Adguard Plugin - Probleme mit VPN

Started by mignon, April 05, 2021, 10:00:14 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
April 05, 2021, 10:00:14 AM
Hallo zusammen,

ich habe eine Opnsense 21.1 mit allen updates laufen.
Installiert ist Wireguard und IPsec für roadwarrior Einsatz.

Adguard lauscht auf dem Port 53 der Firewall und Unbound nimmt die Anfragen von Adguard entgegen auf dem Port 5353

Bei Wireguard Client und Ipsec Client ist jeweils die IP der Firewall als DNS Server angegeben. Erwartungshaltung ist also, dass diese via adguard beantwortet werden.

Nun kämpfe ich hier mit der Situation, dass die Clients keine DNS Auflösung hinbekommen. Gebe ich eine IP direkt im Browser ein, funktioniert es. Dies betrifft sowohl IPSec als auch WG.
Die Anfragen selbst kommen beim Adguard im Query Log an. Jedoch scheinen die Antworten nicht zurückzukommen...?
Rules sind Net to Any
und jeweils eine NAT Rule über WAN to Any.

Danke vorab für Unterstützung!
April 05, 2021, 10:19:53 AM #1
Muss man die verschiedenen Netze in AdGuardHome freigeben? Geht's denn wenn Unbound auf dem Port lauscht?
April 05, 2021, 01:14:05 PM #2
In Adguard Home wüsste ich nicht wo. Die Anfragen kommen auch an und werden laut Query-Log aufgelöst.
Client ist dann hier korrekterweise die WG bzw. IPSEC IP.

Stelle ich den Unbound auf Port 53 und den den Adguard home ab - funktioniert es auch einwandfrei.

Es scheint daher tatsächlich das Problem zu sein:

WG/IPSEC Client ----> DNS Anfrage an Adguard Home auf :53 ----> Weiterleitung DNS Anfrage Unbound auf :5353

Funktionierend:
WG/IPSEC Client ----> DNS Anfrage Unbound auf :53



April 05, 2021, 02:26:32 PM #3
Hast Du mal das Live Log der Firewall angeguckt, ob die Antworten evtl. doch blockiert werden?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 05, 2021, 03:40:45 PM #4
Ja, hatte ich geprüft jedoch nichts gefunden.

Ich habe jetzt die Opnsense in dem im Posting 1 beschriebenen Setting gelassen.
Also Adguard auf 53 mit Forward Query auf localhost:5353 (Unbound) und parallel einen weiteren Adguard installiert (per Docker in einer Synology), der auch auf die Firewall 5353 zeigt.
In IPSEC und WG habe ich die IP als DNS von der Synology angegeben und es wird auch der Adguard von dort für die VPN Clients benutzt mit Upstream Firewall 5343 -> Funktioniert.

Ergo ist das Problem nur lokal bei mir nachstellbar in der Konstellation Posting#1
December 12, 2022, 10:44:56 PM #5
Bist du hier weitergekommen? Habe das gleiche Problem
December 13, 2022, 07:55:27 PM #6
Hallo,

ich nutze die selbe Konstellation ( AdGuard + Unbound auf OPNsense ) und bekomme auch per WireGuard keine DNS-Auflösung.

Ich sehe aber auch im Firewalllog keinerlei Anfragen reinkommen. Direkt IP zu den Server-IP in meinem Netz funktionier problemlos, also Verbindung ins LAN ist vorhanden.
AdGuard hat auch das VPN-Netz eingebunden, das ging automatisch.


Kleiner Tip: Setze Port von Unbound nicht auf 5353 sondern lieber auf 53053, da 5353 wohl noch voneinem anderen Dienst benutzt wird - ich bekomms nur nicht mehr zusammen, was das war.
Tip hat mir jemand hier aus dem Forum gegeben.
December 13, 2022, 08:22:09 PM #7
Hi,

ich frage mich, ob der Adguard vor dem Wireguard startet und das Interface nicht da ist ...
Was nehmt ihr denn für eine IP der Firewall um Adguard Home anzusprechen? Eine aus dem Wireguard Netz oder eine aus dem LAN/internes Netz? Sind irgendwelche Regeln im Weg?
Ich habe bei mir Adguard Home in ein eigenes VLAN verbannt, d.h. er läuft nur auf diesem Interface, und Regeln eingerichtet, dass er per DNS/DoH/DoT und DoQ erreicht werden kann. Und es klappt aus dem WireGuard VPN problemlos. Nachteil ist halt, dass ich für jedes (V)LAN im DHCP und in den Router Advertisments die IP des DNS-Servers anpassen muss.

Und warum man Port 5353 UDP nicht nehmen sollte: Der wird für mDNS Broadcast (Bonjour, ZeroConfig, AVAHI und wie sie alle heißen) verwendet. Falls man mal Apple Airplay bzw. Chromecast über Netzwerkgrenzen betreiben will sollte dieser Port dafür frei sein.

Gruß
KH
December 13, 2022, 08:26:48 PM #8
127.0.0.1:5353 - und dann auf jedem Interface, wo der benutzt werden soll, eine NAT-Port-Forwarding-Rule ...
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 13, 2022, 08:41:10 PM #9
WireGuard läuft bei mir ohne das ich speziell was einstellen musste. IPSec leider nicht.

Quote from: pmhausen on December 13, 2022, 08:26:48 PM
127.0.0.1:5353 - und dann auf jedem Interface, wo der benutzt werden soll, eine NAT-Port-Forwarding-Rule ...

Welche NAT rule meinst du hier? Könntest du mir ein Beispiel geben?
December 13, 2022, 08:51:39 PM #10
Na, du lässt AGH auf 127.0.0.1:5353 lauschen und wenn die Systeme an LAN den nutzen sollen, machst du auf LAN

Port 53
TCP und UDP
Redirect target: 127.0.0.1:5353
Associated filter rule: Pass
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
December 13, 2022, 09:57:18 PM #11
Hat den Fehler bei mir gefunden, war sowas von banal:

ich hatte im WireGuard-Client noch einen alten DNS-Server eingetragen ( PiHole ) den ich aber derzeit nicht nutze. IP auf die VPN-Gatewayadresse geändert, schon läuft es, interne wie externe DNS-Auflösungen gehen wunderbar.

Brauche kein NAT-Regel usw. dafür.
Adguard - Port 53
UnBound - Port 53053
December 14, 2022, 01:50:36 PM #12
Wireguard läuft bei mir auch. Nur ipsec nicht. ich seh zwar das die Anfragen kommen aber scheinbar kommen sie zum externen Client der per ipsec verbunden ist nicht zurück.
December 14, 2022, 05:20:13 PM #13
Das mit der NAT RULE ist auch bissl blöd weil ich das für jedes Interface anlegen müsste. Da muss es doch eine andere Möglichkeit geben :(
Print
Go Up Pages1
User actions