Messages

Du bleibst ja lokal, dann trag doch die Localhost-Adresse besser ein.

jupp, hab ich per VPN gemacht, werds testen, wenn ich wieder Zuhause bin.

Überirgens - Private IP-Adressen kann ruhig hier reinschreiben, da kann keiner was mit anfangen, weil die im Internet eh nciht geroutet werden.

Klar, da haste Recht, Ist irgendwie ne Prinzipsache :D

Genau um die Sense-IP, was hast du da eingetragen.

hmm... ich hab die konkrete IP der Sense im LAN eingetragen als sagen wir mal 192.168.2.1, nicht den localhost.
Macht es mehr Sinn mit localhost zu arbeiten, weil man ansonsten einen delay hat?

Kopiere mal bitte dein vollständigen Einträger hier rein oder mache Screenshots davon.

Screenshots bei QubesOS sind eine komplizierte Angelegenheit.

upstream DNS: Sense-IP:53053
Load-Balancing
Bootstrap DNS Servers (nicht verändert): 9.9.9.10, 149.112.112.10, 2620:fe::10, 2620:fe::fe:10
Private reverse DNS servers: Sense-IP:53053
Use private reverse DNS resolvers
Enable reverse resolving of clients IP addresses
Upstream timeout: 10

Warum 2000er Port - DNS ist Port 53 und das sollte man auch so lassen.

ääähm... der 2000er ist ja nur fürs Dashboard und nicht für DNS. War wohl durcheinander.
DNS läuft über 853, da bei Unbound DoT-Server eingestellt sind.
Nebenbei gibts noch floating rule: any to !this firewall 53/853, um DNS nach außen zu unterbinden.

In adguard ist die IP der Sense und 5353er Port als upstream.
Bei Private reverse DNS servers ebenfalls.
Use Private reverse DNS servers ist aktiviert.
enable reverse resolving ebenfalls aktiviert.
DNSSEC ist aktiviert.

Unbound auf 5353 - ändere das mal in z.b. 53053,  5353 ist für mDNS reserviert und kann Probleme machen.

ah, ok, das hab ich mal gemacht. Ergab aber keine sichtbare Änderung.

Hi,

bisher war ich zu faul das Problem anzugehen. Seit ich eine 1000er-Leitung habe, will ich auch was davon haben :D

1. Die Seiten stocken eine Weile bevor sie geladen werden
2. Manchmal werden sporadische Seiten gar nicht geladen und zwar es gibt sofort einen Verbindungsfehler. Nach einer Weile refreshe ich die Seite und sie lädt.

Ich vermute, dass es mit meinen Einstellungen in Unbound bzw. Adguard zusammen hängt.

Adguardhome ist "primary DNS" und läuft auf dem 2000er Port
Dann sollte aber "primary DNS" aus sein oder? Das betrifft ja nur den 53er Port.
Unbound läuft auf 5353 mit folgenden aktivierten Eigenschaften:
DNSSEC Support
 Register ISC DHCP4 Leases
 Register DHCP Static Mappings
 Do not register IPv6 Link-Local addresses
Local Zone: transparent
Hide identity
Hide version
Harden DNSSEC Data
Aggressive NSEC
Bei DNS over TLS sind 4 Server eingetragen
Beim Log File ist "[33944:0] error: could not SSL_write: Broken pipe"

dig opnsense.org ergibt beim ersten mal 153ms, beim zweiten mal 2ms. Obwohl ich davor schon auf der Seite war.
dig gmx.de ergab 328ms, google.com 208ms (immer beim ersten mal).

Es ist meiner Wissens nach die Eigenschaft von unbound, dass neue Anfragen erstmal länger dauern und sie danach gecached werden und flüssiger laufen.
Aber so gleich?

Kann mich einer mal aufklären? :D
Hat es vielleicht mit den advanced-Einstellungen zu tun?

Grüße
bread

P.S.
Habe jetzt mal  Prefetch DNS Key Support angemacht.

edit:
Ich habe jetzt einige Settings bei advanced ausgemacht, es gab aber keine nennenswerte Geschwindigkeitsänderungen dadurch.
Dann vermute ich, dass bei adguard zu viele Listen sind.
Habe einige entfernt.

Die Seiten stocken weiterhin teilweise total!

Set it on the device that holds the public IP address.

ok, thanks! Are there some security points about that, or is it just about the lag?

Hey,
is it better to set up DynDNS directly on the OPNsense or on the provider router for the wireguard road warrior?

cheers
bread

ah, now it seems to work!
I suppose it was some cache.

Thanks!

But I'm still wondering about the Mac behaviour, not really wondering, because surely it doesn't like to use DNS blockers, but it's rather bold just to make some DNS settings, that you can not reach as user!

Interesting that the MacOS wants to contact avast.com all the time (I have no avast installed!)... avast and quad, all the time.

ah, so I just select no interface for this rule?

The strange behaviour from MacOS now is that the request from my MacOS to the facebook.com is shown as blocked within adguard, but I can still reach it within Mac :D

I tested the rule and it works, but as it seems, not for MacOS

I had this workaround within my ipfire access point for some other reasons. Sure, this would be the solution, thanks!

I suppose, I need the floating rule for each interface within I use such f... devices. So one for LAN and one for WLAN in my case.

Hi,
I have some hardware within my network, which is working fine with adguard... BUT the fu... Mac don't want to do this.
I set the DNS for the network connection and it just ignores it in some kind of strange way. I see some connections of the Mac within adguard, but it doesn't block for example facebook (all other machines get blocked!). I see even no connection to facebook from the Mac, BUT I see some to dns10.quad9! So MacOS seems to highjack the DNS settings and just use some own DNS setting. AND I find no setting for that within MacOS.

I know, the best solution would be just to through the Mac out of the window, but this is not an option in that case. I need it for some special tasks.

Are there some solutions for that kind of problem? I suppose just blocking quad would be no solution, for I suppose MacOS has set several own DNS entries.

cheers
bread

Problem is solved!
It was the MTU value on the sys-vpn. I set there 1380 and it works!

Hi,

I get terrible resolving time especially at the beginning of loading some pages.
Something about 8 seconds!

the setting:
aduard 53 --> unbound 5353 --> some privacy friendly 4 x DoT upstream servers
+ IDS / IPS
unbound has the following points activated:
- Enable DNSSEC Support
- Register ISC DHCP4 Leases
- Register DHCP Static Mappings
- Do not register IPv6 Link-Local addresses
- Hide Identity / Version
- Harden DNSSEC Data
- Aggressive NSEC


I tried to deactivate adguard and IDS / IPS.
I changed DoT within unbound to 1.1.1.1.
I even changed DNS to 1.1.1.1 on the client, so it shouldn't use any internal DNS at all.
But the issue stays.

If I ping 1.1.1.1, I get immediate result of about 23ms,
but if I ping cloudflare.com, it lasts about 5-10 seconds till it starts and it lasts even between the pings about 3 seconds.
But the ping itself is still about 25-27ms.

So it seems to be a problem of DNS, but in which way, if I even set client DNS to 1.1.1.1??
iperf within LAN is about 900Mbits, so OK.

cheers
bread

edit:
OK, the problem was the VM within QubesOS!
The one, which has this terrible resolving goes over another network VM (sys-vpn) and not directly to firewall-vm. Even if VPN is not on, I get this kind of resolving. So it's a problem of routing in QubesOS!

Once the user moves to using them outside Unbound, for instance in AdGH, those go away.

oh, so you mean it's even better to use block lists outside of unbound? Ok, fine!

so you will get AGH updates with your regular OPNsense maintenance. Just not on the day they are published upstream.

that was the point I already thought about, so the updates are coming. Good to know!

Settings > General Settings > Filter Update Interval

Ah, thanks! Just didn't see it.

Regarding the update possibility of adguard itself, as I understand there is no better solution as above, because its not an official OPNsense app, isn't it?

So if I want something that blocks AND updates itself AND is stable with OPNsense after updates, I must use unbound block lists, isn't it?