Messages

[FW:]

Hallo Zusammen

Ich habe ein wirklich komisches (und ziemlich mühsames) Problem: Immer mal wieder "verliert" DNSCrypt-Proxy die Verbindung zu den DNS Servern und ich erhalte dann so lustige Meldungen wie:

Code Select Expand

[2020-07-12 09:25:22] 192.168.10.51 xxx.xxx.ch A NETWORK_ERROR 0ms dns.digitale-gesellschaft.ch-ipv6

Wenn das der Fall ist, muss ich den Service jeweils neu starten und dann geht es wieder für eine Weile bis zum Nächsten "Unterbruch". Das kann manchmal einige Stunden gut gehen, manchmal kommt es aber relativ schnell wieder. Zum besseren Verständnis habe ich auch meine Config angehängt.

Was ich bisher gemacht habe:

• DNSCrypt-Proxy neu installiert --> Hat nix geholfen
• Andere DNS Server eingefügt --> Hat nix gebracht

Das Problem ist, so meine Vermutung und mein Bauchgefühl, erst seit dem letzten Update von OPNSense aufgetaucht. Ich verwende Version:

• FW: OPNsense 20.1.8_1-amd64 / FreeBSD 11.2-RELEASE-p20-HBSD / LibreSSL 3.0.2
• Plugin: os-dnscrypt-proxy 1.8
• Package: dnscrypt-proxy2 2.0.44

(Warum Plugin und Package nicht die gleiche Version haben, das weiss ich nicht)

Könnt ihr mir weiterhelfen? Bin wirklich schier am Verzweifeln. Und das an einem wunderschönen Sonntag ;-)

Viele Grüsse!

Abhijit

Update:

Ich habe noch das Health Audit gemacht und es hat keine Fehler angezeigt:

Code Select Expand



***GOT REQUEST TO AUDIT HEALTH***
>>> Check installed kernel version
Version 20.1.7 is correct.
>>> Check for missing or altered kernel files
No problems detected.
>>> Check installed base version
Version 20.1.7 is correct.
>>> Check for missing or altered base files
No problems detected.
>>> Check for and install missing package dependencies
Checking all packages: .......... done
>>> Check for missing or altered package files
Checking all packages: .......... done
>>> Check for core packages consistency
Checking core packages: ..................................................................... done
***DONE***



@mimugmail: Ich konnte das Problem inzwischen lösen: Ich habe das Plugin deinstalliert und wieder reinstalliert. Das hat scheinbar geholfen (weiss allerdings nicht warum :-D )

Lieber Mimugmail

Danke für deine Rückfrage. Das weiss ich leider nicht. Ich habe heute aber noch ein wenig rumprobiert und folgendes, sehr seltsames Verhalten festgestellt:

PCs im LAN können die DNS Namen nicht auflösen
Geräte im WLAN können das jedoch

Das ist insofern speziell da beide VLANS den gleichen DNS Server haben und dort auch in der Konfig nix geändert wurde (so nach dem Motto: "Never change a running system" :-p ) Beide Konfigurationen habe ich mir angeschaut und keine Unterschiede gefunden.

Ev. hilft dir das ja weiter?

Viele Grüsse

Abi

Hallo Zusammen

Seit einigen Tagen schon funktinieren die DNS Overrides in dnscrypt-proxy nicht mehr. Das sind ja interne DNS Namen, die auf interne IP Adressen gehen.

dnscrypt proxy version 2.0.31_1
opnsense version 19.7.7

Habe an der Konfiguration, die bisher gelaufen is, nix geändert... Hat noch jmd. das Problem? Oder ist das ev. ein Bug?

Danke für eure Hilfe :)

LG

Abhijit

Nein, leider nicht. Habe Version 1.6 im Einsatz mit OPNsense 19.7.5_5?

Huhu Mimugmail

Danke :D muss ich die Hosts Datei jeweils von Hand bearbeiten? Und wie kann ich OPNsense dann beibringen, dass ich was in der Datei geändert habe ohne jeweils die FW neu zu starten? :-)

Danke dir!

Abi

PS: Ich habe nach Cloaking gesucht und das hier gefunden https://github.com/DNSCrypt/dnscrypt-proxy/wiki/Cloaking - nehme an, dass ist richtig?

Hallo Zusammen

Ich denke vielleicht mal wieder zu kompliziert: Ich habe (inzwischen zu meiner vollsten Zufriedenheit dank euch!) DNSCrypt-Proxy bei mir im Einsatz. Auf einem Proxmox habe ich nun einige virtuelle Server, welche ich nun gerne statt mit der IP mit dem Hostnamen ansprechen würde. Also bspw. statt 10.10.10.2 srli0001, etc. - wo kann ich das nun noch machen? Unbound, Bind, etc. sind ja bei mir nicht mehr im Betrieb. Habt ihr mir hier ev. eine Idee? :-)

Danke schön für eure Mithilfe!

Abi

Habe paar Reports dass dnscrypt abschmiert wenn du IPv6 in dnscrypt aktiviert hast und das System aber kein IPv6 macht. Evtl. isses das?

Hallo,

Sagte dir heute schon jemand, das du ein Genie bist? :o Falls nicht: Du bist ein Genie! :-) Das war es. Ich habe das auch deaktiviert und nun funktioniert alles soweit ich das überblicken kann.

Ich hoffe, ich muss dich deswegen nun nicht mehr belästigen und danke dir sehr für deine Hilfe und deine Inputs!

Viele Grüsse

Abi

Du kannst ja auch nur dnscrypt verwenden, ohne Unbound ..

Wusste gar nicht, dass das auch ohne geht :O Aber: Wie müsste ich das dann sauber konfigurieren? Sprich, was müsste ich unter System -> General -> Settings -> als DNS Server eintragen? Wohl kaum 127.0.0.1? :-D

Ich habe jetzt unter System -> General -> Settings die IP Adresse der Firewall eingetragen. Damit scheint es nun zu funktionieren! (Falls du hier jedoch einen Verbesserungsvorschlag hast, so bin ich natürlich offen)

Ich bin offenbar wirklich von der doofen Sorte. Wenn ich nun in DNSCrypt-Proxy als Listen-Adress :53 eintrage und dann unter System -> General -> Settings die IP der Firewall eintrage, geht es einige Minuten und dann geht grad gar nix mehr.

Nun also meine Fragen:

1) Was muss ich in DNSCrypt-Proxy unter Listen-Adress eintragen? (Gemäss Anleitung habe ich :53 eingetragen damit er auf allen Interfaces dort lauscht)
2) Was muss ich unter System -> General -> Settings eintragen? (Gar nix? Die FW Ip?)
3) Müsste ich ggf. auf der Firewall noch was einrichten?

Herzlichen Dank dir für deinen Input :)

Du kannst ja auch nur dnscrypt verwenden, ohne Unbound ..

Wusste gar nicht, dass das auch ohne geht :O Aber: Wie müsste ich das dann sauber konfigurieren? Sprich, was müsste ich unter System -> General -> Settings -> als DNS Server eintragen? Wohl kaum 127.0.0.1? :-D

Hallo Zusammen

Ich hatte ja mal DNSCrypt-Proxy mit Unbound 1.9.2_1 im Einsatz. Leider erwies sich Unbound als instabil (hat immer wieder den Service neu gestartet). Habt ihr mit Unbound ähnlich (schlechte) Erfahrungen gemacht? Falls ja, was habt ihr dagegen gemacht? Oder gibt es ev. eine Alternative zu Unbound um diese mit DNSCrypt-Proxy verwenden zu können?

Wie ich gesehen habe, ist Unbound 1.9.3 bereits draussen. Wann wird die in Opnsense integriert?

Fragen über Fragen :-D

Viele Grüsse

Abi

Probleme immer aussitzen ... klassische Männerkrankheit  8)

Haha, ja genau :-D

Jedoch funktioniert es nicht mehr. Es liegt jedoch nicht an DNSCrypt-Proxy sondern an Unbound, das immer wieder neu gestartet wird. Im Log sehe ich nicht wirklich was. Ist Unbound so instabil? Falls ja, was würdest du mir empfehlen? Gäbe es eine Alternative? Klassisches Männerverhalten: Manchmal ungeduldig :-P

[Es ist zum Mäusemelken. Jetzt geht alles! :) Danke dir trotzdem für die Nachfrage.]

Wieso geht AdBlock mit dnscrypt nicht? Ist identisch eingebaut

Lieber Mimugmail,

Ich muss meinen Post revidieren. DNSCrypt und Adblock haben zusammen funktioniert. Aber leider hat dann mein WLAN nicht mehr getan, was es tun sollte (intern gings, nach extern, sprich Internet nicht mehr) und so musste ich es wieder zurückbauen. Bin jetzt am Suchen woran das liegt... (bei mir ist das WLAN in einem eigenen IP Range, sprich separatem VLAN).


Es ist zum Mäusemelken. Jetzt geht alles! :) Danke dir trotzdem für die Nachfrage.

Viele Grüsse

Abhijit

Hallöchen Zusammen,

ich habe heute Nachmittag einmal probiert, DNSCrypt-Proxy mit Unbound zu konfigurieren (nach dieser Anleitung https://forum.opnsense.org/index.php?topic=10670.0). Das funktioniert soweit auch. Da jedoch die Adblocker Funktion von DNSCrypt-Proxy nicht funktioniert, habe ich noch Bind dazwischengeschaltet (und das filtert auch brav Werbung raus).

Es sieht in etwa also so aus:

Unbound (Port 53) -> Bind (Port 5454) -> DNSCrypt-Proxy (Port 5555)
Wenn ich die versch. Tests mache, scheint das alles auch zu laufen und DNSSec ist auch in Betrieb. Jedoch zeigt mir ein Test an, dass die QNAME Minimisation nicht eingerichtet ist. Wo müsste ich das noch einrichten? In Unbound oder im DNSCrypt-Proxy? (Sobald ich das in Unbound eintrage (unter Custom options) geht nix mehr :-D

Ist meine Konfig überhaupt sinnvoll? Oder was würdet ihr mir sonst empfehlen? Performancemässig müsste das ja kein Problem sein?

Danke für eure Inputs!

Abi

Hallöchen Zusammen!

Ich liebe OPNsense und habe nun mal Sensei installiert und konfiguriert. Läuft soweit alles perfekt. Ich möchte jedoch noch folgendes einrichten um Fehlermeldungen vorzubeugen: Sobald jmd. auf eine gesperrte Seite gehen möchte, erscheint ja normalerweise nix, ein weisse Seite. Ich möchte dort gerne eine entsprechende Meldung publizieren (und ggf. die Möglichkeit, eine irrtümlich geblockte Seite zu melden).

Habt ihr sowas mit Sensei schon mal gemacht? (Oder müsste ich das dann in OPNSense selber erledigen?)

Ich danke euch für eure Tipps

Liebe Grüsse und einen schönen Abend,

Abhijit