Messages

1

German - Deutsch / Namensauflösung OPNsense intern im Alias bei Nutzung von AdGuard/externem DNS

« on: July 19, 2024, 04:02:51 pm »

Hallo OPNsense Team,

habe gerade AdGuardHome (AGH) auf einem externen (Debian-)PC installiert und eingebunden um schöne Statistiken zu erzeugen und gleichzeitig OPNsense nicht zu belasten. Den unbound der OPNsense habe ich dazu auf Port 8053 umgebogen, der AGH lauscht auf Port 53 und nutzt als Upstream das Gateway seines VLANs an dem er hängt (das auf der OPNsense mündet) mit Port 8053. In der OPNsense ist dann die Cloudfare IP als DNS unter den Einstellungen eingetragen.
Per Portweiterleitungen/NAT darf AGH als einziges Port 53 bedienen, alles anderen Anfragen werden auf Port 53 des AGH weitergeleitet. Zusätzlich eine ausgehende Regel (ok genauer, 9 Regeln: je VLAN eine) für DNS (Port 53) auf die Schnittstellenadresse um die hardcoded DNS Geräte abzufangen.
Funktioniert alles soweit wunderbar, leider aber nicht mehr mit den Aliasen auf der OPNsense. Da habe ich so etwas wie

Code: [Select]

debian Host(s) Debian Server debian.server
RPi Host(s) Raspberry PIs rpirack.ioti rpidg.ioti rpikeller.ioti
Sauger Host(s) Staubsaugerroboter sauger.iot
definert und in Nutzung. Die werden aber scheinbar nicht aufgelöst, somit laufen die Regeln der OPNsense ins Leere und die Kommunikation bricht zusammen (da keine mehr greift).
Firewall: Protokolldateien: Allgemein

Code: [Select]

[...]
2024-07-19T11:55:00 Notice firewall resolving 1 hostnames (0 addresses) for Sauger took 0.02 seconds
2024-07-19T11:55:00 Error firewall The DNS query name does not exist: sauger.iot. [for Sauger]
2024-07-19T11:55:00 Notice firewall resolving 1 hostnames (0 addresses) for debian took 0.01 seconds
2024-07-19T11:55:00 Error firewall The DNS query name does not exist: debian.server. [for debian]
2024-07-19T11:55:00 Notice firewall resolving 3 hostnames (0 addresses) for RPi took 0.02 seconds
2024-07-19T11:55:00 Error firewall The DNS query name does not exist: rpirack.ioti. [for RPi]
[...]
Gibt es an der Stelle eine Lösung die statischen DNS Einträge für Aliase in der OPNsense weiternutzen zu können?
Also außer alles in AGH umzuziehen und dort die statischen Einträge/Zuordnungen vorzunehmen?

Gruß, Hans

2

German - Deutsch / Re: 2FA für einige User (oder eine Gruppe) ausschließen

« on: May 23, 2024, 05:37:07 pm »

Ja, per Zertifkat geht sicher auch, aber einige (alte) Clients bieten das bei mir leider erst gar nicht an. Von daher hatte ich gehofft, dass sich an der Stelle etwas getan hat.
Wenn nein, ist es aber auch nicht schlimm: habe keinen Zwang zu 2FA.

3

German - Deutsch / 2FA für einige User (oder eine Gruppe) ausschließen

« on: May 23, 2024, 02:55:57 pm »

Hallo,

habe gerade ein wenig mit 2FA gespielt und funktioniert an für sich wunderbar.
ABER: ich habe auf der FW einige Nutzer für die ich aus legacy Gründen kein 2FA aktivieren kann, d.h. die benötigen zwigend noch user + pass. Die sind alle in einer extra Gruppe, d.h. sind leicht identifzierbar. Die Anmeldung führen sie gegen die lokale DB von OPNsense durch. Gibt es einen Trick, 2FA für alle Gruppen/User zu erzwingen, dabei aber eine Gruppe oder notfalls auch einzelne User auszuschließen?
Konnte leider nur entweder 2FA UND lokale DB auswählen, ODER nur 2FA. Mit der "nur 2FA" Auswahl deaktiviere ich de facto alle legacy Nutzer, mit "2FA UND lokale DB" hebel ich letzlich 2FA aus und alle können weiterhin user + pass nutzen...
Gibt es einen einfachen Trick das granularer einzustellen? Habe ein paar ältere Foreneinträge gefunden (z.B: https://forum.opnsense.org/index.php?topic=17741.0), die waren aber ohne Antwort.
Notlösung die mir einfallen würde: alle User (außer dem Admin) Richtung LDAP/Radius ziehen?

Gruß, Hans