Lokaler DNS Server Funktioniert nicht

Started by Patzi, October 22, 2023, 07:06:34 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
October 22, 2023, 07:06:34 PM
Hi,
ich versuche schon seit mehren Tagen einen lokalen DNS Server auf meiner OPNsense zum laufen zu bekommen aber leider schaffe ich Unbound Dns weder DNSMasq-DNS zum laufen zum bringen sobald ich sie aktiviere wird keine DNS mehr aufgelöst.

Ich habe unter System-->Settings-->General 1.1.1.1 und 8.8.8.8 angegeben Gateway:None
Und keinen Hacken auf der Seite.
Ich kann die Server von der Opnensense shell pingen.

Sobald ich Unbound und DNSmasq ausschalte und die Geräte direkt die Server zugewiesen bekommen Funktionierts!

Bin für jeden Tipp Dankbar.
October 22, 2023, 07:58:04 PM #1
Ohne Auswahl eines zugehörigen Gateway funktioniert das aber nicht.
October 22, 2023, 09:42:25 PM #2
Unbound ist eigendlich sehr einfach einzurichten.
Schaltet man an und es funktioniert weil es ein rekursive DNS Resolver ist. Man braucht keine weiteren DNS Server anzugeben oder Weiterleitungen einzurichten.

Das einzige ist, dass man in der Firewall Port 53 (DNS) auf Destination "This Firewall" zulassen muss, in jedem LAN/OPT interface was auf Unbound zugreifen soll. Danach verteilt man den Server mit DHCPv4 (Gateway Addresse der Firewall) (IPv4) oder SLAAC/DHCPv6 (IPv6) (Link Local IPv6 Addresse oder ULA)

Wenn die OPNsense selber den eigenen Unbound verwenden soll, gibt man 127.0.0.1 und Gateway none ein. Und man macht den Haken raus dass der ISP die DNS Server überschreiben darf.
Hardware:
DEC740
October 23, 2023, 06:38:14 AM #3
Hab es auch schon über das WAN  Gateway versucht aber leider ohne erfolg!



Wenn man nichts einträgt bei den Schnittstellen verwendet er doch automatisch die 127.0.0.1 oder sehe ich das falsch?
October 23, 2023, 08:40:12 AM #4
Quote from: Patzi on October 23, 2023, 06:38:14 AM
Wenn man nichts einträgt bei den Schnittstellen verwendet er doch automatisch die 127.0.0.1 oder sehe ich das falsch?
Einfach in die Hilfe schauen:
"Leer lassen, um die Standard-DNS-Server des Systems zu verwenden: Diese Schnittstellen-IP-Adresse, wenn ein DNS-Dienst aktiviert ist, oder die konfigurierten globalen DNS-Server."
October 23, 2023, 04:23:46 PM #5 Last Edit: October 23, 2023, 04:56:31 PM by Patzi
Ja genau das hab ich gemacht!

Firewall kann ja nicht das Problem sein wenn ich von der Shell pingen kann oder?


Hier mal Screenshots von der Konfiguration und das Logfile nach dem Start!
October 23, 2023, 05:58:30 PM #6 Last Edit: October 23, 2023, 06:05:38 PM by Monviech
Bei Unbound bei Interfaces "all (recommended)" lassen. Es hat einen Grund warum es recommended ist.

Query forwarding aus lassen, das brauch unbound nicht. Es hat root hints.
https://www.iana.org/domains/root/servers
Hardware:
DEC740
October 23, 2023, 06:16:10 PM #7
Gerade versucht leider ohne erfolg!

Logfile sieht sehr ähnlich aus und ist angehängt!
October 23, 2023, 07:32:02 PM #8
Nehme mal bei "Services: Unbound DNS: Query Forwarding"
das " Use System Nameservers" raus und starte den Unbound neu.

Unbound holt sich selber eine Liste der Root-DNS-Server, damit sollte der funktionieren.

Firewall-Regel für "Allow DNS". hast du ja wohl, mache die als Floating-Regel reine mit "Interface = All Network" , Direction "in", Destination "This Firewall"


Das teste erst mal, damit muss es funktionieren.
October 24, 2023, 11:24:53 AM #9
Das hab ich gestern schon rausgenommen leider ohne erfolg!

Wo genau sollte diese Regel sein? Bzw wo muss ich sie anlegen? Firewall Rules WAN? Oder unter Floating?

Wie genau sollte diese Regel Aussehen?
October 24, 2023, 12:58:56 PM #10
Quote from: Patzi on October 24, 2023, 11:24:53 AM
Das hab ich gestern schon rausgenommen leider ohne erfolg!
Wo genau sollte diese Regel sein? Bzw wo muss ich sie anlegen? Firewall Rules WAN? Oder unter Floating?
Wie genau sollte diese Regel Aussehen?
So ist die bei mir, der Alias OPNSense beinhaltet bei mir alle Gateway-IPs , sollte auch mit "this firewall" gehen

October 24, 2023, 12:59:24 PM #11
und Teil 2
October 24, 2023, 06:13:55 PM #12
Habs jetzt so angelegt aber leider keine Änderung sichtbar!

Verstehe es einfach nicht gibs eine Möglichkeit alle Unbound Einstellungen zum Zurücksetzen?
October 24, 2023, 06:23:54 PM #13
Es funktioniert nicht nützt nicht viel.

Es wäre mal interessant was genau nicht funktioniert. Benutze mal Paketmitschnitte im LAN um herauszufinden, ob die DNS Pakete eines Clients bei der OPNsense ankommen. "Interfaces: Diagnostics: Packet Capture" und Port 53 mitschneiden.

Danach schaust du in der Firewall nach was mit den Paketen passiert (z.B. drop oder allow) in "Firewall: Log Files: Live View"

Jetzt überprüfst du, ob die Firewall Pakete in das Internet sendet, zu den Root DNS servern. Paketmitschnitt auf dem WAN interface und Port 53 mitschneiden.

So würde eine Anfrage ins WAN von Unbound aussehen:
https://forum.opnsense.org/index.php?topic=36425.msg177825#msg177825
Hardware:
DEC740
October 25, 2023, 08:26:51 AM #14
Hier die 3 Test meiner Meinung Funktioniert das alles ganz normal und ich bekomme die antworten!


Bin gespannt was ihr dazu sagt!
Print
Go Up Pages1 2
User actions