Unbound DNS nicht erreichbar

[pts]

Hallo!

Ich migriere derzeit von pfsense zu opnsense, da ich mit der Art uns Weise, wie bei pfsense mit WireGuard umgegangen wird, nicht zufrieden bin. Opnsense funktioniert nun schon recht gut für mich, eine kleine Sache ist aber noch problematisch:

Der Unbound DNS Dienst ist konfiguriert und läuft, aber aus einem mir nicht ersichtlichen Grund, ist der Port 53 aus dem LAN nicht zu erreichen:

Code Select Expand

nslookup.exe golem.de
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  192.168.0.10

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

Allerdings ist der Port offen:

Code Select Expand

sockstat -4 -l | grep 53
unbound  unbound    36657 6  udp4   192.168.0.10:53       *:*
unbound  unbound    36657 7  tcp4   192.168.0.10:53       *:*
unbound  unbound    36657 8  udp4   192.168.2.0:53        *:*
unbound  unbound    36657 9  tcp4   192.168.2.0:53        *:*
unbound  unbound    36657 10 udp4   192.168.9.10:53       *:*
unbound  unbound    36657 11 tcp4   192.168.9.10:53       *:*
unbound  unbound    36657 12 udp4   127.0.0.1:53          *:*
unbound  unbound    36657 13 tcp4   127.0.0.1:53          *:*
unbound  unbound    36657 18 udp4   192.168.0.10:53       *:*
unbound  unbound    36657 19 tcp4   192.168.0.10:53       *:*
unbound  unbound    36657 20 udp4   192.168.2.0:53        *:*
unbound  unbound    36657 21 tcp4   192.168.2.0:53        *:*
unbound  unbound    36657 22 udp4   192.168.9.10:53       *:*
unbound  unbound    36657 23 tcp4   192.168.9.10:53       *:*
unbound  unbound    36657 24 udp4   127.0.0.1:53          *:*
unbound  unbound    36657 25 tcp4   127.0.0.1:53          *:*
unbound  unbound    36657 30 udp4   192.168.0.10:53       *:*
unbound  unbound    36657 31 tcp4   192.168.0.10:53       *:*
unbound  unbound    36657 32 udp4   192.168.2.0:53        *:*
unbound  unbound    36657 33 tcp4   192.168.2.0:53        *:*
unbound  unbound    36657 34 udp4   192.168.9.10:53       *:*
unbound  unbound    36657 35 tcp4   192.168.9.10:53       *:*
unbound  unbound    36657 36 udp4   127.0.0.1:53          *:*
unbound  unbound    36657 37 tcp4   127.0.0.1:53          *:*
unbound  unbound    36657 42 udp4   192.168.0.10:53       *:*
unbound  unbound    36657 43 tcp4   192.168.0.10:53       *:*
unbound  unbound    36657 44 udp4   192.168.2.0:53        *:*
unbound  unbound    36657 45 tcp4   192.168.2.0:53        *:*
unbound  unbound    36657 46 udp4   192.168.9.10:53       *:*
unbound  unbound    36657 47 tcp4   192.168.9.10:53       *:*
unbound  unbound    36657 48 udp4   127.0.0.1:53          *:*
unbound  unbound    36657 49 tcp4   127.0.0.1:53          *:*
unbound  unbound    36657 54 tcp4   127.0.0.1:953         *:*

Wenn ich jedoch aud dem LAN mit nmap die offenen Ports scanne, so ist 53 nicht dabei...

Ich gebe als Workaround jetzt erstmal den DNS von Cloudflare per DHCP heraus, aber das ist nicht meine "Lieblingslösung". Könnt ihr mir bitte helfen, meinen Fehler zu finden?

Ich habe eine MULTI-WAN-Konfiguration mit Fallback auf WAN2 (WAN1 Standart). Mein LAN ist 192.168.0.0/24, WIFI ist 192.168.9.0/24, WireGuard liegt auf 192.168.2.0/24.

Meine beiden WAN sind leider Double NAT mit Fritzboxen im Addressbereich 192.168.178.0/24 (WAN1) und 192.168.188.0/24 (WAN2), aber das dürfte keine Auswirkungen auf das DNS-Problem haben. Diese Konfiguration ist leider nicht zu umgehen, das die Fritzboxen auch als DECT Basis fungieren und eine Gäste-WLAN bereitstellen.

Danke!

[Mabub]

Schau mal ob bei "Dienste: Unbound DNS: Allgemein" der Port 53 eingestellt ist, " Localer Zonentyp" auf "transparent" und "Ausgehende Netzwerkschnittstellen" auf "ALLE" steht.
Auch sollten deine Clients den DNS der OPNsense LAN IP zugewiesen bekommen und nicht die von Cloudflare. Die trägst Du in die OPNsense unter Unbound DNS ein oder gleich in die erste Instanz, damit auch alle Geräte dies erreichen, wenn gewünscht. Da der Port 53 Standard ist, musst Du diesen in der Regel nicht extra ausweisen.

[pts]

Hallo Mabub,

erstmal danke für deine Antwort. Hier meine Config:




Allerdings ist das 1.1.1.1 nur drin, weil wenn ich es weglasse eben kein DNS antwortet. Ist quasi der temporäre workaround, bis 192.168.0.10 als DNS antwortet.

Hier noch meine Firewall-Regel im LAN...

[Mabub]

Hallo PTS,
wenn Du den externen DNS-Server 1.1.1.1 unter "Dienste: DHCPv4: [P0_LAN]" einträgst, wird nicht mehr der Unbount-DNS verwendet. Die Clients verwenden dann direkt als erstes den 1.1.1.1 usw.
Ich würde dir empfehlen, entweder schreibst Du den externen in Unbount rein oder gleich, wenn Du das hast, z.B. in die Fritz-Box. Dann unter "Dienste: DHCPv4: [P0_LAN]" einfach nichts eintragen: Leave blank to use the system default DNS servers: This interface IP address if a DNS service is enabled or the configured global DNS servers.

Als Beispiel ist Quad9 in der Fritz zu sehen...

[pts]

Alles richtig, aber WENN ich 192.168.0.10 als DNS eingebe, wird nichts aufgelöst! Gar nichts! Keine Antwort vom DNS!

[Tuxtom007]

Hallo,

schaue mal vorsichtshalber nach, ob bei dir evtl. Dnsmasq DNS aktiv ist, der liegt auch auf Port 53.
Beim Bekannten hatten wir genau das selbe Problem, Unbound war nicht erreichbar weil der sich mit Dnsmasq DNS um dem Port stritt.
Ist nur eine Idee.

Ich hab bei mir als DNS garnichts eingetragen, damit wird die Gateway-IP des jeweiligen VLAN's als DNS genommen was dann in meinem Fall eben die OPNSense ist

[pts]

Hallo!

Danke für den Tipp. Aber Dnsmasq ist inaktiv.

Nebenbei ist mir aufgefallen, dass ich das LAN-Interface der Firewall auch nicht anpingen kann...

[Patrick M. Hausen]

Dann fehlen auf dem LAN Interface wohl entsprechende Firewall-Regeln. Hast du die Regel, die nach der Erstinstallation  vorhanden ist ("allow all") gelöscht?

[pts]

Nein, die Standart-Regeln sind da. Könnte mir mein Multi-WAN mit den Gateway-Regeln (fallback) in den Weg gekommen sein?