OPNSense und AdGuard Home - IP Adressen Hostname Auflösung klappt nicht

[_patrick_]

Hallo Leute,

Ich habe AdGuard Home als Docker Container in Portainer auf meinem QNAP NAS installiert. Als Router/Firewall verwende ich OPNSense (IP 10.0.1.1). Unbound ist auf der OPNSense komplett deaktiviert.

Hätte jetzt gerne in AdGuard eine IP Adressen/Hostname Auflösung.

Dazu sollte man ja unter Upstream-DNS-Server folgendes eintragen:

[/1.0.10.in-addr.arpa/]10.0.1.1

Wenn ich dies eintrage kommt folgende Meldung: Upstream „[/1.0.10.in-addr.arpa/]10.0.1.1“ reagiert nicht auf Testanfragen und funktioniert möglicherweise nicht fehlerfrei

Weiters gibt es zusätzlich die Möglichkein hier (siehe Screenshot) den Router einzutragen

Ich habe es dort sowohl mit "10.0.1.1" als auch mit "[/1.0.10.in-addr.arpa/]10.0.1.1" versucht.

Es kommt jedesmal die Fehlermeldung: Server „10.0.1.1“: konnte nicht verwendet werden, bitte überprüfen Sie die korrekte Schreibweise

Welche Regel oder Einstellung muss ich in OPNSense vornehmen damit AdGuard auf die OPNSense zugreifen und Hostnamen abfragen darf?

Danke schonmal für eure Hilfe
Grüße
Patrick

[KHE]

Hi,

es reicht vollkommen in das Feld Private reverse DNS servers die IP des lokalen DNS-Servers einzutragen. Die eckigen Klammern mit Inhalt sind nicht notwendig. Vielleicht noch der Port. Z.B. 1.0.1.1:53.
Für eine normale Namesauflösung sollte in den Upstream-DNS-Servern stehen: [/meine.tolle.locale.domäne/]1.0.1.1.

Wird bei dir aber auch nicht klappen, denn wer soll da Antworten, wenn du den Unbound auf der OPNsense deaktiviert hast? Da du auch Dnsmasq und bind nicht erwähnt hast, gehe ich davon aus, das kein DNS-Server auf der OPNsense läuft. Und ohne einen DNS-Server bekommst du keine Antwort auf Anfragen.

Gruß
KH

[_patrick_]

es reicht vollkommen in das Feld Private reverse DNS servers die IP des lokalen DNS-Server einzutragen. Die eckigen Klammern mit Inhalt sind nicht notwendig

Okay, das stammt dann wohl noch aus der Zeit wo es diese extra Einstellung nicht gab. Denn auf den Videos wo ich das gesehen habe gab's die anderen Felder noch nicht

Für eine normale Namesauflösung sollte in den Upstream-DNS-Servern stehen: [/meine.tolle.locale.domäne/]1.0.1.1.

Was meinst du mit normaler Namensauflösung? Meinst du jetzt wenn ich die OPNsense z.B. mit "firewall.fuehlmichsicher.intra" aufrufen will?

Wird bei dir aber auch nicht klappen, denn wer soll da Antworten, wenn du den Unbound auf der OPNsense deaktiviert hast? Da du auch Dnsmasq und bind nicht erwähnt hast, gehe ich davon aus, das kein DNS-Server auf der OPNsense läuft. Und ohne einen DNS-Server bekommst du keine Antwort auf Anfragen.

DANKE das wars! Ich dachte eigentlich das man die ganzen DNS Geschichten auf der OPNsense deaktivieren muss, da man ja sonst 2 DNS Server hat. Habe jetzt mal Dnsmasq aktiviert und siehe da ein paar Namen wurden schon aufgelöst.

Aber wie läuft das jetzt, ich habe Videos gesehen gesehen wo bei Unbound einfach der Port auf 53053 geändert wurde. Das klappt bei Dnsmasq aber nicht, der akzeptiert nur Port 53.
Nur so habe ich ja 2 aktive DNS Server laufen oder?

Unter System: Settings: General habe ich nichts eingetragen und den Hacken bei "Do not use the local DNS service as a nameserver for this system" gesetzt. Bei den einzelnen Netzen habe ich die IP Adressen der AdGuard Server als DNS drin. Wäre es hier sinnvoller Unbound (oder Bind) zu nutzen und den Port auf 53053 zu ändern?

Bzw was ist denn hier der sinnvollste bzw. beste Einstellung in Kombination mit AdGuard bzw. hat irgendein Dienst Besonderheiten oder Vorteil oder ist das reine Geschmackssache.

Bin ziemlich neu beim Thema OPNSense also sorry wenn die ein oder andere Blöde Frage dabei ist.

Gruß
Patrick

[KHE]

es reicht vollkommen in das Feld Private reverse DNS servers die IP des lokalen DNS-Server einzutragen. Die eckigen Klammern mit Inhalt sind nicht notwendig

Okay, das stammt dann wohl noch aus der Zeit wo es diese extra Einstellung nicht gab. Denn auf den Videos wo ich das gesehen habe gab's die anderen Felder noch nicht

Wahrscheinlich.

Für eine normale Namesauflösung sollte in den Upstream-DNS-Servern stehen: [/meine.tolle.locale.domäne/]1.0.1.1.

Was meinst du mit normaler Namensauflösung? Meinst du jetzt wenn ich die OPNsense z.B. mit "firewall.fuehlmichsicher.intra" aufrufen will?

Ja, wenn du alle Geräte in deinem Netzwerk so aufrufen möchtest.
Währe dann: [/fuehlmichsicher.intra/]1.0.1.1
Sofern eben diese Geräte im DNS-Server auf der OPNsense definiert sind. Da du die Reverse-Auflösung so haben möchtest, kann man gleich alles an einer Stelle verwalten.

Wird bei dir aber auch nicht klappen, denn wer soll da Antworten, wenn du den Unbound auf der OPNsense deaktiviert hast? Da du auch Dnsmasq und bind nicht erwähnt hast, gehe ich davon aus, das kein DNS-Server auf der OPNsense läuft. Und ohne einen DNS-Server bekommst du keine Antwort auf Anfragen.

DANKE das wars! Ich dachte eigentlich das man die ganzen DNS Geschichten auf der OPNsense deaktivieren muss, da man ja sonst 2 DNS Server hat. Habe jetzt mal Dnsmasq aktiviert und siehe da ein paar Namen wurden schon aufgelöst.

Aber wie läuft das jetzt, ich habe Videos gesehen gesehen wo bei Unbound einfach der Port auf 53053 geändert wurde. Das klappt bei Dnsmasq aber nicht, der akzeptiert nur Port 53.
Nur so habe ich ja 2 aktive DNS Server laufen oder?

Ja, macht ja nichts. Bei mir laufen 2 auf der OPNsense. Adguard Home und Unbound.
Soweit ich weiß soll der Unbound den Dnsmasq ersetzen. Darum habe ich diesen gewählt. Den Port must du nicht Ändern, da bei dir andere Bedingungen sind. Dein Adguard Home läuft auf einem anderen Rechner (ein QNAP NAS ist auch nur ein Rechner) also kommen sich Adguard Home und Dnsmasq (oder Unbound oder bind) bei dir nicht in die Quere.

Unter System: Settings: General habe ich nichts eingetragen und den Hacken bei "Do not use the local DNS service as a nameserver for this system" gesetzt. Bei den einzelnen Netzen habe ich die IP Adressen der AdGuard Server als DNS drin. Wäre es hier sinnvoller Unbound (oder Bind) zu nutzen und den Port auf 53053 zu ändern?

Wie gesagt, den Port brauchst du nicht ändern. Hintergrund dafür ist, das Dnsmasq und Unbound immer auch auf localhost aktiv sind. Wenn man dann einen weiteren DNS-Server (Adguard Home oder bind oder DNScrypt) auf Port 53 laufen lassen will klappt das nicht. Daher soll man in den Anleitungen den Port ändern. Da deine Clients die Blocklists des Adguard Home nutzen sollen sollte die Einstellung in den Interfaces so bleiben. Sonst brauchst du den Aufwand nicht treiben .

Unter System: Settings: Bzw was ist denn hier der sinnvollste bzw. beste Einstellung in Kombination mit AdGuard bzw. hat irgendein Dienst Besonderheiten oder Vorteil oder ist das reine Geschmackssache.

Ich habe unter System: Settings: General keine DNS-Server eingetragen. Ausserdem Allow DNS server list to be overridden by DHCP/PPP on WAN nicht gesetzt und auch Do not use the local DNS service as a nameserver for this system nicht gesetzt. Die OPNsense selbst soll ja die Namen problemlos auflösen können, für die Firewall brauche ich keine Blocklist. Daher nutzt die OPNsnese den Unbound bei mir direkt.

Dnsmasq hat weniger Einstellungen, also wohl etwas einfacher. Kann DHCP Registrierungen annehmen. Soll wohl irgendwann nicht mehr als Default installiert werden.
Unbound kann DoT für Upstream und DHCP Registrierungen annehmen. Ineffizient und fehleranfällig mit Blocklisten.
Bind ist mächtig, kann keine DHCP Registrierungen annehmen.
Welchen du auf der OPNsense nimmst, ist Geschmacksache und hängt ein wenig von den Anforderungen ab.

Unter System: Settings:
Bin ziemlich neu beim Thema OPNSense also sorry wenn die ein oder andere Blöde Frage dabei ist.

Gruß
Patrick

Blöde Fragen sind ok. Wie soll man sonst was lernen?

Gruß
KH

[Vexz]

Eine blöde Frage habe ich auch.

Ich habe es für IPv4 auch zum Laufen gebracht, dass AGH mir auf der Web UI die Namen der Geräte anzeigt. Aber wie mache ich das, dass das auch für IPv6 geht?
Bei "Private reverse DNS servers" habe ich nun auch noch die link lokale IPv6 meiner Sense in einer extra Zeile eingetragen. Allerdings scheint sich hier selbst nach einer Weile nichts zu tun. Die Namen der Geräte werden mir nur dann angezeigt, wenn AGH sie mit einer IPv4 anzeigt.

[KHE]

Eine blöde Frage habe ich auch.

Ich habe es für IPv4 auch zum Laufen gebracht, dass AGH mir auf der Web UI die Namen der Geräte anzeigt. Aber wie mache ich das, dass das auch für IPv6 geht?
Bei "Private reverse DNS servers" habe ich nun auch noch die link lokale IPv6 meiner Sense in einer extra Zeile eingetragen. Allerdings scheint sich hier selbst nach einer Weile nichts zu tun. Die Namen der Geräte werden mir nur dann angezeigt, wenn AGH sie mit einer IPv4 anzeigt.

IPv6 DNS Auflösung der eigenen IPv6 Adressen aus dem Heimnetzwerk ist schwierig. Ich gehe jetzt mal von Unbound oder Dnsmasq aus. Du musst ja in der OPNsense entweder die Overrides eintragen oder der DHCP-Server registriert die IP-Adressen und Namen. Mit IPv4 hast du ja bei den Overrides statische Adressen und mit DHCP dynamische (oder dort statisch zugewiesen) aus deinem von dir gewählten privaten Netzwerkraum der sich nicht ändert.
Mit IPv6 hast du in der Regel einen dynamisch von deinem Provider zugewiesenen Prefix der sich ändern kann. Diesen verteilt die OPNsense dann auf ihre internen Netzwerke. Bei SLAAC wählen ja die Rechner selbst ihre Adresse, nach welchen Regeln hängt vom Betriebssystem ab. Ob es Software gibt, die aus der NDP (Neighbor Discovery Protocol) die Adressen im DNS registriert weiß ich nicht, wäre ja mal ein interessantes Projekt. Und bei Verwendung von DHCPv6 ist das registrieren im DNS soweit ich weiß auch nicht implementiert. Ich verwende DHCPv6 nicht und bin mir da nicht sicher.
Das einzige was man machen kann ist ULA (Unique Local Addresses) zu verwenden und zumindest die Server und Ähnliches von Hand in die Overrides einzutragen. Für die klappt dann auch die DNS-Auflösung.
Das Grundproblem ist also woher die Daten kommen. Wenn der DNS-Server auf der OPNsense keine IPv6 Adressen kennt, dann kann Adguard Home auch keine bekommen und weitergeben.
Die Link Local IPv6 deiner OPNsense brauchst du nicht einzutragen. Die Adressen von IPv6, sofern vorhanden, bekommst du auch, wenn du nur die IPv4 in Adguard Home eingetragen hast. Ich habe bei mir nur die IPv4 (127.0.0.1) eingetragen und bekomme die ULA-IPv6-Adressen meiner Server, wenn ich eine Abfrage nach AAAA Einträgen schicke.

Gruß
KH

[Vexz]

Eine blöde Frage habe ich auch.

Ich habe es für IPv4 auch zum Laufen gebracht, dass AGH mir auf der Web UI die Namen der Geräte anzeigt. Aber wie mache ich das, dass das auch für IPv6 geht?
Bei "Private reverse DNS servers" habe ich nun auch noch die link lokale IPv6 meiner Sense in einer extra Zeile eingetragen. Allerdings scheint sich hier selbst nach einer Weile nichts zu tun. Die Namen der Geräte werden mir nur dann angezeigt, wenn AGH sie mit einer IPv4 anzeigt.

IPv6 DNS Auflösung der eigenen IPv6 Adressen aus dem Heimnetzwerk ist schwierig. Ich gehe jetzt mal von Unbound oder Dnsmasq aus. Du musst ja in der OPNsense entweder die Overrides eintragen oder der DHCP-Server registriert die IP-Adressen und Namen. Mit IPv4 hast du ja bei den Overrides statische Adressen und mit DHCP dynamische (oder dort statisch zugewiesen) aus deinem von dir gewählten privaten Netzwerkraum der sich nicht ändert.
Mit IPv6 hast du in der Regel einen dynamisch von deinem Provider zugewiesenen Prefix der sich ändern kann. Diesen verteilt die OPNsense dann auf ihre internen Netzwerke. Bei SLAAC wählen ja die Rechner selbst ihre Adresse, nach welchen Regeln hängt vom Betriebssystem ab. Ob es Software gibt, die aus der NDP (Neighbor Discovery Protocol) die Adressen im DNS registriert weiß ich nicht, wäre ja mal ein interessantes Projekt. Und bei Verwendung von DHCPv6 ist das registrieren im DNS soweit ich weiß auch nicht implementiert. Ich verwende DHCPv6 nicht und bin mir da nicht sicher.
Das einzige was man machen kann ist ULA (Unique Local Addresses) zu verwenden und zumindest die Server und Ähnliches von Hand in die Overrides einzutragen. Für die klappt dann auch die DNS-Auflösung.
Das Grundproblem ist also woher die Daten kommen. Wenn der DNS-Server auf der OPNsense keine IPv6 Adressen kennt, dann kann Adguard Home auch keine bekommen und weitergeben.
Die Link Local IPv6 deiner OPNsense brauchst du nicht einzutragen. Die Adressen von IPv6, sofern vorhanden, bekommst du auch, wenn du nur die IPv4 in Adguard Home eingetragen hast. Ich habe bei mir nur die IPv4 (127.0.0.1) eingetragen und bekomme die ULA-IPv6-Adressen meiner Server, wenn ich eine Abfrage nach AAAA Einträgen schicke.

Gruß
KH

Damit erinnerst du mich an ein Problem, was ich schon fast vergessen hatte und das hat mir die Augen geöffnet: Ja, die Geräte in meinem Netzwerk vergeben sich alle selbst über SLAAC eine IPv6, weshalb das nicht funktioniert. Warum auch immer will sich nur eine Windows-Kiste hier einen Lease holen. Alle anderen Geräte fahren leider die Schiene "SLAAC oder nichts", selbst wenn ich das deaktiviere und nur DHCPv6 zulasse.
Naja, so wichtig ist mir das auch eigentlich nicht. Es wäre eher eine kosmetische Sache, aber nicht dramatisch, wenn mir die Namen nicht angezeigt werden. Hauptsache die Auflösung über DNS funktioniert.

Danke dir für die Antwort.

[Patrick M. Hausen]

Ich werfe auf alles, was irgendwie "Unixy" ist, einen amavisd. Dadurch erreiche ich alle Systeme als "name".local, wenn ich zuhause bin.