dns unbound

Started by florit, January 21, 2025, 06:51:37 AM

Previous topic - Next topic
January 21, 2025, 06:51:37 AM Last Edit: January 21, 2025, 07:19:07 AM by florit
seit einiger zeit spuckt unbound dns bei jeder aufgerufenen domain
einen error aus ... wie kann ich den wieder aktivieren so das die dns vom router kommt und nicht nx_domain zurück gibt

[75879:9] error: SERVFAIL <api.crowdsec.net. AAAA IN>: failed to get a delegation (eg. prime failure)

und steuert dns server an die ich nicht eingetragen habe

192.5.5.241:53
193.0.14.129:53
192.33.4.12:53
193.0.14.129:53   
198.41.0.4:53


Moin,

Leider braucht es etwas mehr Info, um das Problem besser einordnen zu können.

Die Server die Du aufgelistet hast sind Root-Server - die sollte man als Normalo eigentlich nicht sehen/nutzen.

Was hast du denn in der Sense generell eingestellt?

Hast Du für die Sense selbst DNS Server eingetragen?

So wie ich Unbound verstehe: fragt dieser erstmal seine eigenen Einträge, weiß er selbst nicht weiter, fragt er die DNS-Server der Opnsense (127.0.0.1).
Dann wirkt Unbound nur als Relay für eben diese Server unter System/Settings.

 
VMW / PMX / PFS / OPS

Hallo im webinterface habe ich zwei verschiedene DNS Server gesetzt

Trotzdem werden diese Root-Server von der externen ip aus aufgerufen.
Eingestellt sind die nicht


Hab die wan IP in einem subnet eg. 192.168.24.0/24

Und was ich noch spannend finde ist das auf den wan ip's ein Signal kommt was mit carp
Im live log markiert ist

Aber nur von einem Router nicht beiden

Subnet 192.168.56.0/24 und 192.168.24.0/24
Beide Firewalls haben in den zwei subnets jeweils zwei ip's und eine virtuelle IP

Es kommt aber nichts über diese VIP

Sondern direkt auf die wan ip's von dem einen Router (192.168.24.0/24)

Hallo,

Quote from: florit on January 24, 2025, 03:09:03 PMim webinterface habe ich zwei verschiedene DNS Server gesetzt

Trotzdem werden diese Root-Server von der externen ip aus aufgerufen.
Eingestellt sind die nicht
Hast du auch in Unbound DNS: Query Forwarding einen Haken bei "Use System Nameservers" gesetzt?

Quote from: florit on January 24, 2025, 03:09:03 PMUnd was ich noch spannend finde ist das auf den wan ip's ein Signal kommt was mit carp
Im live log markiert ist

Aber nur von einem Router nicht beiden

Subnet 192.168.56.0/24 und 192.168.24.0/24
Beide Firewalls haben in den zwei subnets jeweils zwei ip's und eine virtuelle IP

Es kommt aber nichts über diese VIP
Du schreibst in Rätseln.

Was hat es mit den 2 Routern und 2 Subnetzen auf sich?
Wie sieht dein Netzwerk aus?
Woher kommen die CARP Pakete?

January 25, 2025, 09:02:26 AM #4 Last Edit: January 25, 2025, 09:04:57 AM by florit
                WAN                      WAN2
                :                        :
                : redundant WAN connect  :
                :                        :
            .---+---.      VRRP      .---+---.
        WAN | Cisco +                + Cisco | WAN2
            '---+---'                '---+---'
                |                        | 
                |                        |
                |                        | 
            .----+-----.            .----+-----.
            | OPNsense +-------------+ OPNsense |
            '----+-----'    CARP    '----+-----'
                |                        |
                |                        | 
                |      .---------.      |
                +------| Switch  |-------+
                        '---------'
                            |
                    ...-----+-----...
                    (Clients/Servers)


So ungefähr nur das von den opnsense jeweils zwei links ausgehen sprich ein vip =wan und ein vip =wan2


Auf vip =wan kommt vom Router (cisco in der Zeichnung) ein carp Paket von 192.168.24.1(wan Router)

Erklären kann ich mir das nicht weil ich kein carp am Router eingestellt habe

Quote from: florit on January 25, 2025, 09:02:26 AMAuf vip =wan kommt vom Router (cisco in der Zeichnung) ein carp Paket von 192.168.24.1(wan Router)
Und die beiden Ciscos machen VRRP auf den Interfaces zu den OPNsensen?
VRRP Pakete würden diese als CARP interpretieren.

Und die OPNsenses machen am WAN auch CARP?
Wenn ja wäre unbedingt darauf zu achten, dass sie auf allen Interfaces andere VHIDs als die Ciscos verwenden.
Aber die Pakete würden sie dennoch sehen.

Nein ... Sorry das hab ich nicht raus genommen

VRRP ist nicht aktiv

Dann kann ich es mir auch nicht erklären.

Quote from: viragomann link=msg=226959Und die OPNsenses machen am WAN auch CARP?
Wenn ja wäre unbedingt darauf zu achten, dass sie auf allen Interfaces andere VHIDs als die Ciscos verwenden.
Aber die Pakete würden sie dennoch sehen.

Ja die OPNsenses machen je Router ein mal CARP Dh jeder Router hat eine eigene VIP in seinem subnet

Ich habe zwei baugleiche Geräte am Start
Und sie sind auch genau gleich configuriert
Also die Router und haben jeweils ein eigenes subnet

Der zweite Router macht das Problem nicht