Externer DNS Server (AdGuard) wie am besten konfigurieren?

[Ronny1978]

Hast du inzwischen eine Lösung gefunden? Ich habe den gleichen Sachverhalt:

Vigor 165 - OPNSENSE - Adguard als LXC im Proxmox und ein Gastportal in der OpnSense

Bei mir scheitert es das Gastportal zu erreichen und dann natürlich zu Adguard zu kommen.

Wenn es eine Lösung gibt, bin ich sehr interessiert. 

[Schubbie]

Leider nicht.
Da ich meinen Anschluss nun für das Home Office benötige, bin ich auf Kabel Vodafone gewechselt und nutze nur noch eine FritzBox mit 10 /18er Netz, WireGuard kann die auch und ich muss nicht basteln. Mir fehlt für die OPNsense einfach die Zeit.

[Patrick M. Hausen]

Weshalb benutzt ihr nicht AdGuard Home auf der OPNsense?

[Ronny1978]

Hallo pmhausen,

hatte ich bis letztens. Nach einem Update gingen die Domainumschreibungen nicht mehr und auch mein Plugin Unifi Controller hat gehangen. Daher habe ich mich, auch auf anraten von anderen Foren dazu entschlossen, diese Plugins (Unifi und Adguard) wieder auszulagern, um keine evtl. Schwachstellen in die Firewall zu bekommen.

Mir fehlt jetzt nur noch das Captive Portal auf der GAST Schnittstelle um Zusammenspiel mit einem Adguard auf Proxmox, also NICHT auf der OpnSense. Die Umleitung zu Adguard mit Port 53 funktioniert per NAT. Aber das Captive Portal will noch nicht ;-)

Danke für eure Unterstützung und den Wissensaustausch.

[JeGr]

> Mir fehlt jetzt nur noch das Captive Portal auf der GAST Schnittstelle um Zusammenspiel mit einem Adguard auf Proxmox, also NICHT auf der OpnSense. Die Umleitung zu Adguard mit Port 53 funktioniert per NAT. Aber das Captive Portal will noch nicht ;-)

Ich sehe da ehrlich gesagt nicht so ganz den Bezug zur OPNsense - also was das Problem angeht.

Das Captive Portal ist ja aktiv auf einem Interface und fängt Zugriffe ab und redirected die zum Portal. DNS ist meistens dabei erstmal nebensächlich. Man definiert im Portal den Hostnamen und muss dann in PiHole, Adguard oder was man sonst an DNS nutzt sicherstellen, dass der Name dann auch aufgelöst werden kann. Zusätzlich muss die IP zum DNS (Adguard in dem Fall) dann

a) per Regel auf dem CP Interface erlaubt sein
b) die IP des/der DNS(e) muss in den allowed addresses vom Portal stehen, damit Zugriffe darauf nicht gefiltert und abgefangen werden.

Wenn das der Fall ist, ist dem Portal eigentlich relativ egal wo DNS herkommt. Daher sehe ich das Problem nicht so ganz

Ansonsten würde ich den DNS Zugriff nach Upstream nie an einen Forwarder schicken - Zentralisierung macht es nur einfacher, dass Dinge upstream sinnlos geblockt werden. Entweder via Unbound über Roots auflösen lassen (sowas macht man sinnvollerweise meist am "Edge" des Netzwerks und nicht hinten auf dem DNS jeder für sich wenn man von mehreren DNSen ausgeht) oder wenn mans noch weiter spinnen möchte, kann man mehrere (nicht ein zwei, sondern wirklich MEHRERE) Server bpsw. via DNScrypt Proxy als Server reinhauen und diese dann round robin via DoH bspw. die Requests rausschicken um die Anfragen auf mehrere 'vertrauenswürdige' DNSe zu verteilen aber niemand dabei die volle Liste an DNS Anfragen rauszugeben.

Cheers

[Ronny1978]

> Mir fehlt jetzt nur noch das Captive Portal auf der GAST Schnittstelle um Zusammenspiel mit einem Adguard auf Proxmox, also NICHT auf der OpnSense. Die Umleitung zu Adguard mit Port 53 funktioniert per NAT. Aber das Captive Portal will noch nicht ;-)

- Ja, hier hänge ich im Moment noch fest. Wenn ich Captive Portal ausschalte, geht auch alles von der GAST Schnittstelle über den Adguard. Ich habe sicherlich noch irgendwo ein Config-Problem -> offensichtlich. 

Das Captive Portal ist ja aktiv auf einem Interface und fängt Zugriffe ab und redirected die zum Portal. DNS ist meistens dabei erstmal nebensächlich. Man definiert im Portal den Hostnamen und muss dann in PiHole, Adguard oder was man sonst an DNS nutzt sicherstellen, dass der Name dann auch aufgelöst werden kann. Zusätzlich muss die IP zum DNS (Adguard in dem Fall) dann

a) per Regel auf dem CP Interface erlaubt sein
b) die IP des/der DNS(e) muss in den allowed addresses vom Portal stehen, damit Zugriffe darauf nicht gefiltert und abgefangen werden.

Wenn das der Fall ist, ist dem Portal eigentlich relativ egal wo DNS herkommt. Daher sehe ich das Problem nicht so ganz

-> ist ein guter Hinweis. Den werde ich auf alle Fälle noch einmal prüfen. Diese Einstellungen fehlen mit Sicherheit bei mir.

Ansonsten würde ich den DNS Zugriff nach Upstream nie an einen Forwarder schicken - Zentralisierung macht es nur einfacher, dass Dinge upstream sinnlos geblockt werden. Entweder via Unbound über Roots auflösen lassen

-> bei mir ist der Upstream von Adguard der Unbound in der OpnSense. Der Unbound ist auch als Bootstrap eingetragen. Sonst nichts weiter. Sollte doch passen, oder? 

Vielen Dank für eure Unterstützung und eure Hilfe.

Ronny

@tuxtom007: Auch dir vielen Dank für deine Hilfe. Ich versuche am Sonntag mal alle Hinweise umzusetzen. 

[Ronny1978]

Ich sehe da ehrlich gesagt nicht so ganz den Bezug zur OPNsense - also was das Problem angeht.

Das Captive Portal ist ja aktiv auf einem Interface und fängt Zugriffe ab und redirected die zum Portal. DNS ist meistens dabei erstmal nebensächlich. Man definiert im Portal den Hostnamen und muss dann in PiHole, Adguard oder was man sonst an DNS nutzt sicherstellen, dass der Name dann auch aufgelöst werden kann. Zusätzlich muss die IP zum DNS (Adguard in dem Fall) dann

a) per Regel auf dem CP Interface erlaubt sein
b) die IP des/der DNS(e) muss in den allowed addresses vom Portal stehen, damit Zugriffe darauf nicht gefiltert und abgefangen werden.

Wenn das der Fall ist, ist dem Portal eigentlich relativ egal wo DNS herkommt. Daher sehe ich das Problem nicht so ganz

Schade  Ich bekomme es nicht hin. Wenn ich das CP ausschalte und den Adguard 10.0.80.2 als FW Regel für die Gäste DNS freischaltet, funktioniert das Internet und Adguard filtert. Schalte ich das Captive Portal, was natürlich auf der GAST-ADRESSE 172.16.1.1 läuft, ein... passiert nix. Ich kann das CP manuell eingeben und mich Einloggen. Aber die Gäste sollen ja das CP sofort angezeigt bekommen, wenn sie das WLAN anwählen. Sie kennen ja die Adresse nicht.

Was mache ich noch falsch??? Lasse ich Adguard als DNS weg, wird sofort beim Anklicken des WLANs das CP angezeigt. Also findet wahrscheinlich Adguard den Weg zum CP nicht. In der Firewall freigeben hatte ich es schon. Brachte aber leider keinen Erfolg.

Hat noch jemand einen Tipp für mich?

Noch einmal als Ergänzung:

Firewallregeln
ALLOW GASTSCHNITTSTELLE
GUEST NETWORK -> Adguard DNS Port 53
GUEST NETWORK -> GUEST ADRESS Port 8000-10000 (Captive Portal)
Adguard -> GUEST ADRESS Port 8000-10000 (Captive Portal)
GUEST NETWORK danach Internet frei.

ALLOW ADGUARD-SCHNITTSTELLE
Adguard -> Port 53053 zu Adguard ADRESS Port 53053
Adguard -> GUEST ADRESS 8000-10000 (Captive Portal)
Adguard -> GUEST ADRESS Port ANY (als Test)
danach Internet frei

UNBOUND auf OPNSENSE
-> Port 53053

Adguard 10.0.80.2

Upstream
10.0.80.1:53053

Bootstrap
10.0.80.1:53053

ERGÄNZUNG
Lasse ich UNBOUND auch auf Port 53, kann ich bei Upstream folgendes eintragen:
[/80.0.10.in-addr.arpa/]10.0.80.1

UND bei Private DNS Resolver
10.0.80.1

Ändere ich den Port in UNBOUND auf 53053 ab, gehen die 2 Einstellungen NICHT MEHR.

GASTNETZ -> Einstellungen DHCP V4 -> DNS 10.0.80.2

All das geht, wenn das Captive Portal AUS ist. Sobald ich es einschalte erfolgt KEIN AUTOMATISCHES REDIRECT mehr zum Captive Portal auf 172.16.1.1. Bei aktivierten ADGUARD kann ich zwar MANUELL 172.16.1.1:8000 eingeben, aber das ist nicht das Ziel. Auch das GATEWAY im DHCP im GAST Netz zu definieren mit 172.16.1.1 hat nichts gebracht. Der AUTOMATISCHE REDIRECT zum Captive Portal, beim Auswählen den WLAN GAST, wird nicht durchgeführt.

Code: [Select]

$("#signin_anon").click(function (event) {
                    event.preventDefault();
                    // hide alerts
                    $("#alertMSG").addClass("hidden");
                    // try to login
                    $.ajax({
                        type: "POST",
                        url: "/api/captiveportal/access/logon/" + zoneid + "/",
                        dataType:"json",
                        data:{ user: '', password: '' }
                    }).done(function(data) {
                        // redirect on successful login
                        if (data['clientState'] == 'AUTHORIZED') {
                            if (getURLparams()['redirurl'] != undefined) {
                                window.location = 'http://172.16.1.1:8000';
                            } else {
                                window.location.reload();
                            }
                        } else {
                            $("#inputUsername").val("");
                            $("#inputPassword").val("");
                            $("#errorMSGtext").html("login failed");
                            $("#alertMSG").removeClass("hidden");
                        }
                    }).fail(function(){
                        $("#errorMSGtext").html("unable to connect to authentication server");
                        $("#alertMSG").removeClass("hidden");
                    });
                });
Evtl. liegt es auch an der Programmierung vom Template für das Captive Portal? Wie gesagt: Für Tipps bin ich sehr dankbar.

b) die IP des/der DNS(e) muss in den allowed addresses vom Portal stehen, damit Zugriffe darauf nicht gefiltert und abgefangen werden.

-> Wo stelle ich das ein? DIENSTE -> Captive Portal -> Einstellungen -> ERLAUBTE ADRESSEN??? Hatte ich auch mit 10.0.80.2 als auch mit 10.0.80.1 + 10.0.80.2 als auch 10.0.80.0/24 versucht. Brachte leider keinen erfolgt.

[Ronny1978]

Vielen Dank an

@JeGr und @TuxTom007. Jetzt läuft alles perfekt. 

[JeGr]

Und was hatte gefehlt?

[Ronny1978]

Hallo JeGr,

wie du und TuxTom007 gesagt habt: Adguard in die Config das Captive Portal als "erlaubte Adresse" eintragen. Dienst neu starten und - bei mir - WLAN für Gäste löschen und neu einwählen. Danach ging es. Die Firewall Regeln mit Zugriff auf Adguard auf DNS Port 53 sollte gesetzt sein.

 

[JeGr]

Na dann Bestens