Messages

[Also entweder missverstehe ich diese Hinweise völlig, oder aber das funktioniert so mit der aktuellen OPNsense 20.7 gar nicht mehr?]

Habe das jetzt mal wie beschrieben angepasst (also statt der 127.0.0.1 nutze ich jetzt die 10.5.5.1 bei BIND).

Dann funktioniert DNS aber gar nicht mehr ...

Deshalb habe ich das jetzt doch wieder auf 127.0.0.1 gestellt.

Also entweder missverstehe ich diese Hinweise völlig, oder aber das funktioniert so mit der aktuellen OPNsense 20.7 gar nicht mehr?

Wer kann helfen?

[Oder missverstehe ich das immer noch?]

Ich glaube nach wie vor, der entscheidende Punkt ist bei den "Custom options" von Unbound DNS versteckt:

https://docs.opnsense.org/manual/how-tos/bind.html

Anbei auch noch einmal ein Screenshot, damit ihr besser versteht wovon ich rede (Unbound_DNS_Custom_Options.png).

Es gibt übrigens schon seit einigen OPNsense-Versionen folgenden Hinweis bei den "Custom options" von Unbound DNS: "This option will be removed in the future due to being insecure by nature. In the mean time only full administrators are allowed to change this setting".

Aktuell ist als "Listen IPs" bei mir in Services / BIND / Configuration noch die 127.0.0.1 eingetragen (was ja der localhost wäre, richtig?).

Wenn ich die Anmerkung (siehe Screenshot) richtig verstehe, soll ich unter "Listen IPs" in Services / BIND / Configuration statt der 127.0.0.1 meine "LAN IP" eintragen, das wäre in meinem Fall dann also die 10.5.5.1 meiner OPNsense?

Und in den "Custom options" unter Services / Unbound DNS / General sollte dann statt

Code Select Expand

do-not-query-localhost: no
forward-zone:
name: ,,."
forward-addr: 127.0.0.1@53530

noch noch folgendes stehen:

Code Select Expand

forward-zone:
name: ,,."
forward-addr: 10.5.5.1@53530

Sonst hätten meine "Host Overrides"-Einträge unter Services / Unbound DNS / Overrides keine Funktion?

Oder missverstehe ich das immer noch?

Danke für weitere Hilfe!

[Korrektur:]

Mmh, das hätte ich vllt. extra erwähnen sollen:

Die DNS-Auflösung "nach draußen" funktioniert eigentlich in der OPNsense, Unbound DNS auf Port 53 und BIND ist zusätzlich auf Port 53530 für DNSBL vorgesehen (also als DNS blacklist, eine Art Pi-hole Ersatz mit verschiedenen Blocklisten).

Code Select Expand

dig @10.5.5.1 -p 53 heise.de

; <<>> DiG 9.10.6 <<>> @10.5.5.1 -p 53 heise.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 34533
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;heise.de. IN A

;; ANSWER SECTION:
heise.de. 6397 IN A 193.99.144.80

;; Query time: 30 msec
;; SERVER: 10.5.5.1#53(10.5.5.1)
;; WHEN: Tue Aug 11 17:25:42 CEST 2020
;; MSG SIZE  rcvd: 53

sowie

Code Select Expand

dig @10.89.89.11 -p 53 heise.de

; <<>> DiG 9.10.6 <<>> @10.89.89.11 -p 53 heise.de
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 28930
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;heise.de. IN A

;; ANSWER SECTION:
heise.de. 16376 IN A 193.99.144.80

;; Query time: 30 msec
;; SERVER: 10.89.89.11#53(10.89.89.11)
;; WHEN: Tue Aug 11 17:26:05 CEST 2020
;; MSG SIZE  rcvd: 53


funktionieren also.

Was mir jedoch auffällt – auf Port 53530 klappt das so nicht ...

Code Select Expand

dig @10.5.5.1 -p 53530 heise.de

; <<>> DiG 9.10.6 <<>> @10.5.5.1 -p 53530 heise.de
; (1 server found)
;; global options: +cmd
;; connection timed out; no servers could be reached

Wobei das aber mal funktioniert hatte, soll heißen, die Domains die mit Hilfe der DNSBL Blocklisten blockiert werden, wurden eigentlich blockiert (und auch zusätzliche Sonderfunktionen wie z.B. "Enable Google SafeSearch", "Enable DuckDuckGo SafeSearch", "Enable Youtube Adult Restrictions" und "Enable Strict Bing Search" waren aktiv und konnten nicht umgangen werden).

Korrektur: Habe das gerade noch einmal getestet – also den Pi-hole aus gemacht – das "blocking" dank der DNSBL klappt. Nur die Abfrage per dig auf Port 53530 nicht, da das dann "intern" in der OPNsense gemacht wird.

D.h., außen fragt er natürlich nur auf DNS Port 53, intern gibt es dann noch die "custom option" im Unbound DNS per

Code Select Expand

forward-addr: 127.0.0.1@53530

(siehe auch mein Eingangs-Post, da habe ich dies ja schon erwähnt)

Ich fände das auch sehr spannend, zumal ich oftmals gefühlt "im ungefähren" stochere bis ich es dann doch irgendwie hinbekomme (also z.B. Firewall-Regeln und so).

Freue mich auf eine solche Veranstaltung, Jitsi passt und als "Messenger" für die direkte Kommunikation im Vorfeld wäre meine Empfehlung https://keybase.io/, da es das für Windows, Linux und Mac gibt und auch für iOS und Android, E2EE ist ebenfalls gewährleistet.

[Ergänzung:]

Frage 1: wer ist den forwarder für wen?
Frage 2: welcher DNS hält die lokalen DNS-Einträge?
Frage 3: hast Du mal die Reihenfolge (im dhcp) der dns-Server umgedreht und dann getestet?

Frage 1: Wo/wie kann ich das prüfen? Bin leider kein Netzwerk-Experte ... Danke für präzisere Erläuterung der Frage.

Frage 2: Wie schon eingangs beschrieben sowohl der Pi-hole (durch manuell hinzugefügte "Local DNS Records"), als auch die OPNsense (durch manuell hinzugefügte "Overrides" Einträge im Unbound DNS).

Frage 3: Das habe ich noch nicht gemacht.

Mag zwar sein, dass er so dann erst bei der OPNsense gucken würde, dort nichts findet und dann auf dem Pi-hole schaut und die entsprechenden "Treffer" liefert ...

Aber das ist ja nicht mein Ziel!

Ich möchte, dass die lokale DNS-Auflösung auch komplett ohne Pi-hole funktioniert und korrekte Werte zurückliefert.

Also mit meiner Unbound DNS + BIND Variante.

Ergänzung: Ich habe die Reihenfolge zum Test jetzt mal kurz umgedreht, sprich 10.5.5.1 (OPNsense) als 1. DNS und 10.89.89.11 (Pi-hole) als 2. DNS eingetragen. Da kommt es genauso zum Abbruch, als wenn nur 10.5.5.1 (OPNsense) drin stehen würde, d.h. es wird leider gar nicht erst versucht, noch zusätzlich auf der 10.89.89.11 (Pi-hole) zu schauen.

Nur wenn ich die Reihenfolge so lasse, also 10.89.89.11 (Pi-hole) als 1. DNS und 10.5.5.1 (OPNsense) als 2. DNS, bekomme ich die gewünschten Ergebnisse der lokalen DNS Auflösung.

Noch ne Frage: welchen Grund hat es, das Du den pihole vor der opnsense an der fritzbox betrteibst?

Das hatte ganz einfach den Grund, dass auch Gäste in den Genuss eines Werbe- und Tracking-Blockers kommen sollten, aber ohne Zugriff auf mein 10.5.5.0/24-Netzwerk und vor allem die damit verbundenen Geräte.

D.h., Gäste bekommen Wi-Fi nur von der Fritzbox und sind somit im 10.89.89.0/24-Netzwerk, DNS macht dort ausschließlich der Pi-hole mit der 10.89.89.11.

[Danke vielmals im Voraus für Eure Unterstützung.]

Hallo zusammen,

ich versuche mich mal an diesen Empfehlungen zu orientieren:

https://forum.opnsense.org/index.php?topic=12697.0

Folgender Fehler tritt auf: Die lokale Namens-Auflösung funktioniert nur, wenn auch mein Pi-hole als DNS-Server eingetragen ist, nicht jedoch wenn ich die OPNsense als alleinigen DNS-Server definiere.

Aufgefallen ist mir das leider erst jetzt bei einer manuellen Netzwerkeinstellung, denn per DHCP werden am Client als DNS-Server 10.89.89.11 (mein Pi-hole) und 10.5.5.1 (meine OPNsense) eingetragen (und damit funktioniert es wie gesagt auch).

D.h., wenn ich die Netzwerkeinstellungen per DHCP empfange, kann ich z.B. meinen iMac lokal auflösen (denn im Pi-hole sind diese als "Local DNS Records" eingetragen, siehe Screenshot "pi-hole-local-dns-records.gif"):

Code Select Expand

nslookup imac.localdomain
Server: 10.89.89.11
Address: 10.89.89.11#53
Name: imac.localdomain
Address: 10.5.5.199

Auch die Rückwärtsauflösung klappt problemlos:

Code Select Expand

nslookup 10.5.5.199
Server: 10.89.89.11
Address: 10.89.89.11#53
199.5.5.10.in-addr.arpa name = imac.localdomain.

Wenn als DNS-Server bei einer manuellen Netzwerkeinstellung jedoch ausschließlich meine OPNsense (10.5.5.1) als DNS-Server eingetragen ist, klappt es leider nicht:

Code Select Expand

nslookup imac
Server: 10.5.5.1
Address: 10.5.5.1#53
** server can't find imac: NXDOMAIN

nslookup imac.localdomain
Server: 10.5.5.1
Address: 10.5.5.1#53
** server can't find imac.localdomain: NXDOMAIN

nslookup 10.5.5.199     
Server: 10.5.5.1
Address: 10.5.5.1#53
** server can't find 199.5.5.10.in-addr.arpa: NXDOMAIN

In Services / Unbound DNS / Overrides ist natürlich ein entsprechender Eintrag vorhanden (siehe Screenshot "OPNsense-Unbound-Overrides.png").

Da ich auch BIND mit DNSBL nutze, steht in den "Custom options" unter Services / Unbound DNS / General folgendes:

Code Select Expand

forward-zone:
name: ,,."
forward-addr: 127.0.0.1@53530

D.h., den bis vor kurzem dort noch vorhandenen Eintrag

Code Select Expand

do-not-query-localhost: no

habe ich entfernt, aufgrund dieses Hinweises (ganz unten im Bereich "Advanced"):

https://docs.opnsense.org/manual/how-tos/bind.html

Aber vermutlich habe ich das einfach noch nicht korrekt verstanden und umgesetzt?

Anbei auch mein Netzwerkplan als Grafik (netzaufbau-double-nat.gif).

Danke vielmals im Voraus für Eure Unterstützung.

OpenSSL 1.1.1g will fix this issue as far as I know ...

Is it possible to install this directly, without waiting for a OPNsense 20.1.5 release?

Hi,

if I do understand this correct, this way I cloud translate a ASN list like this https://www.spamhaus.org/drop/asndrop.txt to get a plain list of ipv4 adresses to use them as URL Table (IPs) inside the Aliases of my OPNsense Firewall?

Found your post as I'am searching for an easy way to use the Spamhaus asndrop.txt linked above.

Or is there another way to block these ASNs?

Thx for help & all the best,
Marcel

[I thought it's always a 'good idea' to block bogon networks, no?Is there a recommended way to figure out which device is producing this in my network (and why)?]

PS: Ok, found the possibility to check the detailed rule info (see attached screenshot "detailed_rule_info.png").

So it's because of bogon network blocking as far as I understand (see "LAN_block_bogon_networks.png")?

I thought it's always a 'good idea' to block bogon networks, no?

Is there a recommended way to figure out which device is producing this in my network (and why)?

Hi all,

I'am wondering since a while what this exactly means (including the IPv6 'version' of this behaviour)?

Please see attached screenshot "firewall_logs.png". Will also add a screenshot of my LAN Firewall rules "firewall_rules_LAN.png".

Is it DHCP broadcast?

Thanks everyone for help and clarification.

[EasyList]

PS: Have also made a 'human readable' list (including my own comments) for everybody who is searching for the same information as I did until this morning ...  8)

EasyList
https://justdomains.github.io/blocklists/lists/easylist-justdomains.txt

EasyPrivacy
https://justdomains.github.io/blocklists/lists/easyprivacy-justdomains.txt

PornAll
https://raw.githubusercontent.com/chadmayfield/my-pihole-blocklists/master/lists/pi_blocklist_porn_all.list

PornTop1M
https://raw.githubusercontent.com/chadmayfield/pihole-blocklists/master/lists/pi_blocklist_porn_top1m.list

AdGuard
https://justdomains.github.io/blocklists/lists/adguarddns-justdomains.txt

NoCoin
https://justdomains.github.io/blocklists/lists/nocoin-justdomains.txt

RansomWare Tracker abuse.ch (Ransomware Domain Blocklist)
https://ransomwaretracker.abuse.ch/downloads/RW_DOMBL.txt

MalwareDomains
http://malwaredomains.lehigh.edu/files/justdomains

WindowsSpyBlocker (spy)
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/spy.txt

WindowsSpyBlocker (update)
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/update.txt

WindowsSpyBlocker (extra)
https://raw.githubusercontent.com/crazy-max/WindowsSpyBlocker/master/data/hosts/extra.txt

Cameleon List
http://sysctl.org/cameleon/hosts

AdAway List
https://adaway.org/hosts.txt

YoYo List
http://pgl.yoyo.org/adservers/serverlist.php?hostformat=hosts&mimetype=plaintext

StevenBlack
https://raw.githubusercontent.com/StevenBlack/hosts/master/hosts

Blocklist.site Ads
https://blocklist.site/app/dl/ads

Blocklist.site Fraud
https://blocklist.site/app/dl/fraud

Blocklist.site Phishing
https://blocklist.site/app/dl/phishing

EMD (hpHosts database for malware sites)
https://hosts-file.net/emd.txt

hphosts-ads (hpHosts database for ad- and tracking-servers)
https://hosts-file.net/ad_servers.txt

hphosts-fsa (hpHosts database for fraud sites)
https://hosts-file.net/fsa.txt

hphosts-psh (hpHosts database for phishing sites)
https://hosts-file.net/psh.txt

hphosts-pup (hpHosts database for potentially unwanted programs)
https://hosts-file.net/pup.txt

Simple Ad List (Ad filter list by Disconnect)
https://s3.amazonaws.com/lists.disconnect.me/simple_ad.txt

Simple Tracking List (Basic tracking list by Disconnect)
https://s3.amazonaws.com/lists.disconnect.me/simple_tracking.txt

The HBBTV List seems to be problematic, couldn't load this site successfully here ...
https://raw.githubusercontent.com/Akamaru/Pi-Hole-Lists/master/hbbtv.txt

[Someone Who Cares (maintained by Dan Pollock)]

Great, many thanks for the link.  :)

Here are some projects / sites, which could be added (would be nice):

Someone Who Cares (maintained by Dan Pollock)
https://someonewhocares.org/hosts/hosts

Peter Lowe's Ad and tracking server list
https://pgl.yoyo.org/adservers/serverlist.php?showintro=0;hostformat=hosts

MVPS HOSTS file (former Microsoft MVP 1999-2012)
http://winhelp2002.mvps.org/hosts.txt

hpHosts database for misleading marketing, e.g. fake Flash update adverts
https://hosts-file.net/mmt.txt

hpHosts database for hijack sites
https://hosts-file.net/hjk.txt

hpHosts database for exploit sites
https://hosts-file.net/exp.txt

MalwareDomainList.com Hosts List
http://www.malwaredomainlist.com/hostslist/hosts.txt

PFblockerNG list maintained by BBcan177
https://gist.githubusercontent.com/BBcan177/4a8bf37c131be4803cb2/raw

FireHOL Level 1 attacks
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/firehol_level1.netset

Ransomware IP Blocklist
https://ransomwaretracker.abuse.ch/downloads/RW_IPBL.txt

EmergingThreats compromised IPs
https://rules.emergingthreats.net/blockrules/compromised-ips.txt

EmergingThreats collection (Spamhaus, DShield, Abuse.ch)
https://rules.emergingthreats.net/fwrules/emerging-Block-IPs.txt

Abuseat CBL
http://www.abuseat.org/iotcc.txt

CyberCrime tracking Command and Control
https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/cybercrime.ipset

The last ones are from the follwoing article (maybe more nice lists could be found here):

http://supratim-sanyal.blogspot.com/2017/04/pfsense-pfblockerng-ultimate-list-of-ip.html

Hi all,

I'am using BIND with DNSBL to avoid tracking and ads inside my private network (no more need to install "uBlock Origin" on every Browser / every device).

It's still not as good as Pi-Hole or PFblockerNG on PFsense, but a beginning ...  ;)

But I'am wondering where to get more information about all the different options (AdAway List, AdGuard List, ... – see attached screenshot).

The ad-blocking works fine so far but maybe some of these DNSBL types are not needed at all or will produce some problems?

Thanks for clarification,
Marcel

PS: IMHO it would be nice to have a clickable link in the OPNsense GUI for every source of these DNSBL types to get more information about them.

Eventuell sollte ich das Ansinnen besser im englischsprachigen 19.7 Bereich posten?