Messages

Morgen,

wenn ich das richtig sehe, muss ich für die OPnsense und Unbound eine Wildcard Asterisk (Quelle HAGEZI) Blocklist nehmen, korrekt? Ist das so korrekt eingetragen?

https://ibb.co/0y4QZW1F

Dann stellt sich mir zusätzlich noch die Frage: Wie werden die Hauptdomains blockiert? Alle sind mit Wildcard, ergo wird www.domain blockiert, aber was ist, wenn die Domain ohne Subdomain aufgerufen wird? mMn müsste der DNS Request dann durchgehen?!

Hallo,

ich weiß nicht, was ich falsch mache, aber mein Setup mit meiner Speedport funktioniert nicht.

Ich habe meine Speedport in den modem Modus versetzt und rebootet. Anschließen habe ich den blauen port an mein Opnsense Interface angeschlossen.

Diese Anleitung habe ich befolgt:

https://docs.opnsense.org/manual/how-tos/pppoe_isp_setup.html

VlAN erstellt. Tag 7 gegeben. Anschließen PtP Interface erstellt und Zugangsdaten eingegeben. Interface aktiviert. Mit einem ping komme ich nun vom wan Interface nicht raus über die GUI. Habt ihr eine Idee, woran es liegen kann?

In den general logs sehe ich nur reconnecting attempts und timeouts after 9 seconds.

Hallo,

vielleicht könnt ihr mir helfen. Ich habe auf meinem PI Opnsense AIO installiert:

https://github.com/nextcloud/all-in-one

Nach der Einrichtung bekomme ich folgenden Screen:

https://ibb.co/7tBMjq65

Domain:

https://ibb.co/8LPNjWKH

Zeigt auf meine Public IP.

NAT:

https://ibb.co/q3XXLfz6

Habt ihr eine Idee, woran es liegen könnte?

Hallo,

ich würde meine Opnsense gerne so von den Policies anpassen, dass mein DoT DNS Server genutzt wird, den ich unter Unbound konfiguriert habe. Leider können meine Clients kein DNS auflösen, wenn ich die Regel wie folgt konfiguriere:

Wieso wird mein DNS Traffic geblockt, wenn ich oben eine Regel habe, die 853 erlaubt und darunter 53 blockiert? Wenn ich oben die 53 erlaube funktioniert es. Das ergibt für mich wenig Sinn.

Danke dafür. Gibt es ansonsten Alternativen um Websites oder Kategorien effektiv zu blockieren? Falls nicht, werde ich wohl bei Zenarmor bleiben.

Hallo,

ich möchte meine Zenarmor ggf. langfristig ablösen und nur die Opnsense ohne weitere, zusätzliche Kosten betreiben.

Mein Ziel ist folgendes: Ich möchte Websites einfach blockieren und freigeben können. Bei der Zenarmor kann ich nach URL Kategorien filtern und diese manuell erlauben oder verbieten. Gibt es so eine Möglichkeit auch bei der Opnsense? Ich könnte auch mit FQDNs und Firewall rules arbeiten, aber ich denke das lässt sich zu einfach bypassen und ich weiß nicht, wie oft die Opnsense ein DNS Lookup zu der Domain macht und die Policy matcht (andere IP der Website aufgrund Load-Balancer z. B.)

Könnt ihr mir was empfehlen?

Hallo,

ich habe mein Netzwerk erfolgreich auf Layer 2 und 3 segmentiert. Alle Geräte funktionieren soweit, nur meine Magenta TV Box nicht. Ich nutze bei unbound DOT, blocke aber gleichzeitig über Zenarmor DOT und DOH über das Netz. Zusätzlich habe ich ein Redirect eingerichtet, der alle DNS Anfragen über meine Firewall leiten soll.

Kann es sein, dass Zenarmor ebenfalls die Redirect / lokalen DNS Anfragen blockiert?

Anbei ein Auszug meiner Zenarmor. Manchmal nutzt die Magenta Box auch via DOT.

Gibt es eine Möglichkeit das zu lösen ohne den Block via DOT/H zu deaktivieren?

How do I redirect ipv6 dns queries? Redirecting it to ::1?

Would it also be advised to create a blockrule for port 53 dns when using dot or is enabling the redirect rule enough?

Hey all,

been playing around with my paid subscription and with some blocklists.

I enabled blocking DoT on my profile but unfortunately that does not seem to work. I use unbound as my dns resolver and set up quad 9 with ipv6 and ipv4 over port 853.

As you can see in my screenshot, I blocked DoT. Funny thing is, that I can't access websites who offer DoT so they get blocked succesfully. Unfortunately I can still browse the internet. I shouldn't because I set this to block.

Do you guys have an idea what that is? Using an iPhone plus browsing the internet with my Linux machine.

Is it because of ipv6?

Checking the live logs it shows that the connection is blocked. I can still browse.

Guten Morgen,

gibt es eine Möglichkeit um zu sehen, dass ein Cronjob durchgeführt wurde? Ich nutze unbound dnsbl Listen, die ich selbst ausgewählt habe und würde gerne prüfen, ob der Cronjob das Update ordentlich durchgeführt hat. Ich weiß nicht, in welches Log ich dafür gucken muss.

Grüße

Hey all,

been playing around with Unbound DNS blocklists and I wonder which format to chose.

Using this site: https://github.com/hagezi/dns-blocklists

Got like a "RPZ" format which says I can use it with Unbound but also there's a Wildcard
Asterisk list which says I can use it with Opnsense. Now I don't know which the correct format is when using the "URLs of Blocklists" format. Can anybody enlighten me?

Kann mir jemand erklären, wieso das der Fall ist? Ich habe Private Relay _nicht_ aktiviert. Wenn ich einen anderen Browser wie Chrome nutze, habe ich das Problem auf dem iPhone nicht und die Website laden schnell und ohne großes Delay.

Wenn du Private Browsing in iOS/iPadOS verwendest, dann wird das iCloud Privat Relay verwendet, auch wenn du nicht iCloud Privat Relay aktiviert hast.

Eine Möglichkeit, iCloud Privat Relay komplett zu deaktivieren, ist deinen DNS-Server so einzurichten, dass für mask.icloud.com und mask-h2.icloud.com NXDOMAIN zurückgegeben werden.
Nur so als Beispiel: in Adguard Home kann man es unter Blocked Services ausschalten.
Vorher hatte ich es mit einer Filter-Regel in Adguard Home deaktiviert. Wie man das mit unbound umsetzen kann, weiß ich leider nicht. Müsste aber auch gehen. Eventuell kann man ja 0.0.0.0 bzw. ::0 als Adresse zurückgeben ...

Die Info gibt es unter anderem auf: https://developer.apple.com/icloud/prepare-your-network-for-icloud-private-relay/

Gruß
KH

Danke. Ich muss noch einmal nachfragen. Wenn ich Safari auf IOS benutze, triggern manche Filterregeln nicht, weil Safari die anscheinend umgeht. Ob ich das im private Tab mache oder nicht ist egal.

Wie kann ich das ändern? Ich würde gerne, dass alles, auch vom iPhone gefiltert wird. Ich nutze Adguard Home und DNSleaktest erkennt meine DNS Server. Ich habe private Relay in der iCloud nicht aktiviert.

Private Browsing wurde nicht genutzt. Konnte das Problem beheben, indem ich in den WIFI Einstellungen "Tracking-der-IP-Adresse-beschränken" deaktiviert habe.

Thanks. I had to disable "ip address tracking" in the wifi settings. I wonder why that even uses icloud private relay even when it's disabled in general...