OPNsense Forum

International Forums => German - Deutsch => Topic started by: you on February 14, 2018, 09:37:15 am

Title: DNS - sonderbar - Secondary DNS löst nicht auf, clientunabhängig
Post by: you on February 14, 2018, 09:37:15 am
Moins,

ich habe einen Knoten im Hirn:

1) Alle Clients in meinem Netzwerk bekommen die Firewall als DNS Server (DHCP oder manuell). Selbige verweist unter System/Einstellungen auf die AdGuard-DNS 176.103.130.132/176.103.130.134 (also Adblock, kein Schweinkram :) ).

2) Eine NAT Regel routet ALLE DNS Anfragen auf die Firewall (127.0.0.1) zurück. Damit können die AdGuard-DNS am Client nicht umgangen werden.

3) Alle Clients lösen sauber auf. Sowohl ping ins Internet, als auch ping hostname.domain.local. Werbung wird geblockt und Schweinkram ist nicht erreichbar. DNS kann nicht umgangen werden. Soweit so gut.

Problem:

Ich versuche einzelnen Clients vollen Zugriff aufs Internet zu geben. Spiegel Online bspw. wird wegen des Adblocks nicht mehr angezeigt. Was meine Frau auf die Barrikaden bringt :(

So bin ich vorgegangen:

a) Die NAT, die auf die Firewall für DNS zurückverweist, gilt für ALLE, außer Unlimited-Alias.
b) Die Unlimited-Mitglieder bekommen über den DHCP-Server LAN statisch ihre IP Adresse und explizit 8.8.8.8 als DNS zugeordnet.

Damit funktioniert zwar die Auflösung ins Internet, ABER ... pings an hostname.domain.local funktionieren nicht mehr.

Ich habe bereits versucht, in der DHCP Zuordnung entweder Firewall-DNS/8.8.8.8 oder 8.8.8.8/Firewall-DNS zu setzen. Es bleibt aber dabei. Internet-Ping geht, lokal wird nicht aufgelöst.

Ist das, was ich vorhabe, überhaupt zu machen?


Title: Re: DNS - Sonderfall
Post by: theq86 on February 14, 2018, 10:24:04 am
Du könntest den Clients nicht nur 8.8.8.8, sondern die Sense noch als sekundären DNS Server übergeben (via DHCP)

Dann haben die Unlimited clients eben 2 DNS Server. Wenn der erste (8.8.8.8) die Domain nicht auflöst wird eben der zweite DNS Server verwendet als Fallback.
Title: Re: DNS - Sonderfall
Post by: you on February 14, 2018, 10:41:44 am
Mh. Das habe ich eigentlich so gemacht. In den client-spezifischen Einstellungen gibt der DHCP Server die Sense und 8.8.8.8 mit. In beiden Reihenfolgen getestet, ohne, daß die gewünschte Wirkung einsetzt.

Ich werde das am Abend noch mal in Ruhe ausprobieren. DHCP/DNS Server neustarten, Lease erneuern, etc. Mal sehen :)

Danke nasq!
Title: Re: DNS - Sonderfall
Post by: you on February 14, 2018, 01:26:39 pm
Doofe Frage:

Den sekundären DNS Server gebe ich im DHCP Server in den clientspezifischen Einstellungen unter DNS an, oder?
Also erste Zeile primär und zweite Zeile sekundär?
Title: Re: DNS - Sonderfall
Post by: you on February 14, 2018, 02:51:04 pm
Mh ... ich schreibe mal weiter im Stile eines Selbstgesprächs :)

Wenn ich per DHCP die IP der Firewall als DNS weitergebe, dann erscheint die LAN-IP auch als DNS-Server in den Netzwerkeinstellungen der Clients. Und nur die!

Die Sense geht dann hin und löst fein local Domain Adressen auf bzw. routet Anfragen nach externen Domain Adressen an die unter System/Einstellungen/Allgemein eingetragenen DNSse weiter. Welcher der dort eingetragenen DNSse genommen wird, ist dabei mehr oder weniger vom Zufall abhängig.

Wenn ich per DHCP die IP eines externen DNS angebe, dann wird dieser in den Netzwerkeinstellungen der Clients auch angezeigt. Selbiger löst Anfragen nach externen Domain Adressen dann auch entsprechend auf. Interne Adressen können allerdings nicht weiter aufgelöst werden, die sind dem externen DNS ja gar nicht bekannt. Der DNS der Sense spielt in diesem Szenario keine Rolle, er ist den Clients schlicht unbekannt.

Deswegen der Vorschlag von nasq mit dem Secondary DNS. Der erste DNS ist der externe DNS und der zweite die Sense. In den Clients wird das dann auch so angezeigt. DNS1 = externe IP; DNS2 = Sense. Der DNS der Sense kommt in diesem Szenario zum Tragen, wenn eine Anfrage an selbigen auch tatsächlich gerichtet wird.

ABER: Es gibt nur eine Auflösung der externen Adressen. Ich habe versuchsweise den externen DNS umgestellt. Aber egal ob ich den DNS von AdGuard oder Google oder Telekom angebe. Die Clients finden keinen Weg zum Sense DNS.

ERGÄNZUNG: Auch wenn ich als ersten DNS die Sense im clientspezifischen Eintrag im DHCP Server angebe und den externen DNS in die zweite Zeile, wird lokal nichts aufgelöst. Jetzt bin ich ratlos :D
Title: Re: DNS - Sonderfall
Post by: you on February 14, 2018, 06:20:19 pm
So. Nach gefühlt 15 Kaffee und ein bissl frische Luft, habe ich meine Gedanken noch einmal sortiert, ein wenig herum experimentiert und ein bissl rumgeschraubt. Es funktioniert jetzt. EDIT: Immer noch nicht

Zum einen fehlte eine NAT, welche Sensen-DNS Anfragen aus der Gruppe der unlimitierten User direkt  an 127.0.0.1 weiter leitet. Damit wird die lokale Domain aufgelöst. Was da nicht klappt, geht an 8.8.8.8.

Zum anderen ist es wichtig, dem Client erst den Sensen-DNS mitzugeben (Feld 1)  und als zweites den externen DNS (Feld 2).

EDIT ... Kommando zurück. Ich muss noch mal schauen.
Title: Re: DNS - Sonderfall - Secondary DNS löst nicht auf, clientunabhängig
Post by: you on February 15, 2018, 09:34:22 am
Sodele.

Ich habe heute früh noch mal rumprobiert. Aber, egal welchen Client ich nutze. Ich schaffe es nicht, das der zweite DNS Servereintrag auflöst.

Clients bekommen public-DNS als ersten und sense-DNS als zweiten DNS Eintrag. Aber weder MAC noch Linux (Ubuntu oder Debian) lösen lokale Anfragen auf. In den Einstellungen bzw. /etc/resolv.conf stehen die beiden DNS Server sauber drin.

Geht es vielleicht deshalb nicht, da die Clients die DNS Server nicht sequentiell sondern parallel abrufen? Ich bin echt ratlos ... wollte es mir eigentlich ersparen noch einen zweiten DNS Server hier rein zu stellen. Bislang steht lokal nur die Sense.

Help ... I need somebody :D
Title: Re: DNS - Sonderfall
Post by: you on February 15, 2018, 09:38:50 am
Dann haben die Unlimited clients eben 2 DNS Server. Wenn der erste (8.8.8.8) die Domain nicht auflöst wird eben der zweite DNS Server verwendet als Fallback.


Leider funktioniert genau das nicht und ich weiss nicht warum :) ?
Title: Re: DNS - sonderbar - Secondary DNS löst nicht auf, clientunabhängig
Post by: you on February 16, 2018, 08:43:29 am
Nach einigem Lesen komme ich nun zum Schluß, dass mein Vorhaben, unabhängig von OPNSense, schon auf der Client-Seite scheitert.

Sowohl Windows, als auch macos, als auch Linux sehen primary und secundary nicht (mehr) als "erst primary, dann secundary", sondern als zwei Optionen, eine Anfrage abzuarbeiten. Welche der Optionen gewählt wird, ist mehr oder weniger dem Zufall überlassen.

Das heißt für mein Vorhaben, dass ich mit einem DNS Eintrag für die Clients auskommen muss. Was mich zu dem Schluß verleitet, dies geht am Ende nur über zwei dedizierte DNS. Der Eine verweist, nach Auflösung interner Adressen, auf den AdGuard DNS, der andere auf den Google-DNS.

Über geeignete Regeln in der Sense, kann ich dann steuern, wer auf welchen DNS zugreifen muß.

Das Schöne an solchen Aufgabenstellungen ist, daß man viel lernen kann. Sollte ich was übersehen haben, wäre ich für einen Tipp sehr dankbar.

Ende eines lehrreichen Selbstgespräches :D :D :D
Title: Re: DNS - sonderbar - Secondary DNS löst nicht auf, clientunabhängig
Post by: vikozo on February 16, 2018, 10:04:23 am
Danke, interessant zu lesen...