Frage zu: Dienste: Unbound DNS: Überbrückung

Started by Nisch, March 14, 2021, 08:59:11 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
March 14, 2021, 08:59:11 AM Last Edit: March 14, 2021, 09:01:50 AM by Nisch
Hallo alle

Ich bin neu hier, und versuche mit OPNsense warm zu werden. Dies ist hin und wieder etwas ungewohnt, klappt aber eigentlich ganz ordentlich. Tolle Sache.
Ich arbeite auf einer APU2 und habe von igb0 zu igb2 eine Bridge gesetzt. Die Bridge ist zwischen Modem (ja wirklich, ein Modem, kein Router) und Gateway platziert. Der ursprüngliche LAN port, igb1 steht auf DHCP und bezieht seinen fixen LAN-IP's vom Gateway (eine UDM-Pro). Seitens OPNsens ist Unbound aktiviert, und stellt den DNS IPv4 + IPv6 für mein LAN Netzwerk. Ich möchte Unbound auch dazu nutzen um mit meiner Stratum 1 public zu gehen. Ich habe dazu eine Domain gekauft. Nennen wir sie "nisch.online"  ;D
Die Zone von "nisch.online" ist bei meinem Hoster, bzw auf seine Servern angelegt. Er bietet mir auch die Möglichkeit IPv6 und DynDNS einzutragen, zu nutzen. Weil ich nur einen Dynamische IP habe kommt mir dies sehr gelegen.

Mein Problem: Ich würde gerne mit mehr als einem Service public gehen. Dies vorerst auf den Ports 123 und 8843.

- ntp.nisch.online, 10.11.12.13:123
- login.nisch.online, 10.11.12.1:8843

M.m.n nutze ich dazu Dienste: Unbound DNS: Überbrückung. ..und verwende waß wie genau??

Host-Überschreibungen mit "nisch.online" und lokalen Adressen, oder ..?
..und bei Domainüberschreibung die Server und IP vom Hoster, oder doch nicht?
Geht daß was ich will überhaupt, oder benötige ich mehr als eine public IP?

Fragen über Fragen, ich hoffe ihr könnte mein wir-war etwas entwirren.  :-[

March 14, 2021, 11:30:16 AM #1
Such mal im Forum nach haproxy, haben wir einiges zu gepostet oder Googlen


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
March 14, 2021, 01:50:31 PM #2
Hi micneu

Herzlichen dank für den Tipp. Echt spannend, wusste gar-nicht dass es sowas gibt. Bin nach ein paar Youtube Videos erstmal den beiden Anleitungen gefolgt.

https://wiki.opnsense.org/manual/how-tos/haproxy.html
https://www.triumvirat.org/2020/02/17/haproxy-reverse-proxy-mit-lets-encrypt-zertifikaten-unter-opnsense-20-1/

Da ich keinen Webserver betreibe, habe ich versucht die Anleitungen für meinen NTP zu verstehen. Bin aber nach spätestens 2/3 gescheitert, und hab auch keine Ahnung was ich da eingerichtet habe.  :-[

Meinem Verständnis nach sollte der Hoster via DynDNS meinerseits, mit CNAMES auf meine Public IP zeigen, und der HAProxy hinter meiner UDM, verteilt dann nach Ports auf die lokalen IP's?
Und weil ich keine Vhosts angelegt habe, benötige ich Unbound um die Host zu benamseln?

Bin auch nicht sicher ob es Let's Encrypt braucht. Das Gästeportal, ja ok könnte man auf HTTPS setzen, muss aber nicht. Login geht nur über ein frei zugängliches, unverschlüsseltes, WLAN mit aktivierten Guest Policies. Dieses ist A in einem anderen VLAN, B in einem anderen Netz, C in einer anderen Netzklasse (B), und D ist der geloggte Aufenthalt nicht nur Zeitlich limitiert. M.M.n Gewinne ich nicht viel wenn ich das Login Portal auf HTTPS setze.
Viel wichtiger ist mir da eigentlich daß die Namensauflösung funktioniert. Das Login sollte über login.nisch.online erfolgen, und nicht über die IP. Denn auch wenn das Gästenetz abgetrennt ist, der Host mit dem Login-Portal  befindet sich im LAN (Klasse A Netz).
Desweiteren will ich ja mit meiner UHR nach draußen ins pöse pöse Internetz. Ganz einfach deswegen weil ich meine UHR auch in anderen Netzen nutzen möchte.

Also ist vielleicht etwas viel jetzt. Bin aber dennoch froh wenn der Aufwand -auch für die APU- möglichst gering bleibt. Nur so, falls es noch andere Lösungen gibt. ;D





March 14, 2021, 02:55:18 PM #3
Bitte mal eine grafischen netzwerkplan.
Ich denke du verwechselter was. So wie ich das verstehe willst du für intern die DNS Auflösung und nicht für extern oder was genau willst du da bauen?




Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
March 14, 2021, 03:48:44 PM #4
Nein doch für extern.

Bringt mir ja sonst nichts wenn ich mein Notebook auf ntp.nisch.online synchronisieren lasse, und dies unterwegs nicht funktioniert.
March 14, 2021, 04:54:22 PM #5
ok. nur warum willst du nicht den de ntp nehmen.
für eine webseite und theoretisch (du musst schon wissen was mann macht) kannst du auch den ntp über den haproxy laufen lassen. ich habe bei mir einige urls die ich von meinem cloudflare
als dyndns anbiter nutze und alles über den haproxy.
fang doch mit dem haproxy für deine webseite an (du kannst ja den le kram einfach weg lassen wenn du verstehst was da gemacht wird)


Gesendet von iPad mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
March 14, 2021, 05:17:10 PM #6
Ich dachte, HAproxy macht kein UDP?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 14, 2021, 08:32:31 PM #7
Quote from: pmhausen on March 14, 2021, 05:17:10 PM
Ich dachte, HAproxy macht kein UDP?
kann sein, sogenau kann ich das nicht beantworten.
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
March 14, 2021, 08:51:05 PM #8
Aber rätst zu HAproxy für NTP ... :P
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
March 14, 2021, 10:15:53 PM #9
der ha proxy für die webseite und den ntp einfach direkt raus (was ich keine gute idee halte) warum nicht die offiziellen ntp nutzen. bin mal auf die antwort von nisch gespannt
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
March 15, 2021, 05:47:06 AM #10 Last Edit: March 15, 2021, 10:54:17 AM by Nisch
Morgen Zusammen

Also Webseite = Captive Portal aka Gäste Login Portel
LAN = 10.11.12.0/*
Gäste = 172.16.15.0/*

Die Webseite wird vom Gateway aus dem LAN angeboten. Wie das funktioniert gibts ganze Artikel zu.
https://help.ui.com/hc/en-us/articles/115000166827-UniFi-Guest-Network-Guest-Portal-and-Hotspot-System

Nach den Angaben des Herstellers MÜSSTE auch die Namensauflösung ohne Amtliche DNS-Zone funktionieren. 1x Durch das Gateway selbst, und 2. weil man für den login mehrere IP's aus dem LAN und anderen Netzwerken bereitstellen kann. Doch das tut sie nicht. Und nicht nur bei mir, ist auch bei anderen so. Sie kann auch nicht mit IPv6 umgehen. Lokal lässt sich zwar ein IPv6 Netzwerk erstellen/delegieren, das Gateway selbst hat dann aber keine. Funktionen wie Honeypot und Co funktionieren nur mit IPv4, obschon dann wieder IPv6 FW Regeln erstellt werden können.  :-\
Ansonsten hätte ich nun gesagt dass ich für die Website IPv6 verwenden, und für NTP IPv4. Doch da mit dem HAProxy und LE einzugreifen wäre wohl nicht ganz so gut. Hauptsächlich weil das ganze Netzwerk Controller gedöns so ein Hersteller ding ist, und dieser Hersteller vieles anders macht wie alle anderen.

Ich mein, find ich jetzt auch nicht unbedingt schlecht. Standards sind schon auch cool, aber eben auch Stand-"Art" und nicht Inovation.

Ein Lösungsansatz den ich hier jetzt "noch" sehe -und auch in entsprechenden Foren diskutiert wird- ist ein DynDNS mit der öffentlichen IPv4 auf die DNS-Zone. Möglicherweise gibts auch was vom Hersteller mit Cloud-Login für Admin, nach Hause Telefonier und dann gibts Gratis Domain wie bei Syn(t)ology oder sowas. Bin ich aber kein Fan von. Da scheint es mir wahrscheinlicher im Gäste-netz einen eigen lokalen DNS zu betreiben.

Die NTP kann ich über die 128er IPv6 in die DNS-Zone einbinden, und um sicher zu gehen auch einen DynDNS dafür ziehen. Damit wäre sich auch öffentlich solange erreichbar wie man IPv6 erhält. Was insbesondere öffentlich, oder über Handynetz eher selten ist. :(
Doch genau da sind wir beim Punkt: Ich kann meine öffentliche IPv4 nicht share'n. Oder ich weis nicht wie. z.B. DNS-Zone mit DNAME. Also wie gehabt Gateway mit öffentlicher ipv4 DynDNS, und NTP mit der 128er IPv6 auf DynDNS zum Hosster, und dann in der DNS-Zone beim Hoster
Code Select
ntp.nisch.online DNAME login.nisch.online
..hab ich versucht. Funktioniert nicht. Das mit DynDNS und A bzw AAAA eingräten, würde aber soweit funktionieren. Ob's auf fürs Portal funktioniert hab ich allerdings noch nicht ausprobiert.

Aus meiner Sicht ist es wohl am einfachsten für das Gästenetz einen eigenen DNS zu stellen, und mit der NTP einfach so raus zu gehen. Über HAProxy kann ich mir dies ebenfalls vorstellen. NTP Port 123 ist TCP wie UDP. Ob jetzt mit dem einen, oder dem anderen ist M.M.n wie bei SIP ein bisschen Glaubensfrage. Das eine ist schneller, das andere kommt sicher an. Aso.. ¯\_(ツ)_/¯
Auch das ich gateway.nisch.online auf port 8880 oder 8834 zeigen lassen, und daraus ein login.nisch.onnline machen kann. Top! So bekommt der Gast nicht-mal den Port mit. Ob's funktionieert? K.A. > Nur zur Erinnerung: Es gab und gibt schon damit Probleme die aufgelösten Domain aus dem LAN in's Gästenetz zu übertragen. Besonders vor bzw während dem Anmelden, wo der Gast noch keinen Internetzugriff hat, und mit seiner IP isoliert ist. So! Wenn es nun für den einen nicht funktioniert (weil meinetwegen der oöse pöse Hersteller schuld ist), weshalb sollte es dann mit dem anderen funktionieren? Dazu noch SSL verschlüsselt.

Das einzige was diesbezüglich zu funktionieren scheint (angeblich), ist die öffentliche Auflösung. Damit wären wir an einem heiklen Punkt. Ich nutze Unbound von der OPNsense derzeit als DNS-Server für den gefilterten Internetzugriff aus dem LAN. Ich könnte Unbound auch dafür nutzen um intern drucker.nisch.local und co zu vergeben. Mache ich aber nicht. Nur mal so wegen meinem ersten Post.
Ich hatte die Idee dass ich mit Unbound (als Resolver) login. und ntp. öffentlich wie lokal auflöse, weil ich da einfacher aliase setzen kann die funktionieren. Das war wohl missverständlich formuliert. Jedenfalls ist darauf niemand eingegangen. Was schade ist. Jedenfalls hoffe ich daß es jetzt etwas verständlicher wurde.  :)

Netzwerkplan bin ich noch dran. Sorry wen's so langen dauert. Hab ein wenig Probleme mit der Übersicht.  ;D

Quote from: micneu on March 14, 2021, 10:15:53 PM
..warum nicht die offiziellen ntp nutzen.
Wie? Versteh ich nicht.

EDIT:// Nachträglich noch mein Netzwerkplan. Ich hoffe er gefällt. ;D
Code Select

      .--Internet--.
      :            :
      :            :
      :            :
.----+----.  .----+----.
|  Modem  |  |  Modem  |
'----+----'  '----+----'
   Dyn|IPv4     Dyn|IPv4/6
      |            |
    WAN2         WAN1
      |            |
   Fallback  .-----:------.
     only    |  OPN:sense |
      |      |  (Br:dge)  +--------. management interface als DHCP Client       
      |      | Spam:Haus  |        | DNS/DNSSEC IPv4/6 für Internet (LAN)
      |      '-----:------'        | Ads Filter
      |            |               |
      |        DMZ |               |
      |            |               |
      |  .---------+---------.     |
      '--+ GW,IPS,NAT,DHCP,..|     |
         |         +---------|-----:-Captive Portal
         +---------|---------'     |
         |   GUEST |           LAN |
         |  ..-----+-----.. ..-----+------..
         |   172.16.15.*/*     10.0.0.*/*
         |                         |
         |                   Clients, NTP
    HW Fallback
  ..-----+-----..
   192.168.0.0/*
Print
Go Up Pages1
User actions