Adguard und Unbound DNS zusammen mal nicht

[Tuxtom007]

Kannst du mir kurz helfen, wie ich das für meinen Zweck richtig nutze?
Ich habe meine opnsense mit der IP 10.10.10.1 und ich habe 3 Interfaces, an denen die Clients hängen: 10.10.100.1, 10.10.110.1, 10.10.120.1
Reicht das als grundlegenstes Setup, wenn ich bei Upstream und bei Private inverse einfach nur "127.0.0.1:53053" reinschreibe und fertig?

ja sollte reichen, aber für Privat Inverse braucht es dahinter noch den Umbound, welche die lokalen Adressen dann auflöst.
Der Screenshot ist zwar verlinkt aber wird nicht angezeigt.

Der standard Domainname in OPNsense ist localdomain, passt für mich.
Muss ich den explizit in die Klammern davor schreiben oder ist es ohne die Klammern einfach für alle Anfragen gültig?
[/localdomain/]127.0.0.1:53053
Wenn ich das richtig verstanden habe, dann kann ich die Namen ohne das Präfix erreichen, weil sie eh nicht mehrfach unter verschiedenen Domains existieren, oder?
Sorry, bin ein blutiger Noob in dem Bereich....

Die Syntax ist schon so vor gegeben, am besten mal in die AdGuard Doku schauen.

[::1]:53053 ist der v6 loopback, oder?

Korrektur: ja zum Unbound für IPv6 - wenn nicht in Benutzung, einfach weglassen



Beim Unbound muss du auf jeden Fall den Port 53053 eintragen und " Register ISC DHCP4 Leases" sowie "Register DHCP Static Mappings" aktivieren ( unter General ), der Rest ist Standardeinstellung bei mir

[cottec]

Ja passt, die Einstellungen hatte ich auch genau so.


Hostnamen funktionieren jetzt ganz gut, das ist schon mal sehr gut, dann kann ich die SMB Shares in Unraid wiederbeleben :)

Ein großes Problem hab ich aber noch, die Fritzbox zickt beim registrieren der Rufnummer noch rum.

Ohne Adguard und Unbound funktioniert alles.
Es braucht lediglich die DNS Server von o2.

Da ich Unbound noch nicht weiter konfiguriert habe udn die Serverliste in OPNsense auch leer ist, werden die o2 DSN Server angezogen.
Ich habe aber eh in der Fritzbox noch die DNS Server eingestellt.
Klappt ja auch ohne Adguard/Unbound.

Mit den beiden an meldet sie aber DNS Fehler, verstehe ich absolut nicht...

In OPNsense:
Interfaces: Diagnostics: DNS Lookup

Hostname or IP
sip.alice-voip.de

Response
Type   Answer   Server   Query time
A   sip.alice-voip.de. 1478 IN A 62.52.28.195   62.109.121.2   6 msec



wenn ich das ganze vom PC (am gleichen Interface wie die Fritzbox) mache:
nslookup sip.alice-voip.de
Server:  UnKnown
Address:  10.10.100.1

Name:    sip.alice-voip.de



Mit Server gehts natürlich:
nslookup sip.alice-voip.de 62.109.121.1
Server:  dns3.telefonica.de
Address:  62.109.121.1

Nicht autorisierende Antwort:
Name:    sip.alice-voip.de
Address:  62.52.28.195


nslookup sip.alice-voip.de 62.109.121.2
Server:  dns4.telefonica.de
Address:  62.109.121.2

Nicht autorisierende Antwort:
Name:    sip.alice-voip.de
Address:  62.52.28.195


versteh ich a) nicht, warum er hier nicht den richtigen DNS Server für die Anfrage nimmt, wenn das doch der einzig verfügbare ist und b) warum die Fritzbox Probleme macht, obwohl sie die DNS Server extra nochmal hinterlegt hat.



In adguard hab ich zum testen noch zwei Filter geschrieben, die bringen aber auch nur so viel, dass ich in der Anfragenliste sehe, dass Adguard sie genehmigt anstatt nur verarbeitet (Ergebnis sollte eh das selbe sein: An den Upstream schicken)

@@||*^$client='fritzbox'$important
@@||sip.alice-voip.de^$important

[Tuxtom007]

Hostnamen funktionieren jetzt ganz gut, das ist schon mal sehr gut, dann kann ich die SMB Shares in Unraid wiederbeleben :)

Ein großes Problem hab ich aber noch, die Fritzbox zickt beim registrieren der Rufnummer noch rum.

Ohne Adguard und Unbound funktioniert alles.
Es braucht lediglich die DNS Server von o2.

Da ich Unbound noch nicht weiter konfiguriert habe udn die Serverliste in OPNsense auch leer ist, werden die o2 DSN Server angezogen.
Ich habe aber eh in der Fritzbox noch die DNS Server eingestellt.
Klappt ja auch ohne Adguard/Unbound.

Mit den beiden an meldet sie aber DNS Fehler, verstehe ich absolut nicht...

Unraid kann ich dir nicht bei helfen, kenne ich nicht

FritzBox: wie hasst du die den angeschlossen, hinter der OPNSense als Client oder davor ?

[cottec]

FritzBox: wie hasst du die den angeschlossen, hinter der OPNSense als Client oder davor ?

Ah ne in Unraid ist alles okay, da hab ich keine Sorge.

Die Fritzbox ist als Client hinter der OPNsense.

Nochmal in aller Deutlichkeit: Wenn ich Unbound und Adguard deaktiviere, dann geht es sofort mit der VoIP Registrierung

[RES217AIII]

FritzBox: wie hasst du die den angeschlossen, hinter der OPNSense als Client oder davor ?

Ah ne in Unraid ist alles okay, da hab ich keine Sorge.

Die Fritzbox ist als Client hinter der OPNsense.

Nochmal in aller Deutlichkeit: Wenn ich Unbound und Adguard deaktiviere, dann geht es sofort mit der VoIP Registrierung

In meiner Konfiguration habe ich bei DNS Server v4 vom Internetanbieter... eingestellt.

[cottec]

hast du denn auch adguard und unbound am laufen?

[kruemelmonster]

Hast du noch einen Port an der Sense frei oder ein separates Vlan?  Dann hänge die Fritte dort an und spare dir die Mühe mit AdGuard.  Wenn es ein dedizierter NIC ist, hast du da eben eine DMZ. Habe ich auch so gemacht. AdGuard ist dort nicht aktiv und aus die Maus. Fällt natürlich das Wlan der Fritte weg. Aber vielleicht ist ja ein entsprechender Wlan-AP besser?
Ansonsten müsstest du sehen, ob du die Systeme für VOIP als Withelisting bei ADG einträgst.

[Patrick M. Hausen]

Alle meine Clients werfen ihre Requests an AGH und der an den lokalen Unbound. Letzterer hat keinen Upstream Server sondern macht die Rekursion selbst.

DNS und DoT nach außen ist blockiert, DoH ist per Blockliste im AGH so weit blockiert wie das möglich ist.

Eine Fritzbox 7510 hinter der OPNsense, die SIP, DECT und Smart Home macht, funktioniert einwandfrei.

[cottec]

Hast du noch einen Port an der Sense frei oder ein separates Vlan?  Dann hänge die Fritte dort an und spare dir die Mühe mit AdGuard.  Wenn es ein dedizierter NIC ist, hast du da eben eine DMZ. Habe ich auch so gemacht. AdGuard ist dort nicht aktiv und aus die Maus. Fällt natürlich das Wlan der Fritte weg. Aber vielleicht ist ja ein entsprechender Wlan-AP besser?

Wäre zwar frei, aber ich hab da auch ein bisschen Smarthome per DECT laufen.

Ansonsten müsstest du sehen, ob du die Systeme für VOIP als Withelisting bei ADG einträgst.

Es wird ja nichts geblockt, ich verstehe es einfach nicht...Ich habe den ganzen Client ausgefiltert(siehe oben)

Alle meine Clients werfen ihre Requests an AGH und der an den lokalen Unbound. Letzterer hat keinen Upstream Server sondern macht die Rekursion selbst.

DNS und DoT nach außen ist blockiert, DoH ist per Blockliste im AGH so weit blockiert wie das möglich ist.

Eine Fritzbox 7510 hinter der OPNsense, die SIP, DECT und Smart Home macht, funktioniert einwandfrei.

So mach ich das doch auch, wenn ich nichts weiter konfiguriert habe, oder?!
Hast du ne Idee wie ich checken kann, warum meine Clients keine o2 DNS Server kriegen, diese aber ja scheinbar benutzt werden, wenn ich normal ins Internet komme?!

[Patrick M. Hausen]

Ich weiß ja nicht, was du mit "nichts weiter" meinst? Natürlich musst du den AGH auf Port 53 einstellen und den Unbound z.B. auf 53530. Und dann im AGH den Unbound explizit als Upstream eintragen: 127.0.0.1:53530.

Das ist etwas mehr als "nichts".

Wenn du das so hast, dann landet doch jeder Request im AGH Logfile, da kannst du dir das doch über das UI im Detail angucken, was da schief geht ...

[RES217AIII]

hast du denn auch adguard und unbound am laufen?

Ja, habe ich.
Allerdings habe ich die FB in einem separaten VLAN, da die Stabilität der SIP Verbindungen durch das "Geschnatter" aller im Netz befindlichen Geräte empfindlich gestört war. Erst mit der Separierung der FritzBox gab es keine Unterbrechungen mehr bei der Verbindung.
WLAN realisiere ich durch separate AP, da auch die eingeschränkte Funktionalität der FB nicht mehr reichte um Netze zu separieren. Gleiches gilt für SmartHome.

[RES217AIII]

FritzBox: wie hasst du die den angeschlossen, hinter der OPNSense als Client oder davor ?

Ah ne in Unraid ist alles okay, da hab ich keine Sorge.

Die Fritzbox ist als Client hinter der OPNsense.

Nochmal in aller Deutlichkeit: Wenn ich Unbound und Adguard deaktiviere, dann geht es sofort mit der VoIP Registrierung

In meiner Konfiguration habe ich bei DNS Server v4 vom Internetanbieter... eingestellt.

Damit ist die OPNsense der DNS Server: AdGuard -> Unbound. Abhängig von deiner Firewalleinstellung verhindert der "fremde" DNS Server bei aktivem AdGuard und Unbound eine Verbindung, weil die OPNsense diese blockiert
Schaltest Du Adguard und Unbound aus, wird der Zugriff auf den "fremden" DNS Server nicht mehr blockiert.

[cottec]

Ich weiß ja nicht, was du mit "nichts weiter" meinst? Natürlich musst du den AGH auf Port 53 einstellen und den Unbound z.B. auf 53530. Und dann im AGH den Unbound explizit als Upstream eintragen: 127.0.0.1:53530.

Das ist etwas mehr als "nichts".

Wenn du das so hast, dann landet doch jeder Request im AGH Logfile, da kannst du dir das doch über das UI im Detail angucken, was da schief geht ...

Ja hast recht, mehr als nichts, aber nichts exotisches, oder?
Und im AGH seh ich ja das Weiterleiten der DNS anfrage an die 127.0.0.1:53530
An einem anderen Client kann ich die Adresse von o2 ja auch nicht auflösen, direkt in der Opnsense aber schon.
Das wird also defintiv ein Konfigurationsproblem irgendwo in AGH oder Unbound sein, ich weiß nur nicht, wie ich das rauskriegen kann :(

hast du denn auch adguard und unbound am laufen?

Ja, habe ich.
Allerdings habe ich die FB in einem separaten VLAN, da die Stabilität der SIP Verbindungen durch das "Geschnatter" aller im Netz befindlichen Geräte empfindlich gestört war. Erst mit der Separierung der FritzBox gab es keine Unterbrechungen mehr bei der Verbindung.
WLAN realisiere ich durch separate AP, da auch die eingeschränkte Funktionalität der FB nicht mehr reichte um Netze zu separieren. Gleiches gilt für SmartHome.

Das kann ja nicht die Lösung sein, ich meine ich kanns ausprobieren, aber ich fänds seltsam...

Damit ist die OPNsense der DNS Server: AdGuard -> Unbound. Abhängig von deiner Firewalleinstellung verhindert der "fremde" DNS Server bei aktivem AdGuard und Unbound eine Verbindung, weil die OPNsense diese blockiert
Schaltest Du Adguard und Unbound aus, wird der Zugriff auf den "fremden" DNS Server nicht mehr blockiert.

Hast nen Tipp wie ich das systematisch angehen kann?

[Patrick M. Hausen]

Das wird also defintiv ein Konfigurationsproblem irgendwo in AGH oder Unbound sein, ich weiß nur nicht, wie ich das rauskriegen kann :(

Was zeigt der AGH denn im Query-Log? Siehe Screenshot - da sieht man doch immer im Detail, was er tut.

[cottec]

Was zeigt der AGH denn im Query-Log? Siehe Screenshot - da sieht man doch immer im Detail, was er tut.

Einmal die Anfragen der Fritzbox und einmal nslookup vom PC aus