Unterstützung für korrekte DNS-Konfiguration

[psychofaktory]

Hallo,

aktuell sieht meine DNS-Konfiguration so aus:





Das funktioniert soweit auch wunderbar.

Für die VoIP-Telefonie möchte ich nun aber die vom Provider über PPPoE zugewiesenen DNS-Server nutzen.
Die TK-Anlage hängt in einem eigenen VLAN/Subnetz.

Was müsste ich einrichten, damit die DNS-Server des Providers ausschließlich für das VoIP-Netz genutzt werden, alle anderen Schnittstellen aber meine bisherige Konfiguration nutzen?

[KHE]

Hi,

Eine manuelle Lösung:
Geh unter Dienste: DHCPv4: [<TK VLAN Interface>] dort gibt es das Feld DNS Servers, trage dort die vom Provider ein. Und lass die TK-Anlage via DHCP die IP holen.

Weitere manuelle Lösung:
Statische IP in der TK-Anlage mit den DNS-Servern vom Provider.

Automatische Lösung mit der Nebenwirkung, das die OPNsense dann auch die vom Provider nimmt:
System: Settings: General hier unter DNS-Server Einstellungen die Checkbox Allow DNS server list to be overridden by DHCP/PPP on WAN aktivieren.
In Unbound ist ja schon der Weiterleitungs-Modus aktivieren deaktiviert.
In Netzwerkschnittstellen alle außer das <TK VLAN Interface> auswählen.
Dann auch noch den Dnsmasq-DNS aktivieren, hier aber dann nur das <TK VLAN Interface> auswählen.
Ich fürchte nur das sowohl Unbound als auch Dnsmasq-DNS sich auf localhost binden, das könnte dazu führen, dass einer der beiden nicht startet. Dann den Dnsmasq-DNS auf anderen Port binden und Portfoward vom <TK VLAN Interface> Port 53 auf den gewählten Port des Dnsmasq-DNS einrichten.
Einen Versuch ist es jedenfalls Wert.

Gruß
KH

[psychofaktory]

Die manuelle Lösung scheidet wohl leider aus, da die DNS-Server vom Provider teilweise wechseln.
Zumindest wurde mir das vom Provider mitgeteilt, als ich die DNS-Server erfragen wollte.

Würde es funktionieren wenn ich hier bei "Exclude Interfaces" alle Interfaces aus das <TK VLAN Interface> auszuwählen:?


Würde neben dem TK-Netz dann die OPNsense für sich selbst auch die DNS-Server vom Provider nehmen?

Müsste dann die Beschränkung auf alle Netzwerkschnittstellen außer dem <TK VLAN Interface> in den Unblound-Einstellungen dennoch bestehen?

[KHE]

Hi,

Würde es funktionieren wenn ich hier bei "Exclude Interfaces" alle Interfaces aus das <TK VLAN Interface> auszuwählen:?

ja, das sollte so sein. Mit der Einstellung sollte sogar die Benutzung von Dnsmasq-DNS unnötig sein.

Würde neben dem TK-Netz dann die OPNsense für sich selbst auch die DNS-Server vom Provider nehmen?

Ja, aber der unbound (über 127.0.0.1) wird an erster Stelle in der /etc/resolv.conf eingertragen, d.h. er wird auch verwendet.

Müsste dann die Beschränkung auf alle Netzwerkschnittstellen außer dem <TK VLAN Interface> in den Unblound-Einstellungen dennoch bestehen?

Weiß ich nicht. In Services: DHCPv4:[<Interface>] steht bei den DNS-Servern:
Leave blank to use the system default DNS servers: This interface IP address if a DNS service is enabled or the configured global DNS servers.
Wenn der unbound da läuft, dann wird der eventuell auch verwendet. Ich persönlich würde das Interface im unbound aussparen.

Gruß
KH

[psychofaktory]

Würde es funktionieren wenn ich hier bei "Exclude Interfaces" alle Interfaces aus das <TK VLAN Interface> auszuwählen:?

Das habe ich versucht. Jedoch werden dennoch die in Unbound eingetragenen Cloudflare-DNS-Server genutzt.

Darum habe ich in Unbound die Schnittstelle des TK-VLANs explizit mit ausgeschlossen. In dieser Konstellation war dann gar keine Namensauflösung mehr aus dem TK-Netz möglich.

Also habe ich wie von @KHE beschrieben Dnsmasq-DNS aktiviert auf die TK-VLAN-Schnittstelle beschränkt und an Port 53535 gebunden. Port 53 habe ich zum Test auch versucht, da die Schnittstellen die jetzt Unbound nutzen sollten und die die Dnsmasq nutzen sollten sich durch die gesetzten Ausschlüsse nicht überschneiden. Hier konnte Dnsmasq aber nicht starten. Fehlermeldung: "Port 53 already in use by UNBOUND".

Dann habe ich das hier versucht:

Dann den Dnsmasq-DNS auf anderen Port binden und Portfoward vom <TK VLAN Interface> Port 53 auf den gewählten Port des Dnsmasq-DNS einrichten.

Mit dem Ergebnis, das wieder die in Unbound hinterlegten Cloudflare-DNS-Server genutzt wurden!
Der Eintrag im Protokoll von Dnsmasq deutet auch darauf hin warum:

Code: [Select]

dnsmasq[16823] using nameserver 127.0.0.1#53
Sobald Unbound eingerichtet ist scheint das System immer die dort konfigurierten DNS-Server zu nutzen.


Was könnte ich noch versuchen um zu erreichen, dass die vom Provider zugewiesenen DNS-Server ausschließlich für die TK-Anlage genutzt werden?

[psychofaktory]

Hat hier noch jemand eine Idee?

[KHE]

Hi,

mit dem Dnsmasq-DNS aktiv, unter System: Einstellungen: Allgemein setze den Hacken bei “Verwenden Sie den lokalen DNS-Dienst nicht als Nameserver für dieses System” und schau mal dann. Nebenwirkung: die OPNsense selbst kennt nur nich die IP-Adressen und nicht mehr die Namen aus den lokalen Netzen und nimmt halt die vom Provider.

Gruß
KH

[Patrick M. Hausen]

Haken ...

[Rolly82]

Hallo zusammen,
besteht das Problem noch?
Ich hätte da einen Denkanstoß welchen ich von Routern (Lancom) kenne, welche ich betreue:
Hier kann ich eine DNS-Weiterleitung für bestimmte Domainen einstellen, also in diesem Fall für
*tel.telekom.de (AllIP & CompanyFlex) bzw.
*sip-trunk.telekom.de (SIP-Trunk) oder aber
*.companyflex.de (OUtbound-Proxy Company Flex)
Für diese Domainen wird dann der per PPPoE zugeweisene DN-Server, für alle anderen der Eingestellte DN-Server verwendet. Gibt es so eine funktion evtl auch unter OPNsense?

MfG
Roland

[Patrick M. Hausen]

Ja, gibt es, wenn man Unbound verwendet. Domain Overrides ist das Stichwort bzw. der Punkt im Menü.

[Rolly82]

Da kann ich dannaber nur (wenn ich das richtig verstanden habe) einen festen DN-Server angeben und nicht sagen "nimm den per PPPoE angelieferten DNS" (oder geht das über die Konsole?)

[Patrick M. Hausen]

Nein, nicht dass ich wüsste. Aber zumindest im Netz der DTAG sind ja konstante Nameserver vorhanden, die Du verwenden kannst statt des dynamisch gelieferten - der ja sowieso mit den dokumentierten identisch ist. Sollte bei den meisten Providern so sein.