Unboumd Interfaces

u.n.known · November 13, 2021, 07:28:24 AM

Eigentlich brauche ich auf dem WAN Interface keinen DNS Server laufen, muss ich aber...
Die opnsense hängt in zwei Netzen. WAN und LAN. Wenn ich nun den unbound nur auf dem LAN Interface aktiviere, nicht auf dem wan dann resolvt er nicht mehr. Er lauscht noch auf dem lan Port aber antwortet nicht mehr. Aktiviere ich den WAN im unbound dann geht wieder alles...

Ist das so gewollt?!? [emoji38]

Gesendet von iPhone mit Tapatalk

micneu · November 13, 2021, 09:43:42 AM

1. bitte mal einen grafischen netzwerk plan
da wir nicht wissen wie dein netz aufgebaut ist können wir nicht ausschließen das du einen konfigurations fehler gemacht hast
2. screenshots von unbound konfiguration

Gesendet von iPad mit Tapatalk Pro

u.n.known · November 13, 2021, 09:46:38 AM

Eine opnsense mit einem WAN und einem LAN Interface. Wenn ich unbound auf dem WAN interface deaktiviere antwortet unbound nicht mehr... ok, wenn das einen netzwerkplan braucht male ich einen. [emoji2] Screenshots kommen

Gesendet von iPhone mit Tapatalk

chemlud · November 13, 2021, 10:28:35 AM

franco empfiehlt iirc immer WAN angeschaltet zu lassen. Ich mach DNSEC und DoT und habe WAN abgeschaltet in unbound, funzt...

u.n.known · November 13, 2021, 01:27:44 PM

Ja, die Empfehlung ist nicht nur die von franco... Grundsätzlich sollte/muss alles nicht benötigte abgeschaltet werden. So ist das bei mir auch... NUR: Wenn ich halt das Binding von unbount an das WLAN-Interface deaktiviere, dann resolvd er nicht mehr... Zumindest auf dem LAN. Auf localhost resolved er noch. Und ja, UDP/TCP für DNS ist vom gesamten LAN-Netz erreichbar, also freigegeben. Nur halt: WLAN in unbound zusätzlich an, apply gedrückt dann geht alles. WLAN als interface aus der unbound-Konfig rausgenommen (haken weg), apply => Keine Resolution mehr... :(

Patrick M. Hausen · November 13, 2021, 02:15:22 PM

Ich hab BIND auf 127.0.0.1:53 am laufen, und überall dort, wo Clients DNS brauchen, ein Port-Forwarding für TCP+UDP/53. BIND nimmt für die ausgehenden Anfragen ein paasendes lokales Interface, auch, wenn er dort nicht "lauscht".

chemlud · November 13, 2021, 03:38:47 PM

Quote from: pmhausen on November 13, 2021, 02:15:22 PM
Ich hab BIND auf 127.0.0.1:53 am laufen, und überall dort, wo Clients DNS brauchen, ein Port-Forwarding für TCP+UDP/53. BIND nimmt für die ausgehenden Anfragen ein paasendes lokales Interface, auch, wenn er dort nicht "lauscht".

Wie sieht dabei das Portforwarding aus? Screenshot? :-)

Patrick M. Hausen · November 13, 2021, 05:28:13 PM

Bitte sehr:

chemlud · November 13, 2021, 05:59:21 PM

Bedankt! :-)

Patrick M. Hausen · November 13, 2021, 06:33:25 PM

Das ist vor allem dann praktisch, wenn man ein HA-Pärchen von 'Sensen hat. Dann nimmt man statt LAN_Address die CARP Adresse. BIND läuft dann auf beiden Firewalls vor sich hin, aber die Anfragen landen alle auf dem CARP Master.

Unboumd Interfaces

u.n.known

November 13, 2021, 07:28:24 AM

micneu

November 13, 2021, 09:43:42 AM #1

u.n.known

November 13, 2021, 09:46:38 AM #2

chemlud

November 13, 2021, 10:28:35 AM #3

u.n.known

November 13, 2021, 01:27:44 PM #4

Patrick M. Hausen

November 13, 2021, 02:15:22 PM #5

chemlud

November 13, 2021, 03:38:47 PM #6

Patrick M. Hausen

November 13, 2021, 05:28:13 PM #7

chemlud

November 13, 2021, 05:59:21 PM #8

Patrick M. Hausen

November 13, 2021, 06:33:25 PM #9