Messages

[Strict QNAME Minimisation]

You cannot view this attachment.

Es liegt an der Strict QNAME Minimisation Funktion. Seit die deaktiviert ist, geht es wieder.

Danke für Ihre Mithilfe.

Das ist die Browser Fehlermeldung, die ich bekomme.

You cannot view this attachment.

Wenn ich nslookup ausführe:

Code Select Expand

PS C:\Users\snackpack> nslookup www.nissan.de
Server:  dns.lan.arpa
Address:  172.16.3.254

*** www.nissan.de wurde von dns.lan.arpa nicht gefunden: Non-existent domain.
Noch ein paar Infos zur Firmware:

Code Select Expand

Typ    opnsense-business   
Version    25.4.1   
Architektur    amd64   
Commit    cfe8a9225   
Spiegel    https://opnsense-update.deciso.com/${SUBSCRIPTION}/FreeBSD:14:amd64/25.4   
Repositorien    OPNsense (Priority: 11), SunnyValley (Priority: 7)   
Aktualisiert am    Fri May 23 08:22:57 CEST 2025   
Geprüft am    Sun Jun 22 13:15:19 CEST 2025
lasse ich die Browserseite im Hintergrund offen, dann kommt irgendwann auch mal die Seite zum vorschein.

Eine Abfrage in der Opnsense DNS Diagnose sieht dann auch gut aus...
You cannot view this attachment.

Die nächste Abfrage zwei Minuten später, wieder ohne die zwei A Einträge...

Starte ich eine Anfrage von meinem Tablet aus dem Wlan Netz, geht die erste Anfrage immer ins nichts, aber die zweite eine Sekunde später, landet einen Volltreffer.

Code Select Expand

PS C:\Users\bob> nslookup www.nissan.de
Server:  p200300f1070d9355f690eafffe0136ec.dip0.t-ipconnect.de
Address:  2003:f1:70d:9355:f690:eaff:fe01:36ec

*** www.nissan.de wurde von p200300f1070d9355f690eafffe0136ec.dip0.t-ipconnect.de nicht gefunden: Non-existent domain.
PS C:\Users\bob> nslookup www.nissan.de
Server:  p200300f1070d9355f690eafffe0136ec.dip0.t-ipconnect.de
Address:  2003:f1:70d:9355:f690:eaff:fe01:36ec

Nicht autorisierende Antwort:
Name:    live-de.euwprod.heliosnissan.net
Addresses:  63.32.201.117
          52.214.10.107
Aliases:  www.nissan.de

Ab dem Moment geht es auch wieder aus dem Lan Netz:

Code Select Expand

PS C:\Users\snackpack> nslookup www.nissan.de
Server:  dns.lan.arpa
Address:  172.16.3.254

Nicht autorisierende Antwort:
Name:    live-de.euwprod.heliosnissan.net
Addresses:  63.32.201.117
          52.214.10.107
Aliases:  www.nissan.de


[Hmmm...diese Seite ist leider nicht erreichbarÜberprüfen Sie, ob in www.nissan.de ein Tippfehler vorliegt.]

Hallo liebes Forum

ich hab ein Problem mit Unbound.

Wenn ich auf www.nissan.de gehen will, bekomme ich von meinem Browser

Hmmm...diese Seite ist leider nicht erreichbar
Überprüfen Sie, ob in www.nissan.de ein Tippfehler vorliegt.

Wenn ich auf der Opnsense die Diagnose aufrufe:
You cannot view this attachment.

Und über Quad9:
You cannot view this attachment.

Was muss ich ändern?

Meine config:

Code Select Expand

##########################
# Unbound Configuration
##########################

##
# Server configuration
##
server:
chroot: /var/unbound
username: unbound
directory: /var/unbound
pidfile: /var/run/unbound.pid
root-hints: /var/unbound/root.hints
use-syslog: yes
port: 53
include: /var/unbound/advanced.conf
harden-referral-path: no
do-ip4: yes
do-ip6: yes
do-udp: yes
do-tcp: yes
do-daemonize: yes
so-reuseport: yes
module-config: "python iterator"
num-threads: 8
msg-cache-slabs: 16
rrset-cache-slabs: 16
infra-cache-slabs: 16
key-cache-slabs: 16




# Interface IP(s) to bind to
interface: 0.0.0.0
interface: ::
interface-automatic: yes



# Private networks for DNS Rebinding prevention (when enabled)
private-address: 0.0.0.0/8
private-address: 10.0.0.0/8
private-address: 100.64.0.0/10
private-address: 169.254.0.0/16
private-address: 172.16.0.0/12
private-address: 192.0.2.0/24
private-address: 192.168.0.0/16
private-address: 198.18.0.0/15
private-address: 198.51.100.0/24
private-address: 203.0.113.0/24
private-address: 233.252.0.0/24
private-address: ::1/128
private-address: 2001:db8::/32
private-address: fc00::/8
private-address: fd00::/8
private-address: fe80::/10


# Private domains (DNS Rebinding)
include: /var/unbound/private_domains.conf

# Static host entries
include: /var/unbound/host_entries.conf

# DHCP leases (if configured)
include: /var/unbound/dhcpleases.conf

# Custom includes
include: /var/unbound/etc/*.conf



python:
python-script: dnsbl_module.py

remote-control:
    control-enable: yes
    control-interface: 127.0.0.1
    control-port: 953
    server-key-file: /var/unbound/unbound_server.key
    server-cert-file: /var/unbound/unbound_server.pem
    control-key-file: /var/unbound/unbound_control.key
    control-cert-file: /var/unbound/unbound_control.pem


Code Select Expand

server:
hide-identity: no
hide-version: yes
prefetch: yes
prefetch-key: yes
harden-dnssec-stripped: yes
aggressive-nsec: yes
serve-expired: no

serve-expired-ttl-reset: no

qname-minimisation-strict: yes
extended-statistics: no
log-queries: no
log-replies: no
log-tag-queryreply: no
log-servfail: yes
log-local-actions: yes
verbosity: 1

infra-keep-probing: yes

val-log-level: 0
domain-insecure: dev.arpa
domain-insecure: lan.arpa


Code Select Expand

# Forward zones
forward-zone:
  name: "cfd"
  forward-addr: 10.0.222.222
forward-zone:
  name: "fyi"
  forward-addr: 10.0.222.222
forward-zone:
  name: "mov"
  forward-addr: 10.0.222.222
forward-zone:
  name: "sbs"
  forward-addr: 10.0.222.222
forward-zone:
  name: "top"
  forward-addr: 10.0.222.222
forward-zone:
  name: "win"
  forward-addr: 10.0.222.222
forward-zone:
  name: "zip"
  forward-addr: 10.0.222.222
forward-zone:
  name: "zone"
  forward-addr: 10.0.222.222

# Forward zones over TLS
server:
  tls-cert-bundle: /usr/local/etc/ssl/cert.pem

forward-zone:
  name: "dns.quad9.net"
  forward-tls-upstream: yes
  forward-addr: 9.9.9.9@853#dns.quad9.net
  forward-addr: 149.112.112.112@853#dns.quad9.net
  forward-addr: 2620:fe::9@853#dns.quad9.net
  forward-addr: 2620:fe::fe@853#dns.quad9.net

forward-zone:
  name: "one.one.one.one"
  forward-tls-upstream: yes
  forward-addr: 1.1.1.1@853#cloudflare-dns.com
  forward-addr: 1.0.0.1@853#cloudflare-dns.com
  forward-addr: 2606:4700:4700::1111@853#cloudflare-dns.com
  forward-addr: 2606:4700:4700::1001@853#cloudflare-dns.com