der OPNsense, um z.B. die Hosts zu finden, von denen Updates geladen werden. Generell für alles, was die Firewall selbst mit dem Internet zu tun hat.
Dann stellst du deinen Clients in den diversen Netzen einen rekursiven Nameserver zur Verfügung. Per Default Unbound, aber man kann auch - wie ich - BIND benutzen. Oder AdGuard Home, der dann wieder an Unbound oder BIND weiterleitet, weil er selbst keine Rekursion kann. Alles sehr flexibel und sehr individuell.
Diese beiden Dinge haben im allgemeinen Fall nichts miteinander zu tun!
Wenn ein Client einen Request an eine 172.16.x.y Adresse wirft, dann landet die bei dem Dienst, der dort läuft. Also z.B. dem Unbound. Und der macht sich dann an die Arbeit. Wie der an die Info kommt, ist wieder abhängig von ... Zeugs. Aber der empfängt und beantwortet den Request.
Leider gibt es in der OPNsense aus historischen Gründen eine Menge "Magie", wie z.B. dass Unbound an die konfigurierten Nameserver unter "System" weiterleitet und lauter so Quatsch - aus meiner Sicht. Mache den Krempel seit 25 Jahren und kann BIND in- und auswendig.
Aber zurück zum Thema - was ich tue, um eine eindeutige Namensauflösung zu bekommen, ist, dass ich der OPNsense explizit 127.0.0.1 als Nameserver eintrage, und "do not use local resolver" aktiviere. So weiß ich, dass immer der Nameserver benutzt wird, den ich will.
Das ist in meinem Fall der BIND, der auf 127.0.0.1:53 lauscht.
Auf 127.0.0.1:53053 läuft ein AdGuard Home. Clients in meinem "Surf" Netz werden per NAT Port Forwarding an diesen weitergeleitet. Der AGH leitet dann an 127.0.0.1:53, also den BIND weiter.
Server in meinem "Server" Netz werden per NAT Port Forwarding direkt an den BIND weitergeleitet ohne den AGH. Wozu sollte ein Server einen Ad-Filter brauchen.
Also so sieht das hier aus. Wie ein DNS-Request generell abläuft und wieso man keinen Upstream braucht - weder vom Provider noch von Google - habe ich hier einmal erklärt:
https://forum.opnsense.org/index.php?topic=22760.msg108462#msg108462
HTH,
Patrick
-
...
Leider gibt es in der OPNsense aus historischen Gründen eine Menge "Magie", wie z.B. dass Unbound an die konfigurierten Nameserver unter "System" weiterleitet und lauter so Quatsch - aus meiner Sicht. Mache den Krempel seit 25 Jahren und kann BIND in- und auswendig.
...
Richtig, historisch gewachsen, diese Konfiguration an unterschiedlichsten Stellen. Ein einfaches Ausschalten des "internen DNS" bzw. Verwendung der konfigurierten DNS-Einstellungen für wirklich ALLES in der sense, intern UND für's LAN wäre wirklich sehr wünschenswert, um die Transparenz zu erhöhen.
-
Wie gesagt, diese beiden Einstellungen kombiniert sorgen eigentlich dafür, dass Ruhe ist:
(https://forum.opnsense.org/index.php?action=dlattach;topic=31759.0;attach=25210;image)
-
Also Unbound/Bind übernimmt zu 100% die Auflösung? Nix mehr "under the hood"? Ich hatte mal an WAN gelauscht nach DNS, aber das ist schon länger her...
-
BIND macht bei mir alles. Zuhause forwarded AdGuard Home an BIND.
In den Büros haben mir meine Kolllegen AGH verboten. Manchmal müssen wir Zeug für Kunden bauen, das AGH filtern würde.
-
Hallo.
Auch wenn die letzte Antwort schon etwas zurückliegt, krame ich diesen Thread nochmal nach vorne, denn ich habe die Einstellungen genauso umgesetzt und "eigentlich" funktioniert das auch. Dennoch gibt es manchmal seltsame Effekte und zwar immer dann, wenn sehr viel im WLAN los ist:
Wir sehen dann den Effekt, dass eine Adresse, die sich eigentlich im internen Netz befindet (konkret eine IP im internen 172.17.17.0/24 Netz) trotzdem "draußen im Internet" gesucht und dann natürlich nicht gefunden wird. Das sieht alles nach einem DNS-Problem aus, doch ich weiß nicht, wie ich das eingrenzen kann: Wenn ich
dig oder host oder nslookup verwende, wird immer die richtige IP im internen Netz angezeigt und trotzdem landen einige Clients auf der falschen Seite. Es scheint so zu sein, dass der DNS-Server bei zu vielen Anfragen einen Timeout liefert und dann einfach "der nächste" verwendet wird?!? Es ist jedoch auf der OPNSense nur ein Eintrag vorhanden ... daher ist mir nicht klar, wo ich suchen soll.
-
Wieso benutzen die Clients mehr als einen DNS-Server? Also weshalb überhaupt einen "draußen"?
-
Die Clients bekommen über den DHCP-Server auf der OPNSense genau einen DNS-Server (der intern bei uns ist).
Jetzt müsste ich aber weiter ins Detail gehen, da es vom jeweiligen Netz / VLAN abhängt, welchen DNS-Server die Clients erhalten: Im Fall des beschriebenen WLANs bekommen sie die IP des Pi-Holes, das alles weitere machen soll. Und hier klemmt es auch manchmal. Im Pi-Hole selbst steht als Upstream DNS Servers wiederum die OPNSense. Sollte also passen...
-
Du hast nirgendwo die Domain erwähnt. Wenn du die Domain bei "Services: Unbound DNS: Overrides: Domain Overrides" angibst kann das eigentlich nicht passieren. Außer Unbound wird komplett übergangen und es werden die System-DNS verwendet. Was ja mit dem erwähnten Haken von Patrick M. Hausen aber auch nicht passieren kann.
Vielleicht willst du auch mal eine reine DNSCrypt-Konfiguraton probieren. Da du ja nur forwarden willst und nicht resolven.
Bei "System: Firmware: Plugins" den DNSCrypt-Proxy (os-dnscrypt-proxy) installieren. Refresh im Browser.
Dann bei "Services: DNSCrypt-Proxy: Configuration" unter "Listen Address" "0.0.0.0:53" eintragen und "Allow Privileged Ports" anhaken.
Bei "Server List" trägst du "quad9-dnscrypt-ip4-filter-pri" und "cloudflare" ein. Andere Server laut dieser Liste: https://dnscrypt.info/public-servers
Bei "Services: DNSCrypt-Proxy: Configuration" unter dem Reiter "Forwarders" trägst du deine Domain ein und die IP vom lokalen DNS-Server (10.16.1.1).
Danach unter "Services: Unbound DNS: General" das "Enabled" abwählen und im DNSCrypt-Proxy "Enable DNSCrypt-Proxy" anhaken.