Lokaler DNS mit Adguard (DNS-Umschreibung)

[High-Tower]

Hi zusammen,

nach neu Installation der aktuellsten OPNsense und Update auf 22.7.10_2 hab ich das AdguardPlugin installiert.
Unbound läuft auf Port 5353 und Adguard auf 53. 

Da ich einen lokalen DNS benötige hab ich nun schon versucht, unter Adguard -> Filter -> DNS-Umschreibungen eine Domain einzutragen, z.B. freenas.homelab mit der IP: 192.168.178.133

Der Eintrag steht drin, aber wenn ich nun freenas.homelab in den Browser eingebe, springt das direkt zur Suchmaschine weiter (Google).
Wenn ich nun aber einen Ping ausführe auf freenas.homelab wird mir die IP 192.168.178.133 angezeigt. Also eigentlich alles richtig.

Jetzt muss "nur" der Browser mir die Domain auch auf die IP auflösen, um auf das Dashboard zu kommen.

Hab ich hier was vergessen zu aktivieren oder zu setzen?

Danke schon mal im Voraus.

Grüße ✌️

[micneu]

Da ich einen lokalen DNS benötige hab ich nun schon versucht, unter Adguard -> Filter -> DNS-Umschreibungen eine Domain einzutragen, z.B. freenas.homelab mit der IP: 192.168.178.133

1. nutzt du in deinem netzwerk den fritzbox ip bereich oder hast du davor noch eine fritzbox hängen?
2. bitte mal einen grafischen netzwerkplan
3. ist sense weiterhin der dhcp server (bekommt der rechner 192.168.178.133 seine ip vom dhcp der sense)?

[High-Tower]

Hi,
danke für die schnelle Unterstützung.
Hier der Netzwerkplan:

      WAN / Internet
            :
            : Telekom Hybrid Anschluss
            :
      .-----+-----.
      |  Gateway  |  Speedport Hybrid Pro 192.168.101.1
      '-----+-----'
            |
        WAN | IP 192.168.101.111
            |
      .-----+------. 
      |  OPNsense|
      '-----+------'   
            |
        LAN | 192.168.178.1
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Hab leider noch nen Speedport Hybrid Pro im Einsatz, wo aber Mitte/Ende des Jahres rausgeschmissen wird, da endlich Glas bei mir einziehen wird.

Die OPNsense ist Physikalisch mit einem Netzwerkanschluss (eth0) an dem SPHP angeschlossen und mit einem anderen Netzwerkanschluss am Switch (eth1).

Die OPNsense ist bei mir der DHCP, Gate, DNS für die Clients.
Hatte bevor ich das Hybrid bekommen habe ne Fritzbox, deswegen noch die IP Adressen der Fritzbox an den Clients.

UPDATE:
ein nslookup auf freenas.homelab zeigt mir als Server die OPNsense mit 192.168.178.1 und darunter kommt:

Nicht autorisierende Antwort:
Name:        freenas.homelab
Addresse:    192.168.178.133

[Tuxtom007]

Lösche mal den Cache vom Browser, weil grundsätzlich ist dein Aufbau bei dir der selbe wie bei mir, ich nutze auch Adguard und Unbound auf der OPNSense und hab ein paar Domain-Umschreibungen in Adguard eingetragen.

Das Unbound auch die DHCP-Leases lesen darf, hast du aber in seiner Config aktiviert ?

Kleiner Tip nur, ändere mal den Port vom Unbound auf 53053 ( in Adguard dann anpassen ) irgentwas in der OPNSense nutzt auch den Port und das kann Probleme geben.

[High-Tower]

Hi Tuxtom007,

im Anhang ein Screenshot, was ich nun eingestellt hab (also den listen Port 53053) und DHCP Registration bzw. Register DHCP leases aktiviert.

Nun komm ich aber nicht so ganz mit, wo ich in Adguard noch was eintragen soll. In Adguard hab ich nichts eingetragen außer ein paar Blacklists und die DNS-Umschreibung.

[Tuxtom007]

Du muss AdGuard doch auch sagen, das er Unbound nutzen soll undter DNS-Einstellunge,  Upstream-DNS-Server:

127.0.0.1:53053
[::1]:53053


( zweite Zeile für IPv6 )

[High-Tower]

Hi,
ich glaub ich hab n anderes Problem....

da das mit den Upstream-DNS-Server auch nicht funktioniert hat, hab ich kurzerhand AdGuard runtergeschmissen und in Unbound DNS ein Host Override erstellt.
Zusätzlich hab ich wie im angehängten Bild unter General das soweit eingestellt.

Ergebnis bleibt das gleiche. Ich kann über die CMD einen Ping sowie erfolgreich ein nslookup ausführen und mir wird mit dem Namen die richtige IP angezeigt. Sobald ich das in den Browser eingebe, kommt sofort Google mit dem DNS Namen.
Einzig unter nslookup ist der Hinweis "Nicht autorisierende Antwort:" nicht mehr vorhanden.

Glaub eher so langsam, dass ich hier ne fehlerhafte Grundkonfig habe.

Im DHCPv4 Service hab ich im DNS Server und im Gateway die 192.168.178.1 drin.
Ansonsten noch die Range und den NTP eingetragen (192.168.178.1). Ansonsten nichts.

Ich schnalls nicht mehr, warum die Anfrage über den Browser direkt an google gesendet wird... 

[Tuxtom007]

Ich lade dir mal Screenshots meiner Config hoch:

[KHE]

Jetzt muss "nur" der Browser mir die Domain auch auf die IP auflösen, um auf das Dashboard zu kommen.

Moderne Browser nehmen unter umständen DoH Server direkt. Und nicht deinen.
Chrome: chrome://settings/security unter Sicheres DNS verwenden ausschalten.
Firefox: about:preferences#general unter Verbinungs-Einstellungen dort unter DNS über HTTPS (de)aktivieren.

Mit Adguard und einem Zertifikat kann man den eigenen Server verwenden.

Gruß
KH

[Patrick M. Hausen]

Oder sie sind so schlau, dass sie wissen, dass ".homelab" als TLD nicht existiert.

Nimm doch eine Domain, über die du tatsächlich verfügst, nennen wir sie "meinedomain.de" und darunter eine Subdomain für deinen lokalen Kram: "homelab.meinedomain.de".

Ich mache das seit 25 Jahren so.

[dumbo]

Ich lade dir mal Screenshots meiner Config hoch:

Guten Morgen.

Danke - in einem anderen Thread bin ich genau an dem gleichen Thema dran.

Deine Screenshots haben hier sehr geholfen.

Fragen noch dazu:
- DNSSEC braucht man im AGH nicht anschalten, da er ja bei der OPNsense im Unbound aktiv ist, oder?
- was trägst Du bei Bootstrap ein?
- wie bekommst du die Namensauflösung lokaler Devices hin? Trägst Du da noch etwas in "Private reverse DNS servers" ein?

[Tuxtom007]

Fragen noch dazu:
- DNSSEC braucht man im AGH nicht anschalten, da er ja bei der OPNsense im Unbound aktiv ist, oder?
- was trägst Du bei Bootstrap ein?
- wie bekommst du die Namensauflösung lokaler Devices hin? Trägst Du da noch etwas in "Private reverse DNS servers" ein?

- DNSSEC hab ich in beiden aktviert
- als Bootstrap hat ich ein paar DNSSEC-fähig DNS-Server bei Quad9 und Cloudflare eingetragen für IPv4 und IPv6, z.b. ( 1.1.1.3,  9.9.9.10  für IPV4 ) die findet man auf deren Webseiten jeweils
- ich nutze DHCP und DHCP-Reservation auf der OPNSense und eine eigene Domain, die ich nur Lokal nutzen. Private inverse dNS ist leer, da die Auflösung der lokalen Namen vom Unbound gemacht wird.

[dumbo]

Danke Dir. Bei mir scheint da noch was nicht ganz rund zu laufen in der Sache.

Aktuell löst er noch keine Namen auf und ich habe auch das Problem, dass meine Regel mit dem NAT Port Forwarding für DNS (damit keine hardcoded DNS genutzt werden können von Clients) aktuell auch Probleme macht.

Muss mir das nochmal im Detail anschauen, was das ist/sein kann.

[dumbo]

Kurzes Update - Namensauflösung klappt jetzt.

Hatte den "Zone Type" von Unbound auf "Static" an Stelle von "Transparent".

Wenn man das umstellt geht es.

[High-Tower]

Hi zusammen,

sry.. das ich mich jetzt erst wieder zu Wort melde.
Hab nun alles nochmals neu aufgesetzt und von vorne begonnen.

Was soll ich sagen, der Fehler lag ca. 30cm. vor dem Bildschirm :-)
wenn ich nun http://freenas.homelab eingebe komme ich auch auf die gewünschte Page.

Hab nun aber das was pmhausen (danke nochmals), gesagt hat eingerichtet und siehe da, funktioniert direkt ohne Eingabe des http://

Internet, DHCP, DNS Weiterleitung, AdGuard funktioniert nun super! 👍

Nun hab ich, denk ich, ein General OPNsense Config Problem.
Wenn ich unter System -> Firmware -> Status "Check for updates" anklicke, lädt es dauerhaft, wie wenn jetzt die OPNsense selbst nicht mehr ins Internet kommt.

Bevor ich das mit Unbound und AdGuard eingerichtet hab, hat das "Check for updates" einwandfrei funktioniert.
(Sry... für die dumme Frage).