Adguard und Unbound DNS zusammen mal nicht

Started by loaded, October 03, 2024, 11:13:10 AM

Previous topic - Next topic
Print
Go Down Pages 1 2 3 4
User actions
April 04, 2025, 02:52:55 PM #45
War mein Fehler mit dem tcpdump beim lo0 - da hätte natürlich der Port rein gehört, auf dem du deinen Unbound lauschen hast, und nicht 53.

Aber wie man an dem trace sieht, geht das ja extern schon schief. Also hab ich mir das mal bei mir lokal angeguckt und siehe da:

Code Select
root@opnsense:~ # drill @ns1.telefonica.de alice-voip.de ns
[...]
;; ANSWER SECTION:
alice-voip.de.    345600    IN    NS    ns3.telefonica.de.
alice-voip.de.    345600    IN    NS    ns1.telefonica.de.
alice-voip.de.    345600    IN    NS    ns2.telefonica.de.

Aber:

Code Select
root@opnsense:~ # drill @ns1.telefonica.de sip.alice-voip.de a
[...]
;; ANSWER SECTION:

;; AUTHORITY SECTION:
alice-voip.de.    345600    IN    SOA    ns1.telefonica.de. hostmaster\.de.telefonica.com. 2017032874 28800 7200 1814400 345600

Also man bekommt von den authoritativen (!) Nameservern von Telefonica von extern einfach eine leere Antwort zurück. Anscheinend bekommt man die Adressen des SIP-Gateways nur, wenn man auch die rekursiven DNS-Server von Telefonica nutzt.

Das kann man aber im Unbound recht einfach konfigurieren, indem man ein Query-Forwarding definiert, etwa so:



Die Adressen, die ich benutzt habe, sind dns3.telefonica.de und dns4.telefonica.de.

Gruß, HTH,
Patrick

Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 05, 2025, 04:45:22 PM #46
Ach krass, das funktioniert einfach 😮

Dank dir !!!!!!!


Kannst du mir verraten woran du das erkannt hast?!?!

Und was ich nach wie vor nicht verstehe, die DNS Server sind ja in der Fritzbox eingetragen, warum gehen die verloren unterwegs?
April 05, 2025, 06:04:47 PM #47
Daran, dass ich die Adressen per drill (s.o.) von den authoritativen DNS-Servern für die Domain nicht bekommen habe. Steht doch alles im letzten Post. Die Adressen der rekursiven Server von Telefonica hab ich aus deinen Dumps.

Zur Fritzbox: hast du vielleicht ein "fang DNS Requests ein" per NAT Port Forward auf deiner OPNsense?
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 06, 2025, 10:29:17 AM #48
Quote from: Patrick M. Hausen on April 02, 2025, 03:38:58 PMDNS und DoT nach außen ist blockiert, DoH ist per Blockliste im AGH so weit blockiert wie das möglich ist.

Hallo,

über welche Blockliste lässt sich denn DoH hier blockieren?

Danke und beste Grüße
April 06, 2025, 12:21:19 PM #49
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
April 06, 2025, 02:40:04 PM #50
Quote from: Patrick M. Hausen on April 05, 2025, 06:04:47 PMDaran, dass ich die Adressen per drill (s.o.) von den authoritativen DNS-Servern für die Domain nicht bekommen habe. Steht doch alles im letzten Post. Die Adressen der rekursiven Server von Telefonica hab ich aus deinen Dumps.

Zur Fritzbox: hast du vielleicht ein "fang DNS Requests ein" per NAT Port Forward auf deiner OPNsense?
ich hab kein port forwards außer dieser automatischen LAN anti lockout Regel.

Für die Fritz ansonsten nur ein Outbound NAT:
You cannot view this attachment.

Regeln sind für das Interface noch auf allow any
April 09, 2025, 02:26:05 PM #51
@Patrick M. Hausen - danke :)
April 11, 2025, 01:14:30 AM #52
Quote from: Patrick M. Hausen on April 02, 2025, 03:38:58 PMDNS und DoT nach außen ist blockiert
Das Thema hab ich auch noch auf der Agenda, hast du da nette Lektüre zum Nachkochen?
Soweit ich das verstanden habe muss ich mich ja um 3 Sachen kümmern - Alles an DNS und DoT auf Adguard verweisen - Unbound aber rauslassen (?) - Verhindern, dass die IoT Clients Fehler schmeißen wegen der umgeleiteten DNS Anfragen?
April 14, 2025, 10:38:13 PM #53 Last Edit: April 14, 2025, 10:40:26 PM by cottec
Quote from: Patrick M. Hausen on October 03, 2024, 05:28:55 PMBei mir ist Unbound der Default-Nameserver auf Port 53 überall. AdGuard Home liegt auf 127.0.0.1:53530 und hat 127.0.0.1:53 als einzigen Upstream.

Auf allen Interface, bei denen ich will, dass die Clients AGH benutzen, habe ich eine NAT Port Forward Regel von TCP/UDP, Destination: this firewall:53 nach 127.0.0.1:53530.


Ich versuche das gerade auch... (bei mir sind die Ports aber umgedreht von Adguard (53)und Unbound (53053)

LAG 10.10.100.1 ist mein Interface an dem alle Geräte hängen

Ich habe diese NAT Port Forwards:

You cannot view this attachment.


Zum Test in Adguard eine DNS Umschreibung dnsintersect.example.com auf 10.0.1.1


Wenn ich das jetzt teste:

Code Select
nslookup dnsintersect.example.com
Server:  UnKnown
Address:  10.10.100.1

Nicht autorisierende Antwort:
Name:    dnsintersect.example.com
Address:  10.0.1.1
Die Umschreibung funktioniert, AAABER:

Code Select
nslookup dnsintersect.example.com 1.1.1.1
DNS request timed out.
    timeout was 2 seconds.
Server:  UnKnown
Address:  1.1.1.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an UnKnown.

Das Abfangen und Umleiten von Anfragen mit anderen DNS Servern funktioniert nicht...
Ich wette ich hab nur was in den Regeln falsch geschrieben....

Print
Go Up Pages 1 2 3 4
User actions