Messages

I still continue to use the plugin and it works as expected.

> os-rfc2136 (installed)   1.8   39.6KiB   OPNsense   RFC-2136 Support

and I am very grateful that it is still available!

Moin Thomas,

das Forum verschickt notifications. Kann es sein, dass Web.de die Mails schlicht ablehnt, also gar nicht erst zustellt / in Deine inbox (oder Spam Ordner) reinlegt?

Nach der Antwort von Jens zu 1) würde ich das vermuten. Kannst Du den Absender ,,noreply@opnsense.org" in eine white list schreiben?

LG, Uwe

(...) da auch Nameserver extern angegeben sind und nicht nur der Resolver aber trotzdem sollte es auflösen

Nur um sicher zu sein. Wenn ich keine vorgelagerten DNS-Server angebe, also "nur" unbound als resolver einsetze, dann werden die root-server gefragt, falls unbound selber keine Antwort geben kann?

So hatte ich das verstanden und wollte meine Anfragen halt gerne auf meine Auswahl von Servern weitergeleitet wissen.

LG

Könnte höchstens sein - vielleicht kannst du nachschauen - dass in der lokalen Sense /etc/resolv.conf dann kein Search eingetragen ist? Eventuell würde es dann auch in der UI gehen, da muss ich aber gerade passen :)

Au weia, da hätte ich doch als erstes schauen müssen!

So sah's aus:

Code Select Expand

root@fw:~ # cat /etc/resolv.conf
domain kfm.example.com
nameserver 127.0.0.1
nameserver 46.182.19.48
nameserver 80.241.218.68
nameserver 9.9.9.9

So sieht's jetzt aus:

Code Select Expand

root@fw:~ # cat /etc/resolv.conf
domain kfm.example.com
search kfm.example.com
nameserver 127.0.0.1
nameserver 46.182.19.48
nameserver 80.241.218.68
nameserver 9.9.9.9

Neustart des unbound Dienst -> Keine Veränderung.

Selbst das "host override"
"fw.kfm.example.com A 192.168.20.1"
wird für die GUI Abfrage immer noch nicht genutzt, am Client wird korrekt auf LAN IP aufgelöst.

Jens, so großen Dank für den Austausch mit Dir, I owe you a bottle of Jever.

Uwe

[unbound]

ich werde eine zweite Box aufsetzen und eine identische Konfig mit LAN /24 an den Start bringen.

Das habe ich gemacht:
WAN: DHCP inkl. Übermittlung des öffentlichen DNS Servers
LAN: 192.168.200.1/24
Name der Firewall: opns2
Domain der Firewall: example.corp
DHCPD range auf LAN: 192.168.200.200-192.168.200.249
In unbound 2 Haken gesetzt:
DHCP Registration   [X] Register DHCP leases
DHCP Static Mappings [X] Register DHCP static mappings

Notebook ins LAN gehängt und per DHCP Adresse und auch domain suffix empfangen: OK
nslookup auf dem Notebook:

Code Select Expand

KFM@FA-HB-KFM-W530 C:\Users\KFM
$ nslookup FA-HB-KFM-W530
Server:  opns2.example.corp
Address:  192.168.200.1

Name:    FA-HB-KFM-W530.example.corp
Address:  192.168.200.200
OK

host auf der console der opns2:

Code Select Expand

root@opns2:~ # host FA-HB-KFM-W530
FA-HB-KFM-W530.example.corp has address 192.168.200.200
OK

In der GUI (Diagnostics:DNS Lookup) bekomme ich auf die Frage nach "FA-HB-KFM-W530" weiterhin keine Antwort, aber die Frage nach "FA-HB-KFM-W530.example.corp" wird mit "192.168.200.200" korrekt beantwortet.

Lesson learned:
Die GUI (Diagnostics:DNS Lookup) kann Fragen nach dem Computernamen ohne domain schlicht nicht beantworten, wohingegen es auf der Console und bei den LAN-Clients funktioniert. Das hat auch nichts mit der Netzmaske zu tun.

Die GUI (Diagnostics:DNS Lookup) kann Fragen nach FQDN von Computern im LAN nur dann beantworten, wenn die domain keine Öffentliche ist, denn dann wird auf den entsprechenden öffentlichen DNS weitergeleitet (was ja auch korrekt ist!). In meinen obigen Versuchen bin ich ja mit einer öffentlichen domain meines dyn Dienstes am Start gewesen.

Hier kann zumindest die Frage nach "FA-HB-KFM-W530.example.corp" korrekt beantwortet werden. Ich konnte der OPNsense mit keinerlei dhcpd-Einstellungen beibiegen, in der GUI Anfragen ohne domain-Anteil aufzulösen (s.o.). Ist ja nicht schlimm, muss man also einfach nur wissen und akzeptieren.

Soweit zu unbound, jetzt versuche ich das alles mal mit bind  ;D

Die GUI sagt bei den DHCPD Einstellungen:

Code Select Expand

Domain name
The default is to use the domain name of this system as the default domain name provided by DHCP. You may specify an alternate domain name here.
Deshalb hatte ich dort nichts eingetragen.

So, meine Domain ist eingetragen und zur Sicherheit wurde der dhcpd neu gestartet. -> Keine Verbesserung

Nun zusätzlich auch hier

Code Select Expand

Domain search list
The DHCP server can optionally provide a domain search list. Use the semicolon character as separator.

Eingetragen und service neu gestartet. -> Wieder keine Veränderung. Ich bekomme in der GUI keine Antwort auf "ap02".

Da ist bei der Konfig irgendetwas im Argen und ich ärgere mich, dass ich keine Sicherung der Konfig vor der Änderung des LAN von /24 auf /22 gemacht hatte. Dann könnte ich ohne so viel Tippen und Klicken zurückgehen und zumindest diesem Verdacht nachgehen.

Jens, ich werde eine zweite Box aufsetzen und eine identische Konfig mit LAN /24 an den Start bringen. Dass muss ich dann außerhalb der (Homeoffice) Arbeitszeit machen, sonst springt mir hier jemand ins Gesicht  ;)

Somit habe ich einen clean install, das ist, so glaube ich, zielführender. Oder was meinst Du?

Danke und LG, Uwe

Daher würde ich zuerst mal diesen Punkt testen und beim DHCP die Default Domain mit angeben und pushen. Das sollte für die Clients keine Änderung geben, aber ggf. klappt dann schon die Auflösung der static mappings sauber.

Also, der Test mit dem host override hat keine Verbesserung gebracht, siehe Bild. Jetzt trage ich meine Domain in die DHCPD Konfig explizit ein und werde wieder berichten.

Erstaunlich ist ja, dass 127.0.0.1 lange 33 msec gefragt wurde.

Danke!

[bei Anfragen in der GUI]

Moin, danke für Deine Zeit!

Kurze Nachfrage: ap02 bspw. wird ja nicht aufgelöst laut deinen Shots. Aber wo hast du ap02 überhaupt eingetragen? Nur via DHCP Static Mapping?

Ja, genau. Alle Geräte bekommen ihre IP durch ein static mapping, auch ap02.

Hier ist ein Auszug aus den static mapping des DHCPD auf dem LAN interface:

Code Select Expand

xx:xx:xx:xx:xx:xx 192.168.20.241 ap02 (W-LAN Accesspoint (nicht router))
xx:xx:xx:xx:xx:xx 192.168.22.20 delldeb (Client mit debian)
xx:xx:xx:xx:xx:xx 192.168.22.50 FA-HB-KFM-W530 (Client mit Windows 10)
xx:xx:xx:xx:xx:xx 192.168.23.60 FA-HB-KFM-T430s (Client mit GhostBSD)
xx:xx:xx:xx:xx:xx 192.168.23.64 v1500 (Client mit FreeBSD 13.0)

Ist in Unbound auch die Registrierung von static mappings an?

Ja, ist in den Einstellungen von unbound angekreuzt.

Zudem sehe ich oben, dass du beim DHCPD keine default domain angegeben hast. Dann kann er "ap02" auch schlecht auflösen, denn ohne default Domain weiß er nur "ap02" - aber nicht dass das bspw. ap02.example.com sein sollte. Du solltest ihm da schon auf dem entsprechenden Interface Bein auch die korrekte default Domain mitgeben, damit Unbound nicht nur den Namen, sondern die FQDN via static mapping reserviert.

Ah, das wäre ein Erkenntnisgewinn. Alle Clients im LAN bekommen per DHCPD die (Such)domain der OPNsense (example.com) auch von der OPNsense mitgeteilt, obwohl das in den DHCPD Einstellungen nicht explizit angegeben ist. Das sieht man zB in dem automatisch erzeugten resolv.conf des BSD Clients. Ein "host ap02" wird dann zur Antwort:

Code Select Expand

root@FA-HB-KFM-T430s /u/h/kfm# host ap02
ap02.kfm.example.com has address 192.168.20.241

Meine Domain wir nur in den generellen Einstellungen gesetzt:
Einstellungen OPNsense Settings: General

Code Select Expand

Hostname  fw
Domain    kfm.example.com (verschleiert)

Aber die OPNsense selber beantwortet die Anfrage nach ap02 nicht, genauer gesagt, unbound arbeitet bei Anfragen in der GUI nicht auf 127.0.0.1 (localhost).

Wenn ich mich allerdings per SSH an der OPNsense anmelde und in der Shell die Anfrage ohne FQDN angebe, bekomme ich von der OPNsense ja eine korrekte Antwort. Hier "weiß" die OPNsense um die zu ergänzende domain:

Code Select Expand

root@fw:~ # host ap02
ap02.kfm.example.com has address 192.168.20.241

Ansonsten kannst du es auch manuell testen indem du bspw. nen Host Override für ap02 anlegst und testest, ob dann unbound korrekt den Namen auflöst. Wenn er das tut, dann klemmts an der DHCP Static Reservation in Unbound bzw. dem Fehlen der korrekten Domain.

Das teste ich sofort und berichte!

TNX again!
Uwe

Hast Du unter Interfaces-LAN, -WAN ... IPv6 auf ,,None" gesetzt?

Dann sollte auch das evtl. vorhandene IPv6 Gateway verschwinden.

Test auf der Konsole der OPNsense:

Code Select Expand

root@fw:~ # nslookup ap02
Server:         127.0.0.1
Address:        127.0.0.1#53
Name:   ap02.kfm.example.com
Address: 192.168.20.241

oder auch
root@fw:~ # host ap02
ap02.kfm.example.com has address 192.168.20.241

root@fw:~ # nslookup 192.168.20.241
241.20.168.192.in-addr.arpa     name = ap02.kfm.example.com.

root@fw:~ # nslookup v1500
Server:         127.0.0.1
Address:        127.0.0.1#53
Name:   v1500.kfm.example.com
Address: 192.168.23.64

Hier noch ein paar Bestätigungen, dass DNS Anfragen von allen Clients zur OPNsense funtkionieren:

Test auf BSD-Notebook:

Code Select Expand

root@FA-HB-KFM-T430s /u/h/kfm# cat /etc/resolv.conf
# Generated by resolvconf
domain kfm.example.com
nameserver 192.168.20.1
root@FA-HB-KFM-T430s /u/h/kfm# host ap02
ap02.kfm.example.com has address 192.168.20.241
root@FA-HB-KFM-T430s /u/h/kfm# host 192.168.20.241
241.20.168.192.in-addr.arpa domain name pointer ap02.kfm.example.com

Test auf Windows 10 Notebook:

Code Select Expand

Windows-IP-Konfiguration                                                       
   Hostname  . . . . . . . . . . . . : FA-HB-KFM-W530                           
   Primäres DNS-Suffix . . . . . . . :                                         
   Knotentyp . . . . . . . . . . . . : Hybrid                                   
   IP-Routing aktiviert  . . . . . . : Nein                                     
   WINS-Proxy aktiviert  . . . . . . : Nein                                     
   DNS-Suffixsuchliste . . . . . . . : kfm.example.com                           

Ethernet-Adapter Ethernet:                                                     
   Verbindungsspezifisches DNS-Suffix: kfm.example.com                           
   Beschreibung. . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection                                                                             
   Physische Adresse . . . . . . . . : xx-xx-xx-xx-xx-xx                       
   DHCP aktiviert. . . . . . . . . . : Ja                                       
   Autokonfiguration aktiviert . . . : Ja                                       
   Verbindungslokale IPv6-Adresse  . : fe80::3414:b658:fb46:e7e1%6(Bevorzugt)   
   IPv4-Adresse  . . . . . . . . . . : 192.168.22.50(Bevorzugt)                 
   Subnetzmaske  . . . . . . . . . . : 255.255.252.0                           
   Lease erhalten. . . . . . . . . . : Donnerstag, 20. Mai 2021 14:44:53       
   Lease läuft ab. . . . . . . . . . : Freitag, 21. Mai 2021 14:44:52           
   Standardgateway . . . . . . . . . : 192.168.20.1                             
   DHCP-Server . . . . . . . . . . . : 192.168.20.1                             
   DHCPv6-IAID . . . . . . . . . . . : 55897717                                 
   DHCPv6-Client-DUID. . . . . . . . : 00-01-00-01-25-B1-D7-81-xx-xx-xx-xx-xx-xx
   DNS-Server  . . . . . . . . . . . : 192.168.20.1
   NetBIOS über TCP/IP . . . . . . . : Aktiviert
   
KFM@FA-HB-KFM-W530 C:\Users\KFM     
$ nslookup ap02                     
Server:  fw.kfm.example.com         
Address:  192.168.20.1             
Name:    ap02.kfm.example.com         
Address:  192.168.20.241           

KFM@FA-HB-KFM-W530 C:\Users\KFM
$ nslookup 192.168.20.241
Server:  fw.kfm.example.com
Address:  192.168.20.1
Name:    ap02.kfm.example.com
Address:  192.168.20.241

KFM@FA-HB-KFM-W530 C:\Users\KFM 
$ nslookup v1500                 
Server:  fw.kfm.example.com       
Address:  192.168.20.1           
Name:    v1500.kfm.example.com     
Address:  192.168.23.64         

KFM@FA-HB-KFM-W530 C:\Users\KFM 
$ nslookup 192.168.23.64         
Server:  fw.kfm.example.com       
Address:  192.168.20.1           
Name:    v1500.kfm.example.com     
Address:  192.168.23.64

[OPNsense GUI keine erfolgreichen DNS Abfragen]

Moin Jens,

natürlich, Du hast vollkommen recht (und meine Kristallkugel, die ich Dir evtl. hätte leihen können, ist immer noch zur Reparatur).

Zunächst gibt es ein Update:
Alle Clients im LAN lösen DNS via OPNsense nun korrekt auf! Das hat sich definitiv "von alleine" zum Positiven verändert. Ich habe in der Zwischenzeit nicht an meinem Problem gearbeitet, gestern einzig ein update von OPNsense 21.1.3_3-amd64 auf OPNsense 21.1.5-amd64 gemacht.

Die eigentliche Auffälligkeit, dass ich in der OPNsense GUI keine erfolgreichen DNS Abfragen hinbekomme, hat sich nicht verändert.

Code Select Expand

    WAN / Internet
         .
         |  Cable-Provider
         |
    .----'----.
    |  Modem  | (CableModem)
    '----.----'
         |
     WAN | Fixed public IPv4
         |
    .----------. Name: fw.kfm.example.com
    | OPNsense | Services: dhcpd, unbound, ntp, wol, rfc2136
    '----.-----'
         |
         |
     LAN | 192.168.20.1/22
         |
    .------------.
    | LAN-Switch |
    '----.-------'
         |
         |
         |
  ----------------  Clients


Alle Geräte sind Arbeitsplätze im LAN und alle sind auch DHCP-Clients und bekommen via MAC eine feste IPv4.

Screenshots zu der Auffälligkeit:
nslookup01.png: Die Anfrage nach "ap02" wird von 127.0.0.1 nicht beantwortet.
nslookup02.png: Die Anfrage nach "ap02.kfm.example.com" wird von meinem rfc2136-Server im Internet ("ns.example.com") empfangen, kann aber (logischerweise) nicht beantwortet werden, da dieser die Geräte in meinem LAN nicht kennt. Hier hätte ich erwartet, dass 127.0.0.1 vorher antwortet.
nslookup03.png und nslookup04.png: Sieh an, die "reverse" Anfragen werden von unbound beantwortet!

Einstellungen OPNsense Settings: General

Code Select Expand

Hostname    fw
Domain               kfm.example.com (verschleiert)
Time zone        Europe/Berlin
Language        English
Theme                    opnsense
Prefer IPv4 over IPv6 [ ] Prefer to use IPv4 even if IPv6 is available
DNS Servers           46.182.19.48 (no gateway)
                      80.241.218.68 (no gateway)
                      9.9.9.9 (no gateway)
DNS server options   [ ] Allow DNS server list to be overridden by DHCP/PPP on WAN
                [ ] Do not use the local DNS service as a nameserver for this system
Gateway switching   [ ] Allow default gateway switching

Einstellungen DHCPD:

Code Select Expand

Subnet          192.168.20.0
Subnet mask     255.255.252.0
Available range 192.168.20.1 - 192.168.23.254
Range from      192.168.23.150 to 192.168.23.199
DNS servers     <leer>
Domain name     <leer>
Default lease time (seconds) 86400
Time format change          [X] Change DHCP display lease time from UTC to local time.

DHCP Static Mappings for this interface:

Code Select Expand

xx:xx:xx:xx:xx:xx 192.168.20.241 ap02 (W-LAN Accesspoint (nicht router))
xx:xx:xx:xx:xx:xx 192.168.22.20 delldeb (Client mit debian)
xx:xx:xx:xx:xx:xx 192.168.22.50 FA-HB-KFM-W530 (Client mit Windows 10)
xx:xx:xx:xx:xx:xx 192.168.23.60 FA-HB-KFM-T430s (Client mit GhostBSD)
xx:xx:xx:xx:xx:xx 192.168.23.64 v1500 (Client mit FreeBSD 13.0)

Einstellungen unbound DNS:

Code Select Expand

Enable               [X] Enable Unbound
Listen Port          53
Network Interfaces   All
DNSSEC               [X] Enable DNSSEC Support
DNS64                [ ] Enable DNS64 Support
DHCP Registration    [X] Register DHCP leases
DHCP Domain Override <leer>
DHCP Static Mappings [X] Register DHCP static mappings
IPv6 Link-local      [X] Register IPv6 link-local addresses
TXT Comment Support  [ ] Create corresponding TXT records
DNS Query Forwarding [X] Enable Forwarding Mode
Local Zone Type      transparent

Einstellungen unbound DNS: Overrides

Code Select Expand

Host | Domain          | Type | Value                        | Description
fw   | kfm.example.com | A    | 192.168.20.1                 | Firewall
pfs  | kfm.example.com | A    | Alias for fw.kfm.example.com | Alter Name historisch

FYI: I try to use of routed VPN wherever possible:
https://forum.opnsense.org/index.php?topic=22217.msg105700#msg105700

Did you try a reboot? Sometimes this helped while playing with IPsec.

Maybe if you check the box ,,disable reply-to" under advanced option of each single firewall roule would correct this wrong behaviour.

I think this option is only useful in multi-wan setups. Give it a try.
Regards

War eine Vermutung, da in deinem Code 192.168.147 und 192.168.148 zu sehen war.