Messages

46

German - Deutsch / Re: Intranet von Android über SSL VPN nicht aufrufbar

« on: July 19, 2021, 07:29:46 am »

Stimmt danke.

Es sieht für mich so aus, als wenn unter Android der Rück-Kanal nicht funktioniert. Da fallen die ganzen Retransmittions auf.

47

German - Deutsch / Re: UniFi Access Point einrichten: Wie einschränken?

« on: July 19, 2021, 05:45:54 am »

Und was ist dabei falsch?
Und wie zwischenspeichern?

Und darf ich fragen, wo hast du diese Liste her? Auf dem Sensei sehe ich wesentlich weniger für die Updates, eigentlich nur fw-update.ubnt.com.

"Falsch" ist dabei nichts. Ich möchte es nicht. Ich versuche mein Netzwerk nach dem Minimalprinzip einzurichten. Es soll so viel wie möglich ohne Internet funktionieren. Ich möchte nicht jedes Unifi-Gerät extra freischalten müssen, damit es sich Firmware-Updates laden kann.

Der Unifi-Controller hat unter Einstellungen > Wartung > Firmware die eingebaute Möglichkeit die Firmware für die verwendeten Geräte herunterladen und zwischenzuspeichen. Dann laden die Netzwergeräte die Firmware lokal.

Die Liste habe ich tlw. Aus den Internet und aus den Aufrufen des Controllers mit Wireshark herausgesucht/überprüft.

48

German - Deutsch / Re: Intranet von Android über SSL VPN nicht aufrufbar

« on: July 18, 2021, 05:47:59 pm »

hier noch die zwei fehlenden Screenshots zum Netzwerk-Status auf Android

49

German - Deutsch / [Gelöst] Intranet von Android über SSL VPN nicht aufrufbar

« on: July 18, 2021, 05:38:32 pm »

Hallo zusammen,

ich stehe gerade vor dem Rätsel, warum interne Webseiten über einen SSL VPN auf Android-Geräten nicht erreichbar sind. Mit der gleichen SSL-VPN-Verbindung auf einem Windows-Rechner kann ich die Webseiten aufrufen.

Ziel ist, dass ich die Apps von Synology oder Unifi direkt auf dem Handy/Tablet nutzen kann, wenn ich mich per VPN nach Hause verbunden habe.

Aktuell kann ich die OpenVPN-Verbindung sowohl von Android, als auch von Windows-Geräten erfolgreich verbinden. Aber nur auf Windows kann ich danach im Browser die jeweiligen Webseiten im interenen LAN aufrufen (Unifi, Synology, Netbox).

Auf dem Android-Geräte (hier Tablet) sieht netzwerktechnisch alles ok aus.
* VPN ist verbunden
* In der Routing-Tabelle zeigen die konfigurierten Einträge auf das tun-Device
* Ein Portscan zeigt die offenen Ports

Und trotzdem kommt es zu einem Timeout, wenn ich die interne Webseite im Browser aufrufe. Gleiches gilt dann natürlich für die Android-Apps.


Netzwerk-Aufbau:

Code: [Select]

#
# Stand: 18.07.2021
#

   WAN / Internet                       WAN / Internet
         :                                    :
         : Mobilfunk (Telekom)                : Telekom/VDSL 100
         :                                    :
    .----+----------.                   .-----+----------.
    |  LTE-Gateway  |                   |  VDSL-Gateway  |  (Zyxel VMG3006-D70A)
    '----+----------'                   '-----+----------'
         | 192.168.8.1/24                     |
         |                                    |
         |   Gatewaygruppe WANGWGroup         |
         \----------  ------------------------/
                    \/
   192.168.8.104/24 || PPPoE
             Tier 2 || Tier 1
  WANLTE (opt2,re3) || WAN (wan,re0)
                    ||
    .---------------::----------------------.
    |  OPNsense.opn.mydomain.com            |
    |  21.1.7_1-amd64                       |- IPsec 100.64.1.0/24
    |  CPU: i3-4130T 4x2,9 GHz              |- ovpn1 100.64.2.0/24
    |  RAM/HDD: 8GB / 2x128 GB SSD Mirror   |
    '--------------:---------:--:-----------'
                   |      re1|  | re2
                   |          \/   
                   |          ++--lagg0
                   |          ||  |
                   |          ||  |    VLAN            IP            Subnet           DHCPv4  OPT
       10.0.1.253  |          ||  +--- 20 Intra        10.0.2.253    10.0.2.0/24        off   opt4
  MGMT (lan,alc0)  |          ||  +--- 30 Gäste        10.0.3.253    10.0.3.0/24        off   
      10.0.1.0/24  |          ||  +--- 40 Test         10.0.4.253    10.0.4.0/24        off   opt3
                   |          ||  +--- 41 WLAN intern  192.168.1.253 192.168.1.0/24     off 
                   |          ||  +--- 70 IoT          10.0.7.253    10.0.7.0/24        on    opt1
                   |          ||
                   |          ||
                   |          ||
                   |          ||
      .------------+------.   ||
      | LAN-Switch        +---'|
      | Unifi USW-48      +----'
      '-----+-+-+-+-+-----'
            | | | | |
            | | | | '----... (Netzwerkdevices/Servers)  VLAN 10  mgmt.mydomain.com
            | | | |
            | | | '------... (Clients/Servers)          VLAN 20 intra.mydomain.com
            | | |
            | | '--------... (Clients)                  VLAN 30
            | |
            | '----------... (Clients/Servers)          VLAN 40  test.mydomain.com
            |
            '------------... (IoT Devices)              VLAN 70   han.mydomain.com
           

Aktivierte Dienste
- C-ICAP
- ClamAV
- DHCPv4
- Dynamisches DNS
- Unbound DNS
- Web-Proxy
  + http
  + https
  + transparent proxy
  + ICAP
  + Remote Access Lists
- VPN-Server
  + IPsec
    * Site2Site
  + OpenVPN
    * SSL VPN   

DHCPv4 auf Schnittstelle VLAN 70
- Subnetz       10.0.7.0
- Subnetzmakse  255.255.255.0
- Bereich       10.0.7.100 - 10.0.7.199
- DNS-Server    10.0.7.253 (OPNsense)
- Gateway       10.0.7.253 (OPNsense)
- Domain Name   han.mydomain.com

DHCPv4 auf Schnittstelle MGMT
- Subnetz       10.0.1.0
- Subnetzmakse  255.255.255.0
- Bereich       10.0.1.100 - 10.0.1.199
- DNS-Server    10.0.1.253 (OPNsense)
- Gateway       10.0.1.253 (OPNsense)
- Domain Name   mgmt.mydomain.com
Hat jemand eine Idee für mich, warum es auf Window funktioniert und auf Android nicht?

Danke

50

German - Deutsch / Re: UniFi Access Point einrichten: Wie einschränken?

« on: July 18, 2021, 02:24:01 pm »

Ich habe die Neueinrichtung des Unifi-Controllers in Verbindung mit OPNsense gerade hinter mir.
Bei mir läuft stabil in einem LXC-Container auf Proxmox. Installiert habe ich ihn nach der Original Ubiquiti-Anleitung, die @kosta auch gepostet hat.

Der Controller ist inkl. der Unifi-Switche und -APs in einem Mgmt-Netz, was nur explizit erlaubten Zugriff auf das Internet hat. Dadurch, dass in der OPNsense aber sehr viel über DNS-Auflösung möglich ist, lassen sich die Zugriffe zielgerichtet steuern.

Die Unifi-Geräte haben nur NTP-Zugriff auf pool.ntp.org. Das habe ich ihnen nicht abgewöhnen können, obwohl der DHCP-Server einen NTP-Server mit ausliefert.

Der Unifi-Controller darf folgende URLs per 80,443 aufrufen:

• config.ubnt.com
• dl.ubnt.com
• fw-download.ubnt.com
• fw-update.ubnt.com
• static.ubnt.com
• www.ubnt.com
• www.ui.com

Damit funktionieren sowohl die Controller-Updates, als auch die Firmware-Updates. Die Firmware-Updates müssen dafür aber auf dem Controller zwischengespeichert werden, da die Geräte sie sonst aus dem Internet direkt von Ubiquiti laden.

Das Abschalten des Sendens von Informationen im Controller reduziert die übertragenen DAten übrigens nur. Es schaltet sie nicht ab. Dazu gab es schon Diskussionen im Netz. Dadurch das trace.svc.ui aber in der Firewall geblockt wird, ist vollständig unterbunden. Das kann auch im Log des Controllers unter /var/log/unifi/server.log nachvollzogen werden:

Code: [Select]

[2021-05-24T10:10:20,306] <inform_stat-2> WARN  AnalyticsAppender - Failed to send log message - I/O error on PUT request for "https://trace.svc.ui.com/traces": Connection timed out (Connection timed out); nested exception is java.net.ConnectException: Connection timed out (Connection timed
out)

51

20.7 Legacy Series / Re: Updated Traffic Graphs

« on: January 29, 2021, 06:45:21 am »

No nice graph, but the information I need for troubleshooting. For me it's ok.

Thanks

52

German - Deutsch / Re: resolv.conf nach Hardware-Neustart falsch

« on: November 01, 2020, 11:15:31 am »

Ich glaube ich habe es gelöst.

Ich habe mal die config.xml-Dateien aus /conf/backup nach der IP-Adresse durchstöbert. Dabei ist mir der Eintrag 10.0.4.2 als DNS-Server im Wireguard-Server aufgefallen:

VPN: Wireguard: Local
(siehe Anhang).

Nachdem ich die IP-Adresse dort rausgenommen habe, ist die resolv.conf auch nach dem Neustart korrekt mit allen fünf DNS-Servern bestückt.

Mich wundert es nur, dass als Beschreibung für den DNS-Server-Eintrag steht, dass dieser nur für die Wireguard-Schnittstelle sein soll. Ist das dann ein Bug, den ich melden sollte?

Danke
Ulf

53

German - Deutsch / Re: resolv.conf nach Hardware-Neustart falsch

« on: November 01, 2020, 10:42:15 am »

Ich habe heute früh noch ein bisschen hin- und herprobiert.

Wenn ich den Haken

Code: [Select]

System: Settings: General: DNS server options:    Allow DNS server list to be overridden by DHCP/PPP on WAN
entferne werden nur die zwei IP-Adressen der WAN-Gateways (hier rot markiert) aus der resolv.conf gelöscht

• 127.0.0.1 -> Unbound DNS
• 192.168.8.1 -> WANLTE Gateway
• 192.168.165.1 -> WAN VDSL Gateway
• 8.8.8.8 -> Google Public DNS für Multi-WAN-Monitoring VDSL-Gateway
• 9.9.9.9 -> Google Public DNS für Multi-WAN-Monitoring LTE-Gateway

Nach einem Neustart ist dann wieder nur die 10.0.4.2 als DNS-Server und KEINE domain eingetragen.

Der 10.0.4.2. lediglich ein Server aus einem angeschlossenem Netzwerk. Die Netzwerk-Übersicht habe ich ja oben in Textform aufgezeigt.

54

German - Deutsch / Re: resolv.conf nach Hardware-Neustart falsch

« on: October 31, 2020, 08:59:40 pm »

DNS server options:    Allow DNS server list to be overridden by DHCP/PPP on WAN

Ja, das ist aktiviert. Ich werde es mal deaktivieren und neustarten zum Testen, komme allerdings erst morgen dazu.

Was ist das für ein Nameserver, den er Dir da einträgt? Kommt der von einem der WAN Links?

Warum dann aber die 10.0.4.2 drin steht, erklärt sich für mich nicht. Das ist der Domain Controller (mit DHCP und DNS) aus dem angeschlossen Netzwerk VLAN 40. Das ist aber KEIN WAN-Netzwerk.

55

German - Deutsch / [SOLVED] resolv.conf nach Hardware-Neustart falsch

« on: October 31, 2020, 02:53:02 pm »

Hallo zusammen,

ich bin aktuell dabei meine Netzwerke zu Hause von einem Lancom-Router auf die OPNsense mit MultiWAN umzubauen. Bisher habe ich lediglich zwei Subnets umgebaut, Hausautomation und Test.

Nach dem letzten Update auf 20.7.4 ist mir aufgefallen, dass mein Hausautomations-Netzwerk nicht mehr richtig läuft. Ursache war, dass die DNS-Auflösung auf der OPNsense nicht mehr funktioniert hat. Da diese DNS- und DHCP-Server für das Hausautomationsnetzwerk ist, ist es nur dort aufgefallen.

Zusätzlich haben dann auch ein Großteil meiner Firewall-Regeln nicht mehr funktioniert, da die Firewall-Aliase nicht aufgelöst werden konnten und damit die entsprechenden pfTables leer waren :-(.

Bedingt durch MultiWAN und den Unbound-DNS-Server sieht meine resolv.conf auf der OPNsense standardmäßig so aus:

Code: [Select]

root@OPNsense:~ # cat /etc/resolv.conf
domain opn.mydomain.com
nameserver 127.0.0.1
nameserver 192.168.8.1
nameserver 192.168.165.1
nameserver 8.8.8.8
nameserver 9.9.9.9

Wird die OPNsense-Installation neugestartet, sieht sie nur noch so aus:

Code: [Select]

root@OPNsense:~ # cat /etc/resolv.conf
# Generated by resolvconf
nameserver 10.0.4.2

Beheben kann ich das nur, indem ich in "Dienste: Unbound DNS: Allgemein" einmal speichere und die Änderungen anwende. Danach sieht die resolv.conf wieder so aus, wie im ersten Block.

Für mich stellen sich die folgenden Fragen:

• Warum wird die resolv.conf mit falschen Werten befüllt?
• Warum wird gerade diese IP-Adresse eingetragen? Das ist der DC meines Test-Netzwerkes.
• Gibt es eine Möglichkeit das Speichern/Anwenden von Unbound DNS zu automatisieren (als Workaround)
• Ist das ein Fehler oder habe ich was falsch konfiguriert?

Hier zum bessern Verständnis noch mein Netzaufbau (ohne Lancom-Router)

Code: [Select]

   WAN / Internet                       WAN / Internet
         :                                    :
         : Mobilfunk (Telekom)                : /PPPoE/Telekom/VDSL 100
         :                                    :
    .----+----------.                   .-----+----------.
    |  LTE-Gateway  |                   |  VDSL-Gateway  |  (Vigor 165)
    '----+----------'                   '-----+----------'
         | 192.168.8.1/24                     | 192.168.165.1/24
         |                                    |
         |   Gatewaygruppe WANGWGroup         |
         \----------  ------------------------/
                    \/
   192.168.8.104/24 || 192.168.165.11
             Tier 2 || Tier 1
  WANLTE (opt2,re3) || WAN (wan,re0)
                    ||
    .---------------::----------------------.
    |  OPNsense.opn.mydomain.com            |
    |  20.7.4-amd64                         |
    |  CPU: i3-4130T 4x2,9 GHz              |
    |  RAM/HDD: 8GB / 2x128 GB SSD Mirror   |
    '--------------:---------:--:-----------'
                   |      re1|  | re2
                   |          \/   
                   |          ++--lagg0
                   |          ||  |
                   |          ||  |    VLAN            IP            Subnet           DHCPv4  OPT
       10.0.1.253  |          ||  +--- 20 Intra        10.0.2.253    10.0.2.0/24        off   opt4
  MGMT (lan,alc0)  |          ||  +--- 30 Gäste        10.0.3.253    10.0.3.0/24        off   
      10.0.1.0/24  |          ||  +--- 40 Test         10.0.4.253    10.0.4.0/24        off   opt3
                   |          ||  +--- 41 WLAN intern  192.168.1.253 192.168.1.0/24     off 
                   |          ||  +--- 70 IoT          10.0.7.253    10.0.7.0/24        on    opt1
                   |          ||
                   |          ||
                   |          ||
                   |          ||
      .------------+------.   ||
      | LAN-Switch        +---'|
      | Unifi USW-48      +----'
      '-----+-+-+-+-+-----'
            | | | | |
            | | | | '----... (Netzwerkdevices/Servers)  VLAN 10  mgmt.mydomain.com
            | | | |
            | | | '------... (Clients/Servers)          VLAN 20 intra.mydomain.com
            | | |
            | | '--------... (Clients)                  VLAN 30
            | |
            | '----------... (Clients/Servers)          VLAN 40  test.mydomain.com
            |
            '------------... (IoT Devices)              VLAN 70   han.mydomain.com
           

Aktivierte Dienste
- C-ICAP
- ClamAV
- DHCPv4
- Dynamisches DNS
- Unbound DNS
- Web-Proxy
  + http
  + https
  + transparent proxy
  + ICAP
  + Remote Access Lists

DHCPv4 auf Schnittstelle VLAN 70
- Subnetz       10.0.7.0
- Subnetzmakse  255.255.255.0
- Bereich       10.0.7.100 - 10.0.7.199
- DNS-Server    10.0.7.253 (OPNsense)
- Gateway       10.0.7.253 (OPNsense)
- Domain Name   han.mydomain.com

Bisher habe ich nur diesen Fehler gefunden: https://github.com/opnsense/core/issues/2828, der etwas ähnlich aussieht. Der Workaround einen Neustart des Unbound DNS in den Start einzubauen, hat leider nicht geholfen. Nur ein erneutes Anwenden der gespeicherten Konfiguration triggert bei mir ein erneutes Erzeugen der resolv.conf.

Hat jemand Tipps für mich, wie diesen Fehler beheben umgehen kann?

Danke
Ulf

56

German - Deutsch / Re: DHCP Client-Registrierungen für DNS-Subdomain pro VLAN

« on: October 04, 2020, 08:37:34 am »

Vielleicht habe ich es zu kompliziert beschrieben. Ich neige schon mal dazu :-(

OPNsense hat als DNS-Domain bei mir "opn.mydomain.com".

Im Unbound habe ich aktiviert, dass sowohl DHCP leases, also auch statische Mappings registiert werden (2020-10-04 08_15_37-Allgemein _ Unbound DNS _ Dienste _ OPNsense.opn.mydomain.com.png).

Im DHCP-Server habe ich als DNS-Domain han.mydomain.com eingetragen (2020-10-04 08_15_20-[Hausautomation] _ DHCPv4 _ Dienste _ OPNsense.opn.mydomain.com.png)

Wenn sich jetzt ein DHCP-Client eine IP vom DHCP-Server holt, bekommt er alles korrekt mitgeteilt, was im DHCP-Server konfiguriert ist. Auch die DNS-Domain. Z.B. "testhanvm2.han.mydomain.com"

Der Unbound Server der OPNsense registriert den den Client, für den keine Reservierung im DHCP-Server eingetragen ist, aber unter der Adresse "testhanvm2.opn.mydomain.com". Dadurch wird der DNS-Name von anderen DNS-Clients im Standard nicht gefunden, weil im DHCP-Server ja eingestellt ist, dass die Domain han.mydomain.com heißt und nicht opn.mydomain.com.

Habe ich für den DHCP-Client eine Reservierung eingetragen, wo ich auch noch die DNS-Domain eingetragen habe, wird die DNS-Domain korrekt in Unbound registriert (siehe zweite VM: testhanvm.han.edvnet-uk.com)

Wie im DHCP-Server-Screenshot zu sehen ist, habe ich als Workaround die DNS search list erweitert. so dass auch opn.mydomain.com bei der Auflösung durchsucht wird.

Für mich sieht das aus wie ein Fehler, weil

• das OPNsense Interface eine korrekte DNS-Domain bekommt
• DHCP-Clients ohne Reservierung die Standard OPNsense DNS-Domain bekommen
• DHCP-Clients mit Reservierung die in der Reservierung eingetragene DNS-Domain bekommen

Der Vollständigkeit halber der Auszug aus unbound-control

Code: [Select]

root@OPNsense:~ # unbound-control -c /var/unbound/unbound.conf list_local_data | grep -i han
ccu3.han.mydomain.com. 3600    IN      A       10.0.7.12
s013.han.mydomain.com.    3600    IN      A       10.0.7.2
OPNsense.han.mydomain.com.     3600    IN      A       10.0.7.253
Paketkasten.han.mydomain.com.  3600    IN      A       10.0.7.3
shellyswitch25-BA7B3F.han.mydomain.com.        3600    IN      A       10.0.7.14
testhanvm.han.mydomain.com.    3600    IN      A       10.0.7.201
vitoconnect.han.mydomain.com.  3600    IN      A       10.0.7.11
Wetterstation.han.mydomain.com.        3600    IN      A       10.0.7.8
testhanvm2.opn.mydomain.com.   3600    IN      A       10.0.7.101
101.7.0.10.in-addr.arpa.        3600    IN      PTR     testhanvm2.opn.mydomain.com.
11.7.0.10.in-addr.arpa. 3600    IN      PTR     vitoconnect.han.mydomain.com.
12.7.0.10.in-addr.arpa. 3600    IN      PTR     ccu3.han.mydomain.com.
14.7.0.10.in-addr.arpa. 3600    IN      PTR     shellyswitch25-BA7B3F.han.mydomain.com.
2.7.0.10.in-addr.arpa.  3600    IN      PTR     s013.han.mydomain.com.
201.7.0.10.in-addr.arpa.        3600    IN      PTR     testhanvm.han.mydomain.com.
253.7.0.10.in-addr.arpa.        3600    IN      PTR     OPNsense.han.mydomain.com.
3.7.0.10.in-addr.arpa.  3600    IN      PTR     Paketkasten.han.mydomain.com.
8.7.0.10.in-addr.arpa.  3600    IN      PTR     Wetterstation.han.mydomain.com.

Danke
Ulf

57

German - Deutsch / DHCP Client-Registrierungen für DNS-Subdomain pro VLAN

« on: October 03, 2020, 03:03:23 pm »

Hallo zusammen,

ich arbeite mich gerade in OPNsense ein, um etwas flexibler in der Konfiguration zu werden. Mein Aufbau sieht aktuell so aus:

Code: [Select]

        WAN / Internet
              :
              : DialUp-/PPPoE-/Cable-/whatever-Provider
              :
        .-----+-----.
        |  Gateway  |  (Vigor 165)
        '-----+-----'
              | 192.168.165.1/24
    WAN (em1) |
192.168.165.11|
      .-------:-----------------------------.
      |  OPN:sense    20.7.3-amd64          |
      |  (Br:dge)                           |
      '-------:--------------:-:-:-:--------'
    10.0.1.253|               \/         VLAN            IP            Subnet           DHCPv4
   MGMT (em0) |               || LAGG0 - 20 Intra        10.0.2.253    10.0.2.0/24        off
  10.0.1.0/24 |               ||       - 30 Gäste        10.0.3.253    10.0.3.0/24        off
              |               ||       - 40 Test         10.0.4.253    10.0.4.0/24        off
              |               ||       - 41 WLAN intern  192.168.1.253 192.168.1.0/24     off
              |               ||       - 70 IoT          10.0.7.253    10.0.7.0/24        on
              |               ||
              |               ||
              |               ||
      .-----+-------------.   ||
      | LAN-Switch        +---'|
      | Unifi USW-48      +----'
      '-----+-+-+-+-+-----'
            | | | | |
            | | | | '----... (Netzwerkdevices/Servers)  VLAN 10  mgmt.mydomain.com
            | | | |
            | | | '------... (Clients/Servers)          VLAN 20 intra.mydomain.com
            | | |
            | | '--------... (Clients)                  VLAN 30
            | |
            | '----------... (Clients/Servers)          VLAN 40  test.mydomain.com
            |
            '------------... (IoT Devices)              VLAN 70   han.mydomain.com

Ich möchte meine Subnets eins nach dem anderen von meinem bisherigen Router (Lancom) umstellen auf die OPNsense. Dazu soll funktionieren

• Clients soll eine IPv4-Adresse per DHCP bekommen
• pro VLAN soll eine eigene DNS-Subdomain verwendet werden
• OPNsense soll die DNS-Namen der DHCP-Clients ausliefern
• es sollen statische DHCP-Reservierungen möglich sein

Testweise habe ich schon mal den DHCP-Server auf dem Lancom deaktiviert, so dass die OPNsense die IP-Adressen verteilt. Den Unbound-Server habe ich eingestellt, dass der DHCP-Leases und statische DHCP Reservierungen registriert.

Der DHCP-Server ist wie folgt eingerichtet:

Code: [Select]

DHCPv4 auf Schnittstelle VLAN 70
- Subnetz       10.0.7.0
- Subnetzmakse  255.255.255.0
- Bereich       10.0.7.100 - 10.0.7.199
- DNS-Server    10.0.7.253 (OPNsense)
- Gateway       10.0.7.253 (OPNsense)
- Domain Name   han.mydomain.com
Beim Testen ist mir dann aufgefallen, dass die dynamische DHCP-Hostnamen mit der Domain der OPNsense verknüpft werden (testhanvm2.mgmt.mydomain.com) und nicht mit der Domain die im DHCP-Servers eingetragen ist (testhanvm.han.mydomain.com):

Code: [Select]

root@OPNsense:~ # unbound-control -c /var/unbound/unbound.conf list_local_data | grep -i han
10.0.7.101.     3600    IN      PTR     testhanvm2.opn.mydomain.com.
OPNsense.han.mydomain.com.     3600    IN      A       10.0.7.253
testhanvm.han.mydomain.com.    3600    IN      A       10.0.7.201
testhanvm2.mgmt.mydomain.com.   3600    IN      A       10.0.7.101
101.7.0.10.in-addr.arpa.        3600    IN      PTR     testhanvm2.mgmt.mydomain.com.
201.7.0.10.in-addr.arpa.        3600    IN      PTR     testhanvm.han.mydomain.com.
253.7.0.10.in-addr.arpa.        3600    IN      PTR     OPNsense.han.mydomain.com.

Die statischen DHCP-Reservierungen (testhanvm) werden korrekt im Unbound DNS eingetragen.

Mein Workaround war jetzt der OPNsense eine eigene Subdomain (opn.mydomain.com) zu geben und diese Subdomain per DHCP als searchlist zu verteilen. Das klappt auch.

Wie bekomme ich die Subnet-/VLAN-spezifische DNS-Domain in die Einträge der DHCP-Clients?

Danke
Ulf

58

20.1 Legacy Series / Re: (DHCPv4/dnsmasq) Different domain names on different interfaces

« on: October 03, 2020, 02:20:10 pm »

Hey Apolly13,

I've searched for the same constellation. The following is not a solution, but perhaps a workaround.

Code: [Select]

      WAN / Internet
            :
            : DialUp-/PPPoE-/Cable-/whatever-Provider
            :
      .-----+-----.
      |  Gateway  |  (Vigor 165)
      '-----+-----'
            | 192.168.165.1/24
  WAN (em1) |
            |
      .-----:-------------------------------.
      |  OPN:sense    20.7.3-amd64          |
      |  (Br:dge)                           |
      '-----:----------------:-:-:-:--------'
            |                 \/     
 MGMT (em0) |                 || LAGG0 - VLAN 20 Intra 10.0.2.253 10.0.2.0/24 DHCPv4 off
10.0.1.0/24 |                 ||       - VLAN 30
            |                 ||       - VLAN 40 Test  10.0.4.253 10.0.4.0/24 DHCPv4 off
            |                 ||       - VLAN 70 IoT   10.0.7.253 10.0.7.0/24 DHCPv4 on
            |                 ||
            |                 ||
            |                 ||
            |                 ||
      .-----+-------------.   ||
      |                   +---'|
      | LAN-Switch        +----'
      '-----+-+-+-+-+-----'
            | | | | |
            | | | | '----... (Netzwerkdevices/Servers)  VLAN 10  mgmt.mydomain.com
            | | | |
            | | | '------... (Clients/Servers)          VLAN 20 intra.mydomain.com
            | | |
            | | '--------... (Servers)                  VLAN 30
            | |
            | '----------... (Clients/Servers)          VLAN 40  test.mydomain.com
            |
            '------------... (IoT Devices)              VLAN 70   han.mydomain.com
I've configured my OPNsense with a subdomain, I've never used

• opnsense.opn.mydomain.com

Then I set the set the domain search list in the dhcpv4 settings to "han.mydomain.com;opn.mydomain.com". With this the the clients find the ip adresses with the opn subdomain. Not nice, but works.

For correct subdomain you can also set static dhcp reservations (like 10.0.7.201 in the next text). This entries will lookuped correctly.

Code: [Select]

root@OPNsense:~ # unbound-control -c /var/unbound/unbound.conf list_local_data | grep -i han
10.0.7.101.     3600    IN      PTR     testhanvm2.opn.mydomain.com.
OPNsense.han.mydomain.com.     3600    IN      A       10.0.7.253
testhanvm.han.mydomain.com.    3600    IN      A       10.0.7.201
testhanvm2.opn.mydomain.com.   3600    IN      A       10.0.7.101
101.7.0.10.in-addr.arpa.        3600    IN      PTR     testhanvm2.mgmt.mydomain.com.
201.7.0.10.in-addr.arpa.        3600    IN      PTR     testhanvm.han.mydomain.com.
253.7.0.10.in-addr.arpa.        3600    IN      PTR     OPNsense.han.mydomain.com.

Perhaps you can use it.

Ulf