DNS-Server für lokale Auflösung

[Kawachiller]

Guten Tag,

Zur Vorgeschichte:
Ich besitze 2 Server und habe dort alle LXC/VM-Container Adressen zugeteilt (mal nötig für z.B. Vaultwareden aber hauptsächlich Bequemlichkeit.) und habe dort immer Bind9 mit Verbindung mit Webmin bzw. einem LXC-Container genutzt.

Problem:
Ständig musste ein LXC-Container laufen damit eben eine Auflösung stattfand, einmal für Lokal aber auch für extern, das war ziemlich nervig wenn ich den ganzen Server mal runterfahren musste um Komponenten zu tauschen oder etwas umzustellen etc.

Erkenntnis:
Es wäre sinnvoller wenn die Lokale (extern sowieso) über OPNsense läuft.
OPNsense hat bekanntlich verschiedene DNS-Systeme wie DNSmasq, Unbound, OpenDNS, Bind Plugin wobei DNSmasq und Unbound natürlich fest eingebunden sind und genutzt werden.

Warum nicht wieder Bind als Plugin?
Ich möchte offen für neue Wege sein. Ich will vielleicht noch was Performanteres und einfacheres finden.

Frage:
Es ist schwer einen guten Vergleich auszuführen aufgrund der verschiedenen Einsatzzwecke und so richtig als Auflöse für Lokale Adressen gibt es nicht viel Text zu lesen. Außerdem höre ich gerne weitere Meinung und nicht nur von 2-3, vielleicht haben ja mehr Leute dieses Problem das sie vor der Frage der Auswahl stehen.

- Welcher DNS-Server eignet sich eurer Meinung am besten für eine Lokale (+externe) Auflösung?
- Welche Nachteile hat euer gewählter DNS-Server?


Liebe Grüße und danke für eure Meinungen

[Patrick M. Hausen]

Der, mit dem du dich am besten auskennst.
Ich benutze aus diesem Grund BIND.

Was für Hürden soll es da geben? Ist doch nur ein rekursiver Nameserver. Seit über 30 Jahren existierende und verstandene Software  ;)

[Tuxtom007]

Hallo,

bei mir läuft auf der OPNSense  AdGuard als DNS-Filter, der unbound als Upstream nutzt. Upstream macht dann auch die Auflösung der lokalen Adressen aus dem DHCP.
Man muss dort in der Konfig nur eben den Haken setzen, das der die DHCP-Lease einliest.

Das funktioniert wunderbar.

[Kawachiller]

Der, mit dem du dich am besten auskennst.
Ich benutze aus diesem Grund BIND.

Was für Hürden soll es da geben? Ist doch nur ein rekursiver Nameserver. Seit über 30 Jahren existierende und verstandene Software  ;)

Ja ich hab es falsch ausgeschrieben, ich meinte im Bezug auf Nachteile, ich weiß ja das es funktionieren kann auf Webmin aber man einiges natürlich davor einstellen muss.
Aber sehr interessant das du weiterhin auf Bind setzt.

Hallo,

bei mir läuft auf der OPNSense  AdGuard als DNS-Filter, der unbound als Upstream nutzt. Upstream macht dann auch die Auflösung der lokalen Adressen aus dem DHCP.
Man muss dort in der Konfig nur eben den Haken setzen, das der die DHCP-Lease einliest.

Das funktioniert wunderbar.

Interessanter Weg, darf ich fragen warum du nicht die Blocklist von Unbound nutzt? Hat dahingehend AdGuard noch Vorteile die ich übersehen habe (komme wenn dann aus der PiHole-Fraktion)
Aber stimmt, als Upstream-Server ist das beliebt wie ich hin und wieder gelesen habe.

[Patrick M. Hausen]

Die Blocklists sind in der Sense sowohl für BIND als auch für Unbound sehr ... nun ja ... geradlinig implementiert. Es werden Listen mit Tausenden von Adressen in die Konfiguration geladen. Das führt zu langsamen Neustarts des Dienstes und bei einem Syntax-Fehler in nur einer der Listen - die ja extern abgerufen werden - schmiert der Dienst ganz ab. Robust ist anders.

AdGuard Home macht das besser und bringt noch eine schöne Oberfläche mit Auswertungen mit, eine mobile App für geringes Geld etc. pp.

[binaryanomaly]

Habe hier seit Jahren unbound auf opnsense am laufen (ohne blocklists), da unbound so auch grad die dhcp IPs handhaben kann.

Für die clients habe ich pihole in einem lxc container, der unbound als resolver nutzt und alles andere geblockt bzw. port 53 geNATted auf pihole.

Funktioniert für mich sehr gut. Hatte auch mal adguard getestet aber pihole stimmt für mich besser. Der lxc container macht mir keinen Aufwand da alles auf proxmox läuft.

[Tuxtom007]

Interessanter Weg, darf ich fragen warum du nicht die Blocklist von Unbound nutzt? Hat dahingehend AdGuard noch Vorteile die ich übersehen habe (komme wenn dann aus der PiHole-Fraktion)
Aber stimmt, als Upstream-Server ist das beliebt wie ich hin und wieder gelesen habe.

AdGuard ist bei mir derzeit eine temp. Notlösung - ich nutze auch lieber PiHole, der bietet mehr Möglichkeiten.
Aber so funktioniert es derzeit problemlos auch mit IPv6, da ich kein statische IPv6 Adresse vom Provider habe, sondern nur Prefix-Delegation.
PiHole liefe sonst bei mir auf dem Proxmox-Server und dafür bräuchte ich dann eben statische IPv6 Adressen, die dann per DHCP verteilen kann, da dafür hab ich noch keine Lösung.

[Kawachiller]

Interessanter Weg, darf ich fragen warum du nicht die Blocklist von Unbound nutzt? Hat dahingehend AdGuard noch Vorteile die ich übersehen habe (komme wenn dann aus der PiHole-Fraktion)
Aber stimmt, als Upstream-Server ist das beliebt wie ich hin und wieder gelesen habe.

AdGuard ist bei mir derzeit eine temp. Notlösung - ich nutze auch lieber PiHole, der bietet mehr Möglichkeiten.
Aber so funktioniert es derzeit problemlos auch mit IPv6, da ich kein statische IPv6 Adresse vom Provider habe, sondern nur Prefix-Delegation.
PiHole liefe sonst bei mir auf dem Proxmox-Server und dafür bräuchte ich dann eben statische IPv6 Adressen, die dann per DHCP verteilen kann, da dafür hab ich noch keine Lösung.

Ich hab aktuell ein ähnliches Problem nur das ich kein PiHole nutze sondern alles über OPNsense laufen lasse.
Meine CTs bekommen über DHCP eine Adresse, die hält einige Stunden läuft dann aber ab. Und normal sollten die ja erst nach 24h ablaufen und nicht einfach zwischendurch (also wenn nichts eingetragen ist bei DHCP).

Bei mir ist es wie folgt:
Proxmox -> Netzwerk -> net0 -> IIPv4/6 DHCP und VLAN-Tag: 11

Die CT bekommt von der OPNsense eine Adresse, funktioniert wunderbar. Irgendwann ist die dann weg.
Dann wollte ich eben bei den Leases für diese DHCP-Adresse (in dem Fall der ioBroker) eine statische IP über MAC vergeben (einfach über das +) - Aber ich weiß nicht, irgendwie funktioniert das nicht, muss ich da irgendwas einstellen oder kann ich einfach selbige IP welche von DHCP kommt eintragen und dann auf speichern drücken?

Oder soll ich direkt eine statische eintragen in Proxmox statt DHCP welche natürlich im VLAN-Bereich ist?

Zwei Bilder sind dazu angehangen, das erste wo die Adresse weg ist, ist vom ioBroker in dem Beispiel. Das zweite Bild ist vom WebServer, welche noch eine IP-Adresse besitzt.

Also hier in der Frage geht es nur darum wo ich die statische IP setzen sollte, bei Proxmox oder OPNsense mit der oben aufgeführten Aufgabe oder noch eine gänzlich andere.

[Tuxtom007]

Die CT bekommt von der OPNsense eine Adresse, funktioniert wunderbar. Irgendwann ist die dann weg.
Dann wollte ich eben bei den Leases für diese DHCP-Adresse (in dem Fall der ioBroker) eine statische IP über MAC vergeben (einfach über das +) - Aber ich weiß nicht, irgendwie funktioniert das nicht, muss ich da irgendwas einstellen oder kann ich einfach selbige IP welche von DHCP kommt eintragen und dann auf speichern drücken?

Oder soll ich direkt eine statische eintragen in Proxmox statt DHCP welche natürlich im VLAN-Bereich ist?

Ich vergebe für alle Container die IP's fest über die DHCP-Reservierung, genauso wie du das machst ( über + ).

Liegen deine festen IP's, die du vergibst, innerhalb oder ausserhalb des DHCP-Bereiches ?
Die sollten ausserhalb liegen, weil sonst kommt es zu unschönen Verhalten.

Ich habs so gemacht:   .2 bis .128 ist immer für feste IPs, .192 bis .254 ist dann DHCP oder auch kleiner.

[Kawachiller]

Die CT bekommt von der OPNsense eine Adresse, funktioniert wunderbar. Irgendwann ist die dann weg.
Dann wollte ich eben bei den Leases für diese DHCP-Adresse (in dem Fall der ioBroker) eine statische IP über MAC vergeben (einfach über das +) - Aber ich weiß nicht, irgendwie funktioniert das nicht, muss ich da irgendwas einstellen oder kann ich einfach selbige IP welche von DHCP kommt eintragen und dann auf speichern drücken?

Oder soll ich direkt eine statische eintragen in Proxmox statt DHCP welche natürlich im VLAN-Bereich ist?

Ich vergebe für alle Container die IP's fest über die DHCP-Reservierung, genauso wie du das machst ( über + ).

Liegen deine festen IP's, die du vergibst, innerhalb oder ausserhalb des DHCP-Bereiches ?
Die sollten ausserhalb liegen, weil sonst kommt es zu unschönen Verhalten.

Ich habs so gemacht:   .2 bis .128 ist immer für feste IPs, .192 bis .254 ist dann DHCP oder auch kleiner.

Alles klar, dann über DHCP bzw. über OPNsense.
Ja die lagen IM DHCP-Vergabe-Bereich, hab mit deiner Nachricht auch verstanden das sie darin liegen.
Ja in der Vergangenheit führte das zu Problemen, dann werd ich das ganze jetzt mal
Im VLAN-Bereich, außerhalb des DHCP-Bereich bei OPNsense vergeben.

[Tuxtom007]

Alles klar, dann über DHCP bzw. über OPNsense.
Ja die lagen IM DHCP-Vergabe-Bereich, hab mit deiner Nachricht auch verstanden das sie darin liegen.
Ja in der Vergangenheit führte das zu Problemen, dann werd ich das ganze jetzt mal
Im VLAN-Bereich, außerhalb des DHCP-Bereich bei OPNsense vergeben.

Fest vergeben IP-Adressen IMMER ausserhalb des DHCP-Pools legen, da macht immer Ärger - eigene Erfahrung.
Trennt das am besten so auch, wie ich es gemacht habe, kannst ja den DHCP-Pool so gross machen wie benötigt.
Im Smarthome-VLAN hab ich z.b. einen ganz kleinen DHCP-Pool, weil alle Geräte festes IP's bekommen.

[Kawachiller]

Alles klar, dann über DHCP bzw. über OPNsense.
Ja die lagen IM DHCP-Vergabe-Bereich, hab mit deiner Nachricht auch verstanden das sie darin liegen.
Ja in der Vergangenheit führte das zu Problemen, dann werd ich das ganze jetzt mal
Im VLAN-Bereich, außerhalb des DHCP-Bereich bei OPNsense vergeben.

Fest vergeben IP-Adressen IMMER ausserhalb des DHCP-Pools legen, da macht immer Ärger - eigene Erfahrung.
Trennt das am besten so auch, wie ich es gemacht habe, kannst ja den DHCP-Pool so gross machen wie benötigt.
Im Smarthome-VLAN hab ich z.b. einen ganz kleinen DHCP-Pool, weil alle Geräte festes IP's bekommen.

Danke für den Tipp, hab ich so gemacht.

Ich hab jetzt aber ein neues Problem, hin und wieder verlieren meine Container die IP-Adresse? Ich muss mich dann extra über Proxmox auf den Container aufschalten und "dhclient" ausführen. Dann ist wieder gut

Hast du dafür eine Lösung oder auch so ein Problem gehabt?

[Tuxtom007]

Hast du dafür eine Lösung oder auch so ein Problem gehabt?

Nö, das Problem hab ich nicht. Bei mir läuft DHCP absolut stabil, sowohl mit IPv4 als auch mit IPv6.

Auch bei den ganzen LXC'n ( sind alle Ubuntu )

Hast du irgentwas in der DHCP-Konfig der LXC geändert ?

[Kawachiller]

Hast du dafür eine Lösung oder auch so ein Problem gehabt?

Nö, das Problem hab ich nicht. Bei mir läuft DHCP absolut stabil, sowohl mit IPv4 als auch mit IPv6.

Auch bei den ganzen LXC'n ( sind alle Ubuntu )

Hast du irgentwas in der DHCP-Konfig der LXC geändert ?

Tatsächlich sind es auch nicht die Ubuntu-Container sondern die Debian-Container..... Aber warum O.o
Aber nein, geändert an DHCP hab ich nichts. Bzw. nur damals an der Netzwerkschnitstelle direkt bei Proxmox aber das bei allen Container, das Problem hab ich ja aktuell nur bei den Debian-Containern....

[Tuxtom007]

Komisch, Ubuntu basierd ja auf Debian, ich hab aber auch eine Debian-VM, die macht auch keine Probleme.

Mache mal Screenshost von deiner DHCP-Config auf der OPNSense und aus dem Proxmox-Server der Netzwerkkarte, dann vergleichen wir mal