Messages

Oh boy, got it now :-)

Unfortunately, changed too many factors as same Time, so i can't say what caused this behaviour.

Changes are:

    Replaced Fritzbox against Draytek Vigor 165 as Modem
    Disabled IPv6 on Lan and Wan Interfaces
    Disabled IPv6 Firewall Rule under "Firewall: Rules: LAN"
    Set "Prefer to use IPv4 even if IPv6 is available" under "System: Settings: General"

IMHO it was the Firewall Rule.

Thanks for Support.

Habs gelöst, wie es aussieht.

Was es letzendlich war, kann ich leider nicht genau sagen, meiner Meinung nach, die IPv6 Firewall Regel.

Was ich jetzt noch geändert habe ist:

- Fritzbox gegen einen Draytek Vigor 165 als Modem ersetzt
- Auf den Interfaces LAN und WAN IPv6 deaktiviert
- IPv6 Firewall Regel unter "Firewall: Rules: LAN" deaktiviert
- Haken bei "Prefer to use IPv4 even if IPv6 is available" unter "System: Settings: General" gesetzt

Vielen Dank für die Mithilfe und eure Zeit!

Oh, i see, but im trying to avoid this.

There is no other way?

thanks for reply, but how to allow recursion?

Hi,

i want to have Unbound as only DNS resolver on OPNSense.

have a fresh install on Sophos SG-105.

My Settings are:
- "System: Settings: General"
      Prefer IPv4 over IPv6 - On
      No DNS Servers
      Allow DNS server list to be overridden by DHCP/PPP on WAN - Off

Services: Unbound DNS: General
    default

No Forward DNS Server

My Problem is, no DNS resolution on LAN Interface with this Settings.

Calling drill with different DNS Server set, DNS working.

Any Idea?

Hab grad mal eine ältere Version von OPNSense installiert, 22.1.2, gleiches Verhalten.

Zum Mäusemelken :-D

Langsam glaube ich, es liegt an der Hardware...

BIOS durchgesehen, nix anstössiges entdeckt.

Habe für heute kein Bock mehr...

Gemacht, kein Erfolg.

Kommt sofort survfail

Code Select Expand


# drill freenet.de
;; ->>HEADER<<- opcode: QUERY, rcode: SERVFAIL, id: 26644
;; flags: qr rd ra ; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; freenet.de.  IN      A

;; ANSWER SECTION:

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 3 msec
;; SERVER: 127.0.0.1
;; WHEN: Thu Dec  7 20:23:02 2023
;; MSG SIZE  rcvd: 28


Eigentlich gibts nur einen Grund, Sicherheit und Anonymität ( so gut wie geht ).

Die Unbound Anfragen gehen ja direkt an die Root Server.

Der Denkanstoss kam von hier:
https://www.kuketz-blog.de/pi-hole-einrichtung-und-konfiguration-mit-unbound-adblocker-teil2/

Habt Ihr was "verdächtiges" in der unbound.conf entdecken können?

Das spuckt tcpdump aus, auf dem LAN interface, Forwarder aus:

Code Select Expand


19:44:30.341822 IP (tos 0x0, ttl 128, id 60380, offset 0, flags [none], proto UDP (17), length 65)
    192.168.178.5.62578 > OPNsense.domain: [udp sum ok] 56360+ A? www.supermagnete.de. (37)
19:44:30.345418 IP (tos 0x0, ttl 64, id 7617, offset 0, flags [none], proto UDP (17), length 65)
    OPNsense.domain > 192.168.178.5.62578: [udp sum ok] 56360 ServFail q: A? www.supermagnete.de. 0/0/0 (37)


Auf dem WAN Interface ist totenstille.

Mein tcpdump aufruf: tcpdump -vv -i igb0 port 53

Hier die Ergebnisse von drill:

Code Select Expand


# drill freenet.de
Error: error sending query: Could not send or receive, because of network error

# drill freenet.de @8.8.8.8
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 19708
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; freenet.de.  IN      A

;; ANSWER SECTION:
freenet.de.     1       IN      A       62.104.23.121

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 26 msec
;; SERVER: 8.8.8.8
;; WHEN: Thu Dec  7 18:59:32 2023
;; MSG SIZE  rcvd: 44

# drill google.de
Error: error sending query: Could not send or receive, because of network error

# drill google.de @8.8.8.8
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 46255
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; google.de.   IN      A

;; ANSWER SECTION:
google.de.      300     IN      A       142.250.186.131

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 33 msec
;; SERVER: 8.8.8.8
;; WHEN: Thu Dec  7 19:00:09 2023
;; MSG SIZE  rcvd: 43


PS: Den Forwarder habe ich für die Tests deaktiviert.

Abend,

hier die unbound.conf, keine Forward einträge drin, das ist interessant, da ich gerade jetzt ein Forward drin habe, auf die 1.1.1.1:

Code Select Expand


# cat /var/unbound/unbound.conf
##########################
# Unbound Configuration
##########################

##
# Server configuration
##
server:
chroot: /var/unbound
username: unbound
directory: /var/unbound
pidfile: /var/run/unbound.pid
root-hints: /var/unbound/root.hints
use-syslog: yes
port: 53
include: /var/unbound/advanced.conf
harden-referral-path: no
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
do-daemonize: yes
so-reuseport: yes
module-config: "python validator iterator"
num-threads: 2
msg-cache-slabs: 4
rrset-cache-slabs: 4
infra-cache-slabs: 4
key-cache-slabs: 4
auto-trust-anchor-file: /var/unbound/root.key



# Interface IP(s) to bind to
interface: 0.0.0.0
interface: ::
interface-automatic: yes

# Outgoing interfaces to be used
outgoing-interface: 37.138.***.***


# Private networks for DNS Rebinding prevention (when enabled)
private-address: 0.0.0.0/8
private-address: 10.0.0.0/8
private-address: 100.64.0.0/10
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 192.0.2.0/24
private-address: 192.168.0.0/16
private-address: 198.18.0.0/15
private-address: 198.51.100.0/24
private-address: 203.0.113.0/24
private-address: 233.252.0.0/24
private-address: ::1/128
private-address: 2001:db8::/32
private-address: fc00::/8
private-address: fd00::/8
private-address: fe80::/10


# Private domains (DNS Rebinding)
include: /var/unbound/private_domains.conf

# Static host entries
include: /var/unbound/host_entries.conf

# DHCP leases (if configured)
include: /var/unbound/dhcpleases.conf

# Custom includes
include: /var/unbound/etc/*.conf



python:
python-script: dnsbl_module.py

remote-control:
    control-enable: yes
    control-interface: 127.0.0.1
    control-port: 953
    server-key-file: /var/unbound/unbound_server.key
    server-cert-file: /var/unbound/unbound_server.pem
    control-key-file: /var/unbound/unbound_control.key
    control-cert-file: /var/unbound/unbound_control.pem


Das "Outgoing Network Interfaces" habe ich auf "WAN" eingestellt und das ist auch meine öffentliche IP.

Die Einstellungen speichere ich mit "Apply" und dann gehe ich auf das kringel oben um den Unbound neu zu starten. Das nur so am Rande.

Hallo in die Runde,

folgendes Problem, an dem ich mir schon seit Tagen die Zähne ausbeisse.

Opnsense, frisch auf einer Sophos SG-105 installiert, v23.7.9.

Richtige Schnittstellen zugewiesen.

Am WAN hängt eine Fritzbox, als reines, dummes Modem. Die OPNsense macht die Einwahl über PPPoe.
Am LAN, logischweise mein internes Netzwerk.

Bei der Einrichtung, im Wizard, habe ich folgendes eingestellt:
- keine DNS Server eingetragen
- "Allow DNS server list to be overridden by DHCP/PPP on WAN" -> haken raus
- der Rest ist default geblieben

Die PPPoe Einwahl gelingt, nur funktioniert die DNS Auflösung weder auf der OPNSense noch im LAN,
erst wenn ich unter "Services: Unbound DNS: Query Forwarding" einen fremden DNS Server hinzufüge, funktioniert alles.

Das kann einfach nicht richtig sein, da ich nur den Unbound als resolver benutzen möchte.

Was übersehe ich?