OPNsense Konfiguration Grundsätzliches

[draconix]

Hallo zusammen,

OPNsense 22.1.10-amd64
FreeBSD 13.0-STABLE
OpenSSL 1.1.1q 5 Jul 2022

ich bin Neuling in OPNsense und hätte mal ein paar grundsätzliche Fragen.

Das Aufsetzen und die Inbetriebnahme war recht einfach. Leider funktionieren ein paar Sachen nicht so wie ich mir das Vorstelle :-) Die Filterregeln sind nicht das Problem da ich mich mit IPtables auskenne. Es geht mir mehr um das Grundprinzip von OPNsense selbst. Daher folgende Fragen:

1. Kann es sein das OPNsense nicht zulässt Konfigurationsdateien von Diensten (z.B. DHCP oder DNS(Bind)) manuell zu ändern/erweitern (also die .conf Dateien in der Shell zu bearbeiten)?

2. Kann man OPNsense das irgendwie abgewöhnen?

Hintergrund: Ich bin recht Firm bei der Konfiguration von DHCP und Bind und deren Zusammenspiel. Nur spuckt mir OPNsense immer in die Suppe und setzt alle Änderungen zurück. Leider ist die WebGUI (noch) nicht soweit das alle Optionen vorhanden sind oder funkionieren. Das zurücksetzen durch OPNsense tritt allerdings auch bei UnboundDNS auf.

Ich hoffe ihr habt etwas Verständnis für meine Anfängerfrage 

MfG

[Patrick M. Hausen]

1. Ja
2. Nein

OPNsense speichert die gesamte Konfiguration in einem eigenen Format und generiert daraus erst die eigentlichen Konfigurationsdateien. Für manche Dienste gibt es Hooks, also spezielle Verzeichnisse, in denen man eigene Dateien ablegen kann. Das steht dann in der Doku, wenn das der Fall ist.

[draconix]

@pmhausen:

Danke für die schnelle Antwort.

Hab's mir fast gedacht. Ist natürlich in sofern Schade das man da direkt nix ändern kann. Bei DHCP nicht so schlimm, da hier die GUI schon alles wichtige dabei hat. Nur bei Bind ist das insofern blöd da man nicht mehrere Zonen anlegen kann (hier funktioniert die WebGUI noch nicht richtig weil "experimental"). ACLs werden in die "named.conf" geschrieben und bleiben auch da, nur die Zonen nicht. Wenn man wenigstens die #include Anweisung dauerhaft eintragen könnte wäre das Klasse.

MfG

[Patrick M. Hausen]

Die Zonenverwaltung in os-bind ist zwar etwas umständlich - deutliche Verbesserung kommt mit dem nächsten Update, siehe https://github.com/opnsense/plugins/pull/2701

Aber mehrere Zonen kann das Teil auch jetzt schon. Siehe Screenshot. Was ist denn dein Problem? Mit dem [ + ] rechts unten kannst du beliebig viele hinzufügen ...

Gruß
Patrick

[draconix]

@pmhausen:

Hab mir den Artikel durchgelesen. So weit war ich auch schon, aber die Records sind statisch und nicht dynamisch. Hier liegt das Problem. DHCP akzeptiert für dynamisches DNS nur md5 und sha512 Key-Algorithmen an. Das Bind-Paket erzeugt aber bei der Installation nur ein sha256-Key (für rndc). Ich kann zwar einen sha512-Key (extra für DHCP) erzeugen aber dank OPNsense nicht in named.conf hinterlegen. Also murks.

Daher wäre eine von 2 Möglichkeiten nicht schlecht.

1. Könnte man DNS (hier Bind) out of the Box (OPNsense-WebGUI) laufen lassen, dann könnte man named.conf editieren und das System läuft wie gewünscht.

2. Für die GUI soetwas wie beim seligen Samba-Tool SWAT. Da nicht alle Optionen in diese GUI reinpassten gab es ein embedded Editor mit dem man die Konfiguration direkt bearbeiten konnte.

Ich weiß... ich Verlange hier unmögliches 
Aber da die Optionen für Bind umfangreich sind werden die auf absehbarer Zeit wohl kaum/nicht implementiert. Ich wäre ja schon Froh über ein Hook (include-Anweisung) zu einem Ordner für eigene Optionen.

MfG

[Patrick M. Hausen]

Das mit dem dynamic DNS hattest du nicht geschrieben

An dem Thema bin ich lustigerweise tatsächlich dran. Die fehlende DHCP --> BIND Integration in OPNsense nervt mich nämlich und mit beiden Teilen kenne ich mich gut aus. Bin nicht so der UI/PHP-Coder, deshalb dauert das bei mir immer etwas.

Aber wenn es dir auch oder in erster Linie darum geht: Unbound ist mit dem DHCP integriert in OPNsense. Und für eigene statische Zonen kannst du dann den BIND zusätzlich als Forwarder oder Domain Override im Unbound laufen lassen. Damit wäre alles umgesetzt.

Das mit dem extra UI ala SWAT wird wohl eher nicht passieren, schließlich soll ja alles ins OPNSense UI, was unterstützt wird.