OPNSense soll Services übernehmen

[0zzy]

@Tuxtom007 es war der port 53530 (eigentlich sollte es gehen intern, war der selbe den ich aufm piloch konfiguriert hatte).
Wie gesagt egal was ich da setze bspw. auch 5353, exakt nach aktivieren/reload des dienstes und anschliessendem neu ip ziehen ist das netz futsch.

Kann es sein das das irgendwo hardcoded ist?

[Patrick M. Hausen]

Deine Clients können keinen anderen Port als 53 verwenden - irgendetwas muss die Anfragen also auf diesem Port entgegennehmen und beantworten oder weiterleiten.

[Tuxtom007]

ist völlig egal wie ich es einrichte.
Ob nun AGH dann Unbound dann Proxy, oder jeweils nur ein service, da regt sich mal garnichts (außer mein Puls).

@Tuxtom007 es war der port 53530 (eigentlich sollte es gehen intern, war der selbe den ich aufm piloch konfiguriert hatte).
Wie gesagt egal was ich da setze bspw. auch 5353, exakt nach aktivieren/reload des dienstes und anschliessendem neu ip ziehen ist das netz futsch.

Kann es sein das das irgendwo hardcoded ist?

Warum hab ich wohl geschrieben, setze erst AdGuard auf, der hört auf Port 53 und dein DNS hätte funktioniert und alles andere dann danach.

Dein Client weiß nicht, das dein Unbound oder was auch immer auf Port 5353 oder sonstwas läuft, ist dem auch ziemlich egal.

[0zzy]

@Tuxtom007
hatte ich ja auch probiert, das problem ist das Unbound schon beim start (bevor der wizard kommt) aktiv ist.
Habs mehrfach neu installiert, vorgehen immer das selbe:
- Installation nur mit LAN Interface, WAN wird später hinzugefügt (klar ohne kommst garnicht auf die webui),
- Nach Installation will ich das WAN Interface konfigurieren, schaue vorab auf die Services --> unbound schon aktiv, obwohl nichts eingestellt ist im Unbound.


Ich hatte mich schon gewundert, jegliche Anleitung im Netz besagt "hey aktiviere das", was in meinem fall garnicht nötig war.

Und den Adguard vorher aufsetzen bevor Irgendwas ne Verbindung hat, erweist sich als schwierig.

[0zzy]

Es ist auch sehr auffallend das jegliche settings die cli seitig in unbound gesetzt werden ("Custom Config") nach einem reload des services zurückgesetzt werden.

Ist das so vorgesehen oder ein BUG?

[Patrick M. Hausen]

Das ist so vorgesehen. Wie jede Appliance speichert das OPNsense-UI die Konfiguration in einer eigenen Datenbank ... ok, bei OPNsense ist es ein XML-File ... und generiert dann daraus die eigentlichen Konfigurationsdateien für die Dienste.

Also UI oder API aber niemals manuell - es gibt aber Ausnahmen, bei denen man eigene Konfigurationen in bestimmte Directories werfen kann. Die bleiben dann erhalten.

[0zzy]

@Patrick M. Hausen
hab ich mir beinahe gedacht. Recherche im Forum bestätigt es siehe hier https://forum.opnsense.org/index.php?topic=35478.0 und https://forum.opnsense.org/index.php?topic=10670.msg172282#msg172282
Die art der Konfiguration ist neu für mich.

Für einen Tipp wäre ich dankbar denn einfach eine dns-crypt-forward.conf erstellen reicht hier nicht aus. Den letzten part

server:

Note duplicated server: at the end of the block

Verstehe ich nicht.

[Tuxtom007]

Da hab ich meinen Beitrag vorhin wohl nicht abgeschickt.


Kurz gesagt, ja wenn du OPN neu aufsetzt, ist unbound aktiv auf Port 53, wie es sich gehört und du kann darüber problems ins Internet als dem LAN, die OPN selber nutz die DNS-Server, welche unter System usw. eingestellt sind.

Meine Erfarhung ist und ich hab schon einige OPN aufgesetzt, das man nach der Installation die Wizzard durcharbeiten soll und alles ist gut und funktioniert.

Dann kannst du das Zusatz-Repository einbinden, AdGuard installieren,  unbound deaktivieren, Adguard aktivieren und hast wieder DNS auf Port 53, dann stellst den Upstream-Server in Adguard  auf den Unbound mit dem neuen Port 53053 und stellt den Port in Unbound ein, aktivierst den dann wieder, schon läuft es weiter.

Das ganze hab ich kürzlich beim TV-schauen gemacht und es hat nicht mal einen Ruckler im TV-Stream gebenen, also keinen Ausfall.

Wenn du dann noch dnscrypt nutzen willst, musst du den halt dann noch entsprechend dazwischen basteln.

[0zzy]

@Tuxtom007 da hab ich mich wohl verlesen. Dachte ich habe begriffen was du sagen wolltest. Dem war aber nicht so.

Nun hab ich dnscrypt-proxy und unbound-dns am rennen.

Bedeutet wenn ich nun alles korrekt verstehe, der folgende weg sollte auch funktionieren:

- Unbound deaktivieren,
- dnscrypt-proxy deaktivieren,

dann:
AGH installieren dem den port 53 verpassen, jeweils in den beiden anderen services einen entsprechend gültig anderen und gut ist oder?


Ich sitz nun ne Woche an meinem ersten versuch, hab ne menge mitnehmen können (aufgrund trial & error (error=karnickelfangschlag von meinen lieben ;) )).

Irgendwann komm ich auch dahin das ich das aus dem ff mache. Aller Anfang ist schwer das weiss ich.


Ich muss trotzdem mal meinen dank an alle bisher beteiligten geben. Auch wenn manchmal nicht direkt ersichtlich, so sind die kleinen hinweise von euch zumindest für mich insoweit tragfähig das es mich (wieder mal) zum nachdenken animiert.
Kann ich aktuell, trotz leichtem Frust das es nicht auf anhieb klapp, echt gebrauchen.

Jupp läuft wie ich es mir vorgestellt habe.

Jetzt muss ich nur noch schauen das ich letsencrypt drauf bekomme und den https port 443 umgebogen bekomme.