[gelöst] Unbound DNS - kein response an internen Interfaces

[tifiedle]

Hallo in die Runde,

ich habe ein Problem mit Unbound DNS.

Ich möchte gerne OPNsense als resolver für die internen Netze nutzen.
Das funktioniert auch soweit, dass unbound den query entgegen nimmt und diesen nach extern auflöst.

Allerdings sendet unbound keinen response zum Client.

Im log findet man nur folgendes:
notice: sendto failed: Permission denied
notice: remote address is 10.20.0.201 port 32861

Die Firewall blockiert hier nichts, zumindest wird hier nichts protokolliert und auch im tcpdump sieht man ausschließlich die Incoming DNS-Packete, aber keinerlei response.

Auch über die access-control habe ich noch einmal explizit die internen Netze eingetragen. Jedoch alles ohne Erfolg.

Nun hoffe ich, dass hier noch jemand eine Idee hat.

PS: das gleiche Verhalten habe ich auch, wenn ich anstatt Unbound auf Dnsmasq umstelle!


Danke und Gruß
Tim

[tifiedle]

Hallo zusammen,

hat denn niemand eine Idee?

Ich habe jetzt auch so ziemlich alles durch. Doch selbst das komplette deaktivieren der Firewall-Regeln etc. hat nichts gebracht.

Aufgrund dessen habe ich aktuell den Verdacht, dass Unbound meine Acces-Lists nicht akzeptiert.
Habe dazu bereits alle Möglichkeiten ausprobiert. WebUI, Config-File (wie in https://docs.opnsense.org/manual/unbound.html beschrieben), doch nichts führt zum Erfolg.
Auch das LogLevel 5 von Unbound liefert keine brauchbaren Hinweise.

Meine aktuell im Einsatz befindlichen Versionen:
OPNsense 21.1.7_1-amd64
unbound 1.13.1

Vielleicht hat ja noch irgendjemand eine Idee...


Gruß
Tim

[JeGr]

Wie sehen denn deine Access Lists aus? Was steht genau in den Logs bei den Abfragen? Wenn nichts / nicht genug drin steht, ggf. das Logging erhöhen auf Level 2 oder 3? Vielleicht ein zwei Screenshots vom Problem zeigen?

Cheers
\jens

[BrAiNee]

Hast Du bei der Advanced Ansicht Outgoing Network Interfaces > All ?

[tifiedle]

Hallo zusammen,

also Unbound ist wie folgt konfiguriert:
Listen Port: 53
Network Interfaces: All (recommended)
Outgoing Network Interfaces: All (recommended)

Die Access-List habe ich zum testen jetzt global auf "10.0.0.0/8 allow" stehen (siehe Screenshot).
In diesem Bereich befinden sich alle Netze, bis auf WAN natürlich.

Das Loglevel habe ich einmal auf 3 gestellt mit dem Ergebnis im Anhang.
Auch bei einem höheren Loglevel kommt leider nicht mehr Info bei raus, bis auf dass man sehen kann, wie welche DNS-Server abgefragt werden bis die finale IP-Adresse ermittelt ist und am Ende ausschließlich der response in Richtung Client stecken bleibt.

[BrAiNee]

mach doch mal bitte ein screenshot von deiner ganzen access list. aber permission diened sieht für mich wie ein firewall rule problem aus.

[tifiedle]

Hier noch einmal die aktuell gesamte Access-List als Screenshot.

An der Firewall scheint es nicht zu liegen, da ich genau das gleiche verhalten seitens unbound habe, wenn ich die Option "Disable all packet filtering" aktiviere und damit die gesamte Firewall-Funktionalität ausschalte.

Zudem logged die Firewall auch keinerlei DROP, was sie bei einer ähnlichen Problematik mit NTP getan hat.
Dort konnte dann auch durch eine entsprechende Rule Abhilfe geschaffen werden.

[BrAiNee]

jo die accesslist sieht ok aus dann weiss ich auch nicht weiter. Hast Du denn bei deinen Clients ne eingehende Rule für das lokale Netzwerk b.z.w. den Gateway ? In meinen Unbound Logs tritt diese Notice Zeile nicht auf und ich habe keine weiteren Rules erstellt ausser das Lan Interface alles raus darf und bei den lan clients von lokal alles rein.

[tifiedle]

Hallo in die Runde,

der Fehler ist gefunden.

Es lag tatsächlich an einer Konfiguration von Virtual IPs.

Was genau jetzt hier zum Fehler führte, kann ich mir nicht erklären, da alles andere funktionierte.
Aber jetzt funktioniert alles inkl. unbound so wie erwartet.