unbound liefert public IP vom OPNsense Router

[thogru]

Moin, moin,

Ich habe jetzt meine erste OPNsense Installation fast am Laufen... Meine Zielkonfiguration habe ich in der Anlage skizziert.

Wenn ich im LAN die Namensauflösung für den Router durchführe erhalte ich folgendes Ergebnis:

Code Select Expand


C:\>nslookup OPNsense.localdomain
Server:  OPNsense.localdomain
Address:  192.168.148.222

Name:    OPNsense.localdomain
Addresses:  192.168.148.222
          95.116.238.24

Eigentlich habe ich nur die lokale IP-Adresse erwartet.

Dieses Verhalten führt beim ssh zugriff mittels PuTTY zu zeitlichen Verzögerungen:

Code Select Expand


PuTTY-Log:
2021-05-16 14:35:01 Looking up host "OPNsense.localdomain" for SSH connection
2021-05-16 14:35:01 Connecting to 95.112.17.125 port 22222
2021-05-16 14:35:01 We claim version: SSH-2.0-PuTTY_Release_0.71
2021-05-16 14:35:22 Failed to connect to 95.112.17.125: Network error: Connection timed out
2021-05-16 14:35:22 Connecting to 192.168.148.222 port 22222
2021-05-16 14:35:22 Remote version: SSH-2.0-OpenSSH_8.4 FreeBSD-openssh-portable-8.4.p1_4,1
2021-05-16 14:35:22 Using SSH protocol version 2
2021-05-16 14:35:22 No GSSAPI security context available
2021-05-16 14:35:22 Doing ECDH key exchange with curve Curve25519 and hash SHA-256 (unaccelerated)
2021-05-16 14:35:22 Server also has ecdsa-sha2-nistp256/ssh-rsa host keys, but we don't know any of them
2021-05-16 14:35:22 Host key fingerprint is:
2021-05-16 14:35:22 ssh-ed25519 255 7b:38:59:c6:49:5d:57:31:70:da:8f:eb:9e:34:53:24
2021-05-16 14:35:22 Initialised AES-256 SDCTR (AES-NI accelerated) outbound encryption
2021-05-16 14:35:22 Initialised HMAC-SHA-256 (unaccelerated) outbound MAC algorithm
2021-05-16 14:35:22 Initialised AES-256 SDCTR (AES-NI accelerated) inbound encryption
2021-05-16 14:35:22 Initialised HMAC-SHA-256 (unaccelerated) inbound MAC algorithm
2021-05-16 14:35:22 Pageant is running. Requesting keys.
2021-05-16 14:35:22 Pageant has 4 SSH-2 keys


Muss ich für jedes Interface am Router eine eigene Sub-Domäne einrichten, damit ich nur jeweils eine IP-Adresse als DNS-ANtwort erhalte? Gibt eine bessere/elegantere Lösung?

Gruß
Thomas