Messages

Anscheint es ist ein Bug anders kann ich nicht erklären.

Es wird CNAME geliefert


guce.yahoo.com. 1800    IN      CNAME  real.rotation.guce.aws.oath.cloud.


Bei mir ist
Enable DNSSEC Support
Harden DNSSEC Data
Harden Below NXDOMAIN
aktiviert. Es zu dantiviern hat nix gebracht.

Ich habe "In Query Forwaring" die Domain outh.cloud eingetragen. Dann geht es.

DNS‑Abfrage über Unbound (drill guce.yahoo.com @127.0.0.1) → liefert NXDOMAIN

Machst Du diese Anfrage auf der Sense oder auf dem Klient? Wenn auf dem Klient, dann mal mit 'drill guce.yahoo.com @<OPNsense IP>' versuchen

Das ist die Abfrage am Firewall zu Firewall

Code Select Expand


drill guce.yahoo.com @10.1.2.254

;; ->>HEADER<<- opcode: QUERY, rcode: NXDOMAIN, id: 41025
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;; guce.yahoo.com.      IN      A

;; ANSWER SECTION:
guce.yahoo.com. 1800    IN      CNAME  real.rotation.guce.aws.oath.cloud.

;; AUTHORITY SECTION:
guce.aws.oath.cloud.    900    IN      SOA    ns-877.awsdns-45.net. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400

;; ADDITIONAL SECTION:

;; Query time: 332 msec
;; SERVER: 127.0.0.1
;; WHEN: Wed Jun 17 20:10:01 2026
;; MSG SIZE  rcvd: 160



Das ist die Abfrage am Firewall zu 1.1.1.1

Code Select Expand

drill guce.yahoo.com @1.1.1.1
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 60469
;; flags: qr rd ra ; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; guce.yahoo.com.      IN      A

;; ANSWER SECTION:
guce.yahoo.com. 1706    IN      CNAME  real.rotation.guce.aws.oath.cloud.
real.rotation.guce.aws.oath.cloud.      26      IN      CNAME  prod-rotation-v2.guce.aws.oath.cloud.
prod-rotation-v2.guce.aws.oath.cloud.  26      IN      A      52.211.254.147
prod-rotation-v2.guce.aws.oath.cloud.  26      IN      A      54.155.89.181
prod-rotation-v2.guce.aws.oath.cloud.  26      IN      A      34.251.109.51

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 7 msec
;; SERVER: 1.1.1.1
;; WHEN: Wed Jun 17 20:11:35 2026
;; MSG SIZE  rcvd: 158



Ich vermuhte es liegt daran, dass guce.yahoo.com CNAMES hat.

Ja.

Da wird aber diese Seite nicht geblockt. Da habe ich sogar als "Allowlist Domains" eingetragen. Und in Reporting von ubound steht "PASS"

Hallo zusammen,

ich habe ein Problem mit der DNS‑Auflösung der Domain guce.yahoo.com.
Die Seite wird bei mir nicht aufgelöst.


Meine aktuelle Konfiguration:

Unbound ist als Resolver aktiv

Als Upstream‑DNS‑Server sind 1.1.1.1 und 8.8.8.8 eingetragen

DNSSEC Support ist aktiviert

Blocklist ist aktiviert

Ich bin mir unsicher, wie ich in diesem Fall am besten bei der Fehlersuche vorgehen soll.

Folgendes habe ich bisher getestet:

DNS‑Abfrage über Unbound (drill guce.yahoo.com @127.0.0.1) → liefert NXDOMAIN

DNS‑Abfrage über Cloudflare (drill guce.yahoo.com @1.1.1.1) → liefert die korrekten CNAME‑ und A‑Records

Hat jemand eine Idee, wie ich weiter vorgehen kann oder woran es liegen könnte?

Vielen Dank!

Danke für die Hilfe. Dein Lösung geht.

Ich habe aber Problem gefunden. Ich habe Zertifikat für zwei DNS Namen ausgestellt. Wenn ich Name nutze, komme ich auf Portal. Nutze ich IP von Firewall in Browser, kommt Fehler.

Hallo zusammen,

ich habe fast alle DNSBL aus die Liste angehackt. Seit dem stürzt U-Bound Dienst permanent ab und muss neu gestartet werden.

In Log steht

TypeError: an integer is required (got type NoneType)   
           os.write(self._pipe_fd, res.encode())   
           File "dnsbl_module.py", line 227, in log_entry   
           logger.log_entry(query)   
           File "dnsbl_module.py", line 548, in operate

Ohne Zeitangaben.

Ohne Liste geht UDNS ohne Problemen.

Ich habe gerade neue Certificate erstellt. (als CA ist Firewall CA) Es hat leider nicht geholfen.

Sorry für die Nachfrage. Wie genau diese Rule aussieht?

Ich habe mehrere VLANs nur eine VLAN aktuell nutzt Proxy. (s. Bild) Wird aber in die Zukunft mehr.

Hallo zusammen,

ich habe den Proxy für Firewall eingerichtet. CA erstellt, NAT Regeln eingerichtet, CA Zertifikat exportiert, auf dem Client importiert. Hat alles super geklappt ich kann surfen. Nur auf WebPortal von Firewall könnte ich nicht mehr zugreifen.

Zertifikatfehler :-( (see Anhang)

Kann es sein, dass ich ein neue Zerifikat für FW Portal von FW CA erstellen muss?

Kann man any löschen und nur erlauben Regeln zu mache VLANs nach und nach einfügen? Und wie lautet Regel die erlaubt VLAN nur ins internet zugehen?

Hallo zusammen,

irgendwie habe ich ein Problem mit Rules. Wie die funktionieren. Ich habe mehrere VLANs folgendes möchte ich erreichen:

VLAN5 darf nur mit VLAN2 kommunizieren
VLAN2 darf mit VLAN5 und WAN (internet kommunzieren)

Bei WatchGuard Firewall habe ich folgende Regel gemacht

VLAN2 out all ports WAN (Inteface WAN)
VLAN2 in und out all ports VLAN5
VLAN3 in und out all ports VLAN5

So geht leider bei leider bei OPNSense nicht. Nur das geht (see Attachement)

Aber so kommuniziere ich mit alle VLANs.

Wie kann man es anders gestalten?

Lösung war einfach. VLAN1 hat Interface auf dem Switch. Man muss VLAN1 Interface auf dem Firewall anlegen und statische Route im Switch eintragen.

Danke.

Hallo zusammen,

wie kann man Logging von alle DNS Anfragen aktivieren?

Aktuell ist Log unter "Informational" keine beantwortete Anfragen zu sehen. 

Wer macht bei dir Routing im Netzwerk? OpnSense? Hast du VLANs konfiguriert oder es ist eine IP Bereich.

Hallo zusammen,
ich möchte für ein Netzwerk mehrere VLANs einrichten.
Dafür habe ich es auf dem OpNSense Friewall(dient auch als Router zwischen VLANs) angelegt und an LAN (interface angebunden). Port auf dem Switch wurde tagged trunk angelegt. Funktioniert alles. Außer VLAN1 (Standard VLAN). Wenn ich VLAN1 auf dem Firewall angelegen und zu LAN Interface zuweise, kann ich nix in VLAN1 erreichen.
Gebe ich LAN Interface die IP aus VLAN1. Kann ich Firewall erreichen, aber Switch (er hat IP aus VLAN 1) kann ich nicht erreichen.
Was ist gute Konfiguration? LAN Interface mit Standard IP lassen und VLAN1 wie all andere VLANs anlegen und LAN Interface zuweisen? Oder LAN Interface die IP von VLAN1 geben und als Gateway auf dem Switch eintragen?