Menu

Show posts

This section allows you to view all posts made by this member. Note that you can only see posts made in areas you currently have access to.

Show posts Menu

Messages - apn

Pages1
#1
German - Deutsch / Re: Zeitbasiertes Backup der Konfiguration
March 06, 2025, 12:15:39 PM
hi, ein python script mit nem cron job sollte reichen.
um dir ideen zu holen wie das geht,
schau dir mal das an
https://jhx7.de/blog/opnsense-automated-config-backup/
und eine mail funktionalität findest du hier
https://forum.opnsense.org/index.php?topic=6709

#2
German - Deutsch / Re: OPNsense auf Proxmox bekommt Fehler
March 06, 2025, 12:04:45 PM
hi, hast du mal die üblichen verdächtigen geprüft?
https://docs.opnsense.org/manual/updates.html#troubleshooting-updates

update probleme wurde im forum auch schon öfters gefragt
https://forum.opnsense.org/index.php?topic=42957
https://forum.opnsense.org/index.php?topic=42069
#3
German - Deutsch / Re: Unbound blockiert Webseite ohne Grund/Einstellung
March 06, 2025, 11:49:21 AM
danke viragomann und meyergru.

war doch keine gute idee vorgefilterte dns server zu nutzen, bin wieder auf 1.1.1.1 und DNSBLs aktiviert.

obwohl es in der konsole keine probleme gibt und ich immer die gleichen antworten bekomme, egal welchen dns server ich wähle.

hier ein finaller lookup vergleich zwischen client pc und opnsense (vorsicht lang.. leider gibts kein [spoiler][/spoiler] tag)

- 5 gesetzte server: ohne, 8.8.8.8, 1.1.1.1, 1.1.1.3, 1.0.0.3
    da bei allen immer die gleiche antworten kamen, nur mit 1.1.1.3
- 3 gesetzte query types: ohne, A und AAAA
= keine Fehler und keine ipv6 ip


## opnsense
Code Select
# --------------------------------------------------------------------------------
# -------------------- drill business.myhermes.de @1.1.1.1
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 34853
;; flags: qr rd ra ; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; business.myhermes.de.        IN      A

;; ANSWER SECTION:
business.myhermes.de.   82904   IN      CNAME   gkp.prd.a0562.prd.hc.de.
gkp.prd.a0562.prd.hc.de.        60      IN      A       34.149.95.23

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 32 msec
;; SERVER: 1.1.1.1
;; WHEN: Thu Mar  6 11:37:28 2025
;; MSG SIZE  rcvd: 89


# --------------------------------------------------------------------------------
# -------------------- drill business.myhermes.de @1.1.1.3 A
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 59864
;; flags: qr rd ra ; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;; business.myhermes.de.        IN      A

;; ANSWER SECTION:
business.myhermes.de.   83785   IN      CNAME   gkp.prd.a0562.prd.hc.de.
gkp.prd.a0562.prd.hc.de.        60      IN      A       34.149.95.23

;; AUTHORITY SECTION:

;; ADDITIONAL SECTION:

;; Query time: 33 msec
;; SERVER: 1.1.1.3
;; WHEN: Thu Mar  6 11:22:45 2025
;; MSG SIZE  rcvd: 89

# --------------------------------------------------------------------------------
# -------------------- drill business.myhermes.de @1.1.1.3 AAAA
;; ->>HEADER<<- opcode: QUERY, rcode: NOERROR, id: 53527
;; flags: qr rd ra ; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;; business.myhermes.de.        IN      AAAA

;; ANSWER SECTION:
business.myhermes.de.   77014   IN      CNAME   gkp.prd.a0562.prd.hc.de.

;; AUTHORITY SECTION:
a0562.prd.hc.de.        188     IN      SOA     ns-cloud-a1.googledomains.com. cloud-dns-hostmaster.google.com. 1 21600 3600 259200 300

;; ADDITIONAL SECTION:

;; Query time: 7 msec
;; SERVER: 1.1.1.3
;; WHEN: Thu Mar  6 11:22:48 2025
;; MSG SIZE  rcvd: 166


# --------------------------------------------------------------------------------
# -------------------- host business.myhermes.de 1.1.1.3
Using domain server:
Name: 1.1.1.3
Address: 1.1.1.3#53
Aliases:

business.myhermes.de is an alias for gkp.prd.a0562.prd.hc.de.
gkp.prd.a0562.prd.hc.de has address 34.149.95.23

# --------------------------------------------------------------------------------
# -------------------- host -t A business.myhermes.de 1.1.1.3
Using domain server:
Name: 1.1.1.3
Address: 1.1.1.3#53
Aliases:

business.myhermes.de is an alias for gkp.prd.a0562.prd.hc.de.
gkp.prd.a0562.prd.hc.de has address 34.149.95.23

# --------------------------------------------------------------------------------
# -------------------- host -t AAAA business.myhermes.de 1.1.1.3
Using domain server:
Name: 1.1.1.3
Address: 1.1.1.3#53
Aliases:

business.myhermes.de is an alias for gkp.prd.a0562.prd.hc.de.

## client
Code Select
> set debug=true
> --------------------------------------------------------------------------------
> -------------------- business.myhermes.de. 1.1.1.3
Server:  [1.1.1.3]
Address:  1.1.1.3

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 2,  authority records = 0,  additional = 0

    QUESTIONS:
        business.myhermes.de, type = A, class = IN
    ANSWERS:
    ->  business.myhermes.de
        canonical name = gkp.prd.a0562.prd.hc.de
        ttl = 84226 (23 hours 23 mins 46 secs)
    ->  gkp.prd.a0562.prd.hc.de
        internet address = 34.149.95.23
        ttl = 60 (1 min)

------------
Nicht autorisierende Antwort:
------------
Got answer:
    HEADER:
        opcode = QUERY, id = 3, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 1,  additional = 0

    QUESTIONS:
        business.myhermes.de, type = AAAA, class = IN
    ANSWERS:
    ->  business.myhermes.de
        canonical name = gkp.prd.a0562.prd.hc.de
        ttl = 77459 (21 hours 30 mins 59 secs)
    AUTHORITY RECORDS:
    ->  a0562.prd.hc.de
        ttl = 300 (5 mins)
        primary name server = ns-cloud-a1.googledomains.com
        responsible mail addr = cloud-dns-hostmaster.google.com
        serial  = 1
        refresh = 21600 (6 hours)
        retry   = 3600 (1 hour)
        expire  = 259200 (3 days)
        default TTL = 300 (5 mins)

------------
Name:    gkp.prd.a0562.prd.hc.de
Address:  34.149.95.23
Aliases:  business.myhermes.de

> --------------------------------------------------------------------------------
> -------------------- set type=A
> -------------------- business.myhermes.de. 1.1.1.3
Server:  [1.1.1.3]
Address:  1.1.1.3

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 4, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 2,  authority records = 0,  additional = 0

    QUESTIONS:
        business.myhermes.de, type = A, class = IN
    ANSWERS:
    ->  business.myhermes.de
        canonical name = gkp.prd.a0562.prd.hc.de
        ttl = 84217 (23 hours 23 mins 37 secs)
    ->  gkp.prd.a0562.prd.hc.de
        internet address = 34.149.95.23
        ttl = 51 (51 secs)

------------
Nicht autorisierende Antwort:
Name:    gkp.prd.a0562.prd.hc.de
Address:  34.149.95.23
Aliases:  business.myhermes.de

> --------------------------------------------------------------------------------
> -------------------- set type=AAAA
> -------------------- business.myhermes.de. 1.1.1.3
Server:  [1.1.1.3]
Address:  1.1.1.3

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 5, rcode = NOERROR
        header flags:  response, want recursion, recursion avail.
        questions = 1,  answers = 1,  authority records = 1,  additional = 0

    QUESTIONS:
        business.myhermes.de, type = AAAA, class = IN
    ANSWERS:
    ->  business.myhermes.de
        canonical name = gkp.prd.a0562.prd.hc.de
        ttl = 85216 (23 hours 40 mins 16 secs)
    AUTHORITY RECORDS:
    ->  a0562.prd.hc.de
        ttl = 300 (5 mins)
        primary name server = ns-cloud-a1.googledomains.com
        responsible mail addr = cloud-dns-hostmaster.google.com
        serial  = 1
        refresh = 21600 (6 hours)
        retry   = 3600 (1 hour)
        expire  = 259200 (3 days)
        default TTL = 300 (5 mins)

------------
Nicht autorisierende Antwort:
Name:    business.myhermes.de
#4
German - Deutsch / Re: Unbound blockiert Webseite ohne Grund/Einstellung
March 05, 2025, 02:04:34 PM
bin etwas weiter

hab je ein ping an `business.myhermes.de` geschickt, während ich den externe dns server jedesmal gewechselt hab.
unbound protokol hat dann aufschluss gegeben:

1.1.1.3 und 1.0.0.3 filtern raus, während 1.1.1.1 und 8.8.8.8 antworten.
übergehe ich lokal den opnsense als dns server und setzte direkt auf einen der vier, funktionieren alle.

wieso antworten 1.1.1.3 und 1.0.0.3 mit 0.0.0.0 wenn unbound fragt, aber beim client antworten sie mit der richtige ip (34.149.95.23)?
weiss dazu jemand was, oder kann es verifizieren?
danke


hier noch die logs:

mit 1.0.0.3
Code Select
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: finishing processing for business.myhermes.de. A IN   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: query response was nodata ANSWER   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: reply from <.> 1.0.0.3#53   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: response for business.myhermes.de. A IN   
2025-03-05T13:14:42    Debug    unbound    [23866:0] debug: sanitize: removing public name with private address <gkp.prd.a0562.prd.hc.de.> 0.0.0.0#53   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: iterator operate: chased to gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: iterator operate: query business.myhermes.de. A IN   
2025-03-05T13:14:42    Debug    unbound    [23866:0] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply   
2025-03-05T13:14:42    Debug    unbound    [23866:0] debug: cache memory msg=302347 rrset=301303 infra=11659 val=0   
2025-03-05T13:14:42    Debug    unbound    [23866:0] debug: sending to target: <.> 1.0.0.3#53   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: sending query: gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: processQueryTargets: business.myhermes.de. A IN   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: reply from <.> 1.0.0.3#53   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: response for business.myhermes.de. A IN   
2025-03-05T13:14:42    Debug    unbound    [23866:0] debug: sanitize: removing public name with private address <gkp.prd.a0562.prd.hc.de.> 0.0.0.0#53   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: iterator operate: chased to gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: iterator operate: query business.myhermes.de. A IN   
2025-03-05T13:14:42    Debug    unbound    [23866:0] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply   
2025-03-05T13:14:42    Debug    unbound    [23866:0] debug: cache memory msg=302347 rrset=301303 infra=11659 val=0   
2025-03-05T13:14:42    Debug    unbound    [23866:0] debug: sending to target: <.> 1.0.0.3#53   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: sending query: gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: processQueryTargets: business.myhermes.de. A IN   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: resolving business.myhermes.de. A IN   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: resolving business.myhermes.de. A IN   
2025-03-05T13:14:42    Debug    unbound    [23866:0] debug: iterator[module 1] operate: extstate:module_state_initial event:module_event_pass   
2025-03-05T13:14:42    Informational    unbound    [23866:0] info: 192.168.168.168 business.myhermes.de. A IN
mit 1.1.1.3
Code Select
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: finishing processing for business.myhermes.de. A IN   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: query response was nodata ANSWER   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: reply from <.> 1.1.1.3#53   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: response for business.myhermes.de. A IN   
2025-03-05T13:17:52    Debug    unbound    [61334:0] debug: sanitize: removing public name with private address <gkp.prd.a0562.prd.hc.de.> 0.0.0.0#53   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: iterator operate: chased to gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: iterator operate: query business.myhermes.de. A IN   
2025-03-05T13:17:52    Debug    unbound    [61334:0] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply   
2025-03-05T13:17:52    Debug    unbound    [61334:0] debug: cache memory msg=76839 rrset=79735 infra=9545 val=0   
2025-03-05T13:17:52    Debug    unbound    [61334:0] debug: sending to target: <.> 1.1.1.3#53   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: sending query: gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: processQueryTargets: business.myhermes.de. A IN   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: reply from <.> 1.1.1.3#53   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: response for business.myhermes.de. A IN   
2025-03-05T13:17:52    Debug    unbound    [61334:0] debug: sanitize: removing public name with private address <gkp.prd.a0562.prd.hc.de.> 0.0.0.0#53   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: iterator operate: chased to gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: iterator operate: query business.myhermes.de. A IN   
2025-03-05T13:17:52    Debug    unbound    [61334:0] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply   
2025-03-05T13:17:52    Debug    unbound    [61334:0] debug: cache memory msg=76839 rrset=79735 infra=9545 val=0   
2025-03-05T13:17:52    Debug    unbound    [61334:0] debug: sending to target: <.> 1.1.1.3#53   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: sending query: gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: processQueryTargets: business.myhermes.de. A IN   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: resolving business.myhermes.de. A IN   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: resolving business.myhermes.de. A IN   
2025-03-05T13:17:52    Debug    unbound    [61334:0] debug: iterator[module 1] operate: extstate:module_state_initial event:module_event_pass   
2025-03-05T13:17:52    Informational    unbound    [61334:0] info: 192.168.168.168 business.myhermes.de. A IN
mit 8.8.8.8
Code Select
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: finishing processing for business.myhermes.de. A IN   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: query response was ANSWER   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: reply from <.> 8.8.8.8#53   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: response for business.myhermes.de. A IN   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: iterator operate: chased to gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: iterator operate: query business.myhermes.de. A IN   
2025-03-05T13:21:00    Debug    unbound    [45214:1] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply   
2025-03-05T13:21:00    Debug    unbound    [45214:1] debug: cache memory msg=71353 rrset=74909 infra=9097 val=0   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: 192.168.168.168 business.myhermes.de. A IN   
2025-03-05T13:21:00    Debug    unbound    [45214:1] debug: cache memory msg=71353 rrset=74909 infra=9097 val=0   
2025-03-05T13:21:00    Debug    unbound    [45214:1] debug: sending to target: <.> 8.8.8.8#53   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: sending query: gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: processQueryTargets: business.myhermes.de. A IN   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: resolving business.myhermes.de. A IN   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: query response was CNAME   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: reply from <.> 8.8.8.8#53   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: response for business.myhermes.de. A IN   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: sanitize: removing extraneous answer RRset: gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: iterator operate: query business.myhermes.de. A IN   
2025-03-05T13:21:00    Debug    unbound    [45214:1] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply   
2025-03-05T13:21:00    Debug    unbound    [45214:1] debug: cache memory msg=71353 rrset=74684 infra=9097 val=0   
2025-03-05T13:21:00    Debug    unbound    [45214:1] debug: sending to target: <.> 8.8.8.8#53   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: sending query: business.myhermes.de. A IN   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: processQueryTargets: business.myhermes.de. A IN   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: resolving business.myhermes.de. A IN   
2025-03-05T13:21:00    Debug    unbound    [45214:1] debug: iterator[module 1] operate: extstate:module_state_initial event:module_event_pass   
2025-03-05T13:21:00    Informational    unbound    [45214:1] info: 192.168.168.168 business.myhermes.de. A IN
mit 1.1.1.1
Code Select
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: finishing processing for business.myhermes.de. A IN   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: query response was ANSWER   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: reply from <.> 1.1.1.1#53   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: response for business.myhermes.de. A IN   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: iterator operate: chased to gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: iterator operate: query business.myhermes.de. A IN   
2025-03-05T13:29:03    Debug    unbound    [52995:1] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply   
2025-03-05T13:29:03    Debug    unbound    [52995:1] debug: cache memory msg=71486 rrset=73732 infra=9545 val=0   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: 192.168.168.168 business.myhermes.de. A IN   
2025-03-05T13:29:03    Debug    unbound    [52995:1] debug: cache memory msg=71486 rrset=73732 infra=9545 val=0   
2025-03-05T13:29:03    Debug    unbound    [52995:1] debug: sending to target: <.> 1.1.1.1#53   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: sending query: gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: processQueryTargets: business.myhermes.de. A IN   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: resolving business.myhermes.de. A IN   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: query response was CNAME   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: reply from <.> 1.1.1.1#53   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: response for business.myhermes.de. A IN   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: sanitize: removing extraneous answer RRset: gkp.prd.a0562.prd.hc.de. A IN   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: iterator operate: query business.myhermes.de. A IN   
2025-03-05T13:29:03    Debug    unbound    [52995:1] debug: iterator[module 1] operate: extstate:module_wait_reply event:module_event_reply   
2025-03-05T13:29:03    Debug    unbound    [52995:1] debug: cache memory msg=71486 rrset=73507 infra=9545 val=0   
2025-03-05T13:29:03    Debug    unbound    [52995:1] debug: sending to target: <.> 1.1.1.1#53   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: sending query: business.myhermes.de. A IN   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: processQueryTargets: business.myhermes.de. A IN   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: resolving business.myhermes.de. A IN   
2025-03-05T13:29:03    Debug    unbound    [52995:1] debug: iterator[module 1] operate: extstate:module_state_initial event:module_event_pass   
2025-03-05T13:29:03    Informational    unbound    [52995:1] info: 192.168.168.168 business.myhermes.de. A IN

#5
German - Deutsch / [solved] Unbound blockiert Webseite ohne Grund/Einstellung
March 04, 2025, 04:54:22 PM
Hi, ich komme gerade nicht weiter.

also es geht um `business.myhermes.de` (`www.myhermes.de` funktioniert)

sobald unbound aktiviert ist, kann ich die domain nicht erreichen.
ich habe sicherheitshalber alle DNSBL entfernt und deaktiviert (protokol zeigt kein laden von sperrlisten).

einstellungen sind wie folgt aktiv geblieben

unter allgemein:
- Flush DNS Cache during reload
- Register DHCP Static Mappings
unter überschreibungen:
- eine lokale domain und ein host, beide keinerlei ähnlichkeit mit myhermes.de oder hc.de hat 
unter erweitert:
- Aggressive NSEC (testweise deaktivieren hat nicht geholfen)
query forwarding und dns over tls
- eingeschaltet (aufgelistetet dns server sind: 1.1.1.3, 1.0.0.3)

unter schnittstelle-diagnose-dns abfrage bekomme ich oft unterschiedliche antworten:
Code Select
A business.myhermes.de. 85432 IN CNAME gkp.prd.a0562.prd.hc.de.
        gkp.prd.a0562.prd.hc.de. 60 IN A 34.149.95.23                 1.1.1.3 53 msec
AAAA business.myhermes.de. 83940 IN CNAME gkp.prd.a0562.prd.hc.de. 1.1.1.3 33 msec
MX business.myhermes.de. 83171 IN CNAME gkp.prd.a0562.prd.hc.de. 1.1.1.3 127 msec
TXT business.myhermes.de. 83165 IN CNAME gkp.prd.a0562.prd.hc.de. 1.1.1.3 34 msec

Code Select
A business.myhermes.de. 85321 IN CNAME gkp.prd.a0562.prd.hc.de.
        gkp.prd.a0562.prd.hc.de. 43 IN A 34.149.95.23                  1.1.1.3 28 msec
AAAA business.myhermes.de. 85318 IN CNAME gkp.prd.a0562.prd.hc.de.
        gkp.prd.a0562.prd.hc.de. 50 IN AAAA ::                        127.0.0.1 0 msec
TXT business.myhermes.de. 83053 IN CNAME gkp.prd.a0562.prd.hc.de. 1.0.0.3 9 msec

Code Select
A business.myhermes.de. 85101 IN CNAME gkp.prd.a0562.prd.hc.de.   127.0.0.1 15 msec
AAAA business.myhermes.de. 82847 IN CNAME gkp.prd.a0562.prd.hc.de.   1.1.1.3 7 msec
MX business.myhermes.de. 82845 IN CNAME gkp.prd.a0562.prd.hc.de.   1.0.0.3 44 msec

unter berichterstattung-unbound DNS scheint es normal zu laufen..
Code Select
2025-03-04 16:42:10 PC-**.**.**.com A business.myhermes.de. Pass Cache    NOERROR 4
2025-03-04 16:42:09 PC-**.**.**.com A business.myhermes.de. Pass Recursion NOERROR 5
nur wenn ich bei opnsense die dns diagnose (wie oben) mehrmals durchlaufe, kommt das
Code Select
2025-03-04 16:44:49 localhost A business.myhermes.de. Pass Recursion NOERROR 5
2025-03-04 16:44:49 localhost AAAA business.myhermes.de. Pass Recursion NOERROR 60
2025-03-04 16:44:07 localhost A business.myhermes.de. Pass Recursion NOERROR 5
2025-03-04 16:44:07 localhost AAAA business.myhermes.de. Pass Cache    NOERROR 17
2025-03-04 16:44:07 localhost MX business.myhermes.de. Drop Local    SERVFAIL 0
2025-03-04 16:43:24 localhost A business.myhermes.de. Pass Recursion NOERROR 5
2025-03-04 16:43:24 localhost AAAA business.myhermes.de. Pass Recursion NOERROR 60
2025-03-04 16:43:24 localhost TXT business.myhermes.de. Drop Local    SERVFAIL 0

weiss jemand rat? ich dachte ich frag mal hier, nicht dass das ein unbound problem ist.
danke.
#6
German - Deutsch / Re: Probleme mit LDAP SSL an Synology
October 25, 2024, 02:10:26 PM
wollte kurz bescheid geben, dass es geklappt hat.


  • hab auf dem PDC die AD certificate services installiert und einen Root CA daraus gemacht
  • das Root CA Cert exportiert (ohne key)
  • (zum üben) autoenroll für die client computer eingerichtet
  • auf der Syn die CSR händisch erstellt (weil über das DSM die SANs nicht eingetragen werden, und auch die Zertifikatsvorlageninfos fehlen)
  • Cert mit certreq erstellt und in die Syn als Standard- und AD-Cert importiert
  • in OPNsense das Root CA Cert als Authority importiert
  • in der OPNsense WebGUI eine CSR an die CA erstellt (bin aber damit noch nicht zufrieden, weil auch hier die alternativen SANs fehlen und ich es noch nicht als SSL Cert benutzen kann)
  • Cert mit certreq erstellt und in OPNsense importiert, aber vorher den CSR Eintrag entfernt
jetzt klappt es mit der Verbindung zwischen OPNsense und Syn.

anscheindend ist das importierte Root CA Cert weiterhin wichtig. entfern ich es, klappt LDAP nicht mehr (vllt weil das CSR darauf verwiesen hat). das muss ich noch lösen, und andere kleine dinge, wie zb warum die Zertifikate 2 Jahre halten, obwohl ich 5 in der Vorlage eingetragen habe.

zum schluss vielen dank, und die frage natürlich: ob bedarf besteht, das, wenns fertig ist, als howto im forum zusammenzufassen (von einem rookie)?
#7
German - Deutsch / Re: Probleme mit LDAP SSL an Synology
October 01, 2024, 05:08:27 PM
wow, danke jens und patrick,
ich fühle mich gerade wie VW beim falschen spiel mit (co2)zertifikathandel erwischt.
ich habe mich da nicht um die CAs gekümmert, dachte der PDC ist sowieso immer down.
aber das passt aufs auge.

btw. meine lokale domain ist schön brav eine sub meiner existierenden web domain, wobei beide nichts voneinander wissen (alle anderen empfehlungen, die gefühlt auch alle zwei jahre von der ICANN kommen, waren nicht so rund, vorallem weil ich in der firma wegen blabla.intern schon probleme hatte).

ich probier das die tage aus (hatte mit so einer schnellen und passenden antwort nicht so bald gerechnet) und geb bescheid.
vielen dank
#8
German - Deutsch / [solved] Probleme mit LDAP SSL an Synology
October 01, 2024, 04:08:39 PM
moin,
ich versuche für OpenVPN meine nutzer direkt mit LDAP aus einer Synology (s02) zu ziehen, die ich als ein RODC (read only domain controller) betreibe. Der PDC ist eine MS windows core server (s01)  (der die meiste zeit aus ist).

die konfiguration System: Zugang: Server bekommt in den System: Protokolldateien: Allgemeinimmer diese Fehlermeldung:
Code Select
2024-10-01T13:47:29   Error   opnsense   LDAP bind error [error:0A000086:SSL routines::certificate verify failed (unable to get local issuer certificate); Can't contact LDAP server]

führe ich aber direkt in der shell von OPNsense
ldapsearch aus, bekomme ich alle benutzer aufgelistet:
Code Select
ldapsearch -v -H "ldaps://s02.aaa.bbb.cc:636" -b "OU=Benutzer,OU=abc,DC=aaa,DC=bbb,DC=cc" -s one -D "test@aaa.bbb.cc" -w "xxx"


openssl wieder rum bringt den gleichen fehler für die synology s02:
Code Select
openssl s_client -connect s02..aaa.bbb.cc:636 -showcerts

CONNECTED(00000003)
depth=0 CN = s02.aaa.bbb.cc
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = s02.aaa.bbb.cc
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = s02.aaa.bbb.cc
verify return:1
---
Certificate chain
0 s:CN = s02.aaa.bbb.cc
   i:CN = aaa.bbb.cc
-----BEGIN CERTIFICATE-----
MII ... zQ==
-----END CERTIFICATE-----
---
Server certificate
subject=CN = s02.aaa.bbb.cc

issuer=CN = aaa.bbb.cc

---
Acceptable client certificate CA names
CN = aaa.bbb.cc
Requested Signature Algorithms: RSA+SHA256:RSA-PSS+SHA256:RSA-PSS+SHA256:ECDSA+SHA256:Ed25519:RSA+SHA384:RSA-PSS+SHA384:RSA-PSS+SHA384:ECDSA+SHA384:Ed448:RSA+SHA512:RSA-PSS+SHA512:RSA-PSS+SHA512:ECDSA+SHA512:RSA+SHA1:ECDSA+SHA1
Shared Requested Signature Algorithms: RSA+SHA256:RSA-PSS+SHA256:RSA-PSS+SHA256:ECDSA+SHA256:Ed25519:RSA+SHA384:RSA-PSS+SHA384:RSA-PSS+SHA384:ECDSA+SHA384:Ed448:RSA+SHA512:RSA-PSS+SHA512:RSA-PSS+SHA512:ECDSA+SHA512
Peer signing digest: SHA256
Peer signature type: RSA-PSS
Server Temp Key: X25519, 253 bits
---
SSL handshake has read 1610 bytes and written 425 bytes
Verification error: unable to verify the first certificate
---
New, TLSv1.3, Cipher is TLS_AES_128_GCM_SHA256
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
No ALPN negotiated
Early data was not sent
Verify return code: 21 (unable to verify the first certificate)

^---- das angezeigte (MII ... zQ==) Zertifikat ist das vom Synology Directory Server autogen Cert

testweise habe ich auf dem rechner Apache Directory Studio getestet, der wiederrum keine probleme mit der LDAP verbindung hat.

mir fehlt anscheinend irgendwo ein zertifikat.

aus der Synology habe ich das Synology Directory Server autogen Cert, und aus Verzweiflung auch das (root) Standardzertifikat, unter System: Sicherheit: Zertifikate hinzugefügt.

verbinde ich OPNsense mit dem windows server klappt das mit StartTLS ohne probleme (SSL habe ich das nicht eingerichtet).

die suche im netz und im forum ergab nichts, einzig was ähnliches habe ich nur hier (https://forum.opnsense.org/index.php?topic=17948 ) gefunden, was mir rätsel aufgibt.

ich hoffe jemand weiss einen helfenden rat.
danke
Pages1