Neuinstallation mit Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome

Started by neuling10, April 23, 2024, 07:36:12 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
April 23, 2024, 07:36:12 PM
Erstmals ein herzliches Hallo an die OPNsense Community  :D

ich hatte bisher Fritzboxen im Einsatz und bin neu im Opnsense Universum. Ich bitte um Nachsicht, sollte ich noch bei den Grundlagen hängen  ;D

Nach reichlich Text- und Videorecherche habe ich auf eigener Hardware die Opnsense mit Version 24.1.6 am Laufen, bisher mit nur 1 PC am LAN Interface.

Installiert bzw. laufen habe ich den Squid Web Proxy (transparent), Unbound DNS, Adguardhome und ClamAV mit ICAP. Nach reichlich Testen sind mir folgende Unstimmigkeiten aufgefallen, die ich erstmals beheben möchte bevor ich das System weiter aufsetze. Bei folgenden Punkten bin ich ratlos:

1. Systemstatus unter System - Firmware - Status lädt sich zu tode
2. Der Neustart des Squid Web Proxy wirft eine Fehlermeldung, wird jedoch "grün" und läuft
3. ClamAV blockt leider keine Eicar zip Testfiles
4. Ookla Speedtest findet keinen Server ohne eine LAN_TO_ANY FW-Rule zu aktivieren

Nach Recherche vermute ich hinter 1., 2. und 3. eine fehlerhafte DNS Konfiguration. Hier die Fehlermeldung des Web Proxy:


Den UnboundDNS habe ich auf Port 5353 geändert. Adguardhome läuft stabil und akzeptabel schnell auf Port 53  (100-120ms Bearbeitungsdauer).

Unter Dienste - Squid Web Proxy - Verwaltung (erweiterter Modus) habe ich als alternativen DNS-Server die IP der OPNsense drinnen, also 192.168.1.1 (ohne Port). Ist das korrekt? Darüber sollte ja auch Adguard laufen? Wenn ich 192.168.1.1:53 (mit Port 53 von Adguard) einstelle, geht nichts mehr.
Unter System - Einstellungen - Allgemein habe ich alle DNS Server Einträge gelöscht.

NATs habe ich über den Web Proxy angelegt. Brauche ich hier weitere NATs? Ist es möglich, dass der ClamAV gar nicht über den Web Proxy 5353 läuft sondern weiter auf Port 53 lauscht und deshalb nichts geblockt wird?

Zu 4. vermute ich eine fehlende Firewall Rule. Ich habe nach Recherche bei Ookla den Port 8080 TCP/UDP und 5060 TCP/UDP geöffnet. Läuft bei euch der Speedtest mit diesen offenen Ports? Oder könnte das auch mit den Problemen von oberhalb zusammenhängen?

Ich wäre Euch für jegliche Hinweise sehr dankbar  ???

Grüße
neuling10
May 15, 2024, 12:45:29 PM #1
Hi,

ich weiß nicht, ob ich dir viel helfen kann, Clamav und Adguard nutze ich zum Beispiel nicht.

Aber wäre es eine Idee vielleicht erstmal nur auf einzelne Punkte konzentrieren und dann nach und nach das System erweitern, wenn du dir sicher bist, dass einzelne Sachen gut funktionieren?

Meine Vermutung wäre

zu 1. fehlt vielleicht eine Regel, die der opnsense Zugriff auf das Internet erlaubt? Hast du in einem zweiten Tab / Fenster die Firewall Log mal überprüft?

zu 2. ich glaube die momentane squid Version wirft teilweise segmention fault als Fehler auf, aber läuft dann trotzdem.

zu 3. keine Ahnung

zu 4. auch mal Firewall Log prüfen was genau geblockt wird


Viel Erfolg!
May 15, 2024, 08:49:48 PM #2
Quote from: neuling10 on April 23, 2024, 07:36:12 PM
Den UnboundDNS habe ich auf Port 5353 geändert. Adguardhome läuft stabil und akzeptabel schnell auf Port 53  (100-120ms Bearbeitungsdauer).
Ändere den Port mal auf z.b. 53053,  5353 ist für einen anderen Dienst reserver ( mDNS ), da kann Problem verursachen.

Hast du System -> Settings -> General
DNS-Server eingetragen, Google oder sonstwelche der Wahl, das sind die welche die OPNSense selber nutzt. Könnte das Problem verursachen, ggf. sogar auch dein Problem 4.)
Die Auswirkung sind da eigentlich deutlich, Internet im LAN geht aber die OPNSense selber kommt nicht ins Internet.
Bei mir braucht Ookla keine extra Firewallregel

Ansonsten bin ich selben Meinung wie mein Vorschreiber - gerade als Anfänger, mache einen Schritt nach dem anderen und versuche nicht alle Funktionen gleichzeitig zu aktivieren, wo du nachher nicht weißt, was am Ende Probleme macht.
Schalte den Speedtest und Virenscanner erst mal ab und bringe den Rest zum laufen.

June 10, 2024, 09:16:42 PM #3
Vielen Dank für die Hinweise, @Tuxtom007 und @userbenutzer

Ich habe nun seit einigen Wochen Transparenten Web Proxy & UnboundDNS & ClamAV & Adguardhome erfolgreich am Laufen.

Folgendes musste ich noch ändern:
- Port auf 53053 geändert
- Unter Unbound DNS -> DNS over TLS habe ich cloudflare Hosts eingetragen
- Unter Adguardhome -> Allgemein habe ich Primary DNS aktiviert
- Im Adguard Webinterface habe ich den Upstream DNS Server und den Private inverse DNS-Server ergänzt mit Port :53053

Ergänzung nach einigen Tests und einigen Wochen Beobachtung:
Durch Firewall Rules & Aliase habe ich Gruppen gebildet, die ich vom Web Proxy ausschließe (z.B. Notebook, auf dem ohnehin eine Anti-Viren Software läuft oder Devices, die sich nicht durch den Web Proxy leiten kann
June 21, 2024, 07:31:31 AM #4
Hi, könntest du deine Einstellungen detaillierter beschreiben? Ich habe die gleichen Probleme und verstehe nicht warum. Leider habe ich nicht soviel Zeit ( und Ahnung) um viele Tests durchzuführen.
June 24, 2024, 12:57:06 PM #5
Hier meine Einstellugen:

Ad Guard:
Unbound DNS allgemein
Unbound DNS over TLS
June 24, 2024, 06:57:26 PM #6
Hi,

ich habs mit meiner Konfig verglichen, dabei ist mir folgendes aufgefallen:
- Hast du im Adguard Webinterface unter Private inverse DNS-Server ebenso IP:53053 eingetragen?
- Im Unbound Service hab ich
   - DNS64 Support aktiviert
   - "Do not register IPv6 Link-local addresses" aktiviert (nutze keineIPv6 Adressen)
   - ausgehende Netzwerkschnittstellen auf "Alle" gesetzt
- Im Unbound over TLS habe ich zusätzlich folgenden Eintrag (sollte aber mit deinen 3 Einträgen auch funktionieren):
    - 1.1.1.3   853   cloudflare-dns.com
- Hast du FW-Regeln am WAN Port angelegt für alle DNS Adressen? Also z.B.:
IPv4 TCP/UDP   149.112.112.112   853   WAN_Kabel Adresse   *   *   *      QUAD9 TLSDNS response for UnboundDNS
- Unter AdGuard Primary DNS aktiviert

June 25, 2024, 12:53:00 PM #7
Hi,

- Hast du im Adguard Webinterface unter Private inverse DNS-Server ebenso IP:53053 eingetragen?
--> Ja siehe Bild

   - DNS64 Support aktiviert
   - "Do not register IPv6 Link-local addresses" aktiviert (nutze keineIPv6 Adressen)
--> ok, ergänz

   - ausgehende Netzwerkschnittstellen auf "Alle" gesetzt
--> meinst du damit LAN & WAN ? Siehe Bild

- Hast du FW-Regeln am WAN Port angelegt für alle DNS Adressen? Also z.B.:
IPv4 TCP/UDP   149.112.112.112   853   WAN_Kabel Adresse   *   *   *      QUAD9 TLSDNS response for UnboundDNS
--> Nein, das verstehe ich nicht ganz. Warum müssen die Regeln erstellt werden? (aber klar würde gerne testen. Verstehe aber den Beispiel nicht ganz)

- Unter AdGuard Primary DNS aktiviert
--> ja war schon. siehe Bild


June 26, 2024, 03:50:36 PM #8
Hi,
probier mal den private inverse DNS Server von 127.0.0.1:53053 (Standard) auf die IP deiner Opnsense zu ändern
June 26, 2024, 07:20:34 PM #9
Hi, danke für deine Rückmeldung. habedie Einstellugnen geändert.

Habe auch versucht die FW Regeln nachzubauen --> Siehe Bild

Leider ohne erfolg :(
June 29, 2024, 04:36:28 PM #10 Last Edit: June 29, 2024, 05:04:46 PM by neuling10
Meine Rules am WAN Port sehen folgendermaßen aus.
In allen LAN / VLAN Netzen, die ins Internet sollen, hab ich eine Rule zu DNS aktiv.

Achtung weiters:
Nimm unter Unbound DNS - Allgemein das Häkchen bei "DNS64 Unterstützung einschalten" wieder raus => das hat mich nun 3 Tage gekostet, da durch diese Einstellung meine Home Connect Haushaltsgeräte keine Verbindung aufbauen konnte, ich den Fehler jedoch woanders vermutet hatte.

Ansonsten müssten alle Einstellungen passen, die du gepostet hast.

June 29, 2024, 04:48:06 PM #11
Quote from: neuling10 on June 29, 2024, 04:36:28 PM
Nimm unter Unbound DNS - Allgemein das Häkchen bei "DNS64 Unterstützung einschalten" wieder raus => das hat mich nun 3 Tage gekostet, ...
Weshalb hast du es denn eingeschaltet? Das ist ein im Zusammenhang mit NAT64 nötiges Feature, das braucht man ausschließlich in Netzen, die nur IPv6 haben, und trotzdem IPv4-Gegenstellen erreichen sollen.

Kann man den Hilfetext deiner Meinung nach verbessern?

Gruß
Patrick
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
June 29, 2024, 05:01:07 PM #12
Hi Patrick,

ich hatte da mit einem anderen VPN Problem in Kombination mit IPSec und Wireguard zu tun und hatte das irgendwo bei Recherchen vernommen. Ehrlich gesagt konnte ich mit der Erklärung "If this option is set, Unbound will synthesize AAAA records from A records if no actual AAAA records are present." als Neuankömmling in Sachen Netzwerktechnik und Opnsense noch nichts anfangen und hatte vergessen die Einstellung wieder rückzusetzen, als ich das VPN Problem gelöst hatte.
Mittlerweile weiß ich , dass es hier um IPv6 DNS Zuordnung geht - danke für den Hinweis, man lernt jeden Tag dazu  :D
June 30, 2024, 01:39:27 PM #13
Noch eine weitere Einstellung, die wichtig war:
Bei der Erstkonfiguration im Adguardhome Webinterface mussten die Listen interfaces auf "All interfaces" und Port 53 gestellt werden.
Die Listen interfaces des Admin Web Interfaces jedoch nur auf das lokale LAN Interface legen.
July 03, 2024, 06:50:26 PM #14
So, es geht. Vielen lieben Dank an alle
Print
Go Up Pages1 2
User actions