Show Posts
1
German - Deutsch / Probleme mit Unbound + Crypt Proxy bei Namensauflösung
« on: October 31, 2020, 12:01:58 pm »
Moin zusammen,
ich stelle gerade von pfSense auf opnSense um. Habe da Unbound + Resolver mit DoT und pfBlocker genutzt. Wollte mir die opnSense mal anschauen.
Bräuchte hier einmal Unterstützung für die Einrichtung der internen und externen Namensauflösung ...
Finde leider keine config zum Crypt-Proxy, d.h. hier per Screenshots
- keine Forwarder / Overrides .... etc ... pp
- unter System -> General keine DNS Server eingetragen
Im Grunde möchte ich, dass meine opnsense für meine internen Netze als Resolver dient und statische Mappings (NAS / AV-Receiver) über verschiedene VLANs / WLANs hinweg auflösen kann. Hat die sense entsprechende Einträge nicht im Cache, soll der Crypt-Proxy - welcher auf Port 5353 lauscht, den Kram an die ihm zugetragenen DNS-Server mit den eingestellten Settings (nolog / nofilter / dnssec etc...) weiterleiten.
Zusätzlich betreibe ich eine Split-Horizon Domain, sodass intern / externe die gleiche angesprochen wird, um aufzulösen (Einige Dienste über die pfSense per HA-Proxy mit LetsEncrypt * Certs), welche ich noch für die opnsense einrichten muss.
Richte ich dafür weitergehend ein DynDNS Dienst, bei dem ich explizit einen Hostnamen angeben muss und nicht
@ meinedomain.de
meldet der Dienst "ungültige Zeichen" entdeckt. Setze ich dort den FQDN der opnsense ein, bekomme ich bei nem anschließenden Lookup ganz lustige Dinge zurück
Pinge ich den Namen "opnsense" von einem Client meiner Netze (z.b. 192.168.132.0/24) gibt er mir random die Interface IPs irgendeines meiner verfügbaren Netze wieder
Um bei dem Beispiel zu bleiben, hier aus dem 132er LAN ping auf den Namen "opnsense" mit Rückgabe der IP:
Mach ich das Ganze nach einem Neustart oder /flushdns oder von einem anderen Client aus dem gleichen Netz nochmal, bekomme ich u.U. eine Interface IP eines anderen Netzes für den Namen "opnsense" wieder ... das kann doch nicht richtig sein ? Wo bin ich hier auf dem Holzweg ? Wie kann ich das optimieren ?
Falls Infos fehlen liefere ich die gerne nach
Beste Grüße
ich stelle gerade von pfSense auf opnSense um. Habe da Unbound + Resolver mit DoT und pfBlocker genutzt. Wollte mir die opnSense mal anschauen.
Bräuchte hier einmal Unterstützung für die Einrichtung der internen und externen Namensauflösung ...
Code: [Select]
##########################
# Unbound Configuration
##########################
##
# Server configuration
##
server:
chroot: /var/unbound
username: unbound
directory: /var/unbound
pidfile: /var/run/unbound.pid
root-hints: /var/unbound/root.hints
use-syslog: yes
port: 53
verbosity: 1
extended-statistics: no
log-queries: no
hide-identity: no
hide-version: no
harden-referral-path: no
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
do-daemonize: yes
module-config: "validator iterator"
cache-max-ttl: 86400
cache-min-ttl: 0
harden-dnssec-stripped: yes
serve-expired: no
outgoing-num-tcp: 10
incoming-num-tcp: 10
num-queries-per-thread: 4096
outgoing-range: 8192
infra-host-ttl: 900
infra-cache-numhosts: 10000
unwanted-reply-threshold: 0
jostle-timeout: 200
msg-cache-size: 4m
rrset-cache-size: 8m
num-threads: 4
msg-cache-slabs: 8
rrset-cache-slabs: 8
infra-cache-slabs: 8
key-cache-slabs: 8
auto-trust-anchor-file: /var/unbound/root.key
prefetch: no
prefetch-key: no
# Access lists
include: /var/unbound/access_lists.conf
# Static host entries
include: /var/unbound/host_entries.conf
# DHCP leases (if configured)
include: /var/unbound/dhcpleases.conf
# Domain overrides
include: /var/unbound/domainoverrides.conf
# Custom includes (plugins)
include: /var/unbound/etc/*.conf
# Unbound custom options
server:
do-not-query-localhost: no
forward-zone:
name: "."
forward-addr: 127.0.0.1@5353
forward-addr: ::1@5353
remote-control:
control-enable: yes
control-interface: 127.0.0.1
control-port: 953
server-key-file: /var/unbound/unbound_server.key
server-cert-file: /var/unbound/unbound_server.pem
control-key-file: /var/unbound/unbound_control.key
control-cert-file: /var/unbound/unbound_control.pem
Finde leider keine config zum Crypt-Proxy, d.h. hier per Screenshots
- keine Forwarder / Overrides .... etc ... pp
- unter System -> General keine DNS Server eingetragen
Im Grunde möchte ich, dass meine opnsense für meine internen Netze als Resolver dient und statische Mappings (NAS / AV-Receiver) über verschiedene VLANs / WLANs hinweg auflösen kann. Hat die sense entsprechende Einträge nicht im Cache, soll der Crypt-Proxy - welcher auf Port 5353 lauscht, den Kram an die ihm zugetragenen DNS-Server mit den eingestellten Settings (nolog / nofilter / dnssec etc...) weiterleiten.
Zusätzlich betreibe ich eine Split-Horizon Domain, sodass intern / externe die gleiche angesprochen wird, um aufzulösen (Einige Dienste über die pfSense per HA-Proxy mit LetsEncrypt * Certs), welche ich noch für die opnsense einrichten muss.
Richte ich dafür weitergehend ein DynDNS Dienst, bei dem ich explizit einen Hostnamen angeben muss und nicht
@ meinedomain.de
meldet der Dienst "ungültige Zeichen" entdeckt. Setze ich dort den FQDN der opnsense ein, bekomme ich bei nem anschließenden Lookup ganz lustige Dinge zurück
Pinge ich den Namen "opnsense" von einem Client meiner Netze (z.b. 192.168.132.0/24) gibt er mir random die Interface IPs irgendeines meiner verfügbaren Netze wieder
Um bei dem Beispiel zu bleiben, hier aus dem 132er LAN ping auf den Namen "opnsense" mit Rückgabe der IP:
Mach ich das Ganze nach einem Neustart oder /flushdns oder von einem anderen Client aus dem gleichen Netz nochmal, bekomme ich u.U. eine Interface IP eines anderen Netzes für den Namen "opnsense" wieder ... das kann doch nicht richtig sein ? Wo bin ich hier auf dem Holzweg ? Wie kann ich das optimieren ?
Falls Infos fehlen liefere ich die gerne nach
Beste Grüße