Wie erhält AdGuard die korrekten Namen der anfragenden Rechner?

Started by Doktor, October 20, 2024, 06:34:02 PM

Previous topic - Next topic
Print
Go Down Pages1 2
User actions
October 20, 2024, 06:34:02 PM
Hallo zusammen,

bestimmt kein neues Problem, aber ich habe die Lösung gerade nicht gefunden:
Ich verwende Unbound mit einem Query Forwarding auf meinen AdGuard. Geht auch alles bestens, jedoch zeigt AdGuard natürlich an, dass alle Anfragen von der OpenSense kamen (was physikalisch aber die gleiche Maschine ist).
Kann man das irgendwo einstellen / konfigurieren, dass AdGuard die korrekten Rechner anzeigt und nicht nur die OpenSense?

Gruß
Doktor
October 20, 2024, 06:59:18 PM #1
Du kannst die Reihenfolge umdrehen - Clients fragen AGH und der leitet weiter an Unbound.

Ich mach das mit NAT Port Forwarding, aber natürlich kannst du auch AGH auf Port 53 legen und Unbound z.B. auf 53530.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 20, 2024, 07:10:09 PM #2
Die Antwort klingt gut...ich würde gerne noch mal die Maxi-Version davon nehmen :)
Ich wüsste noch nicht, wo ich was eintragen muss...
October 20, 2024, 07:32:29 PM #3
Naja, du legst den Unbound auf Port 53530 und den AdGuard auf Port 53.
Dann trägst du im Unbound evtl. Forward Server aus und im AdGuard 127.0.0.1:53530 ein.

Fertig.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 20, 2024, 08:03:30 PM #4
Ah..also Du meinst, ich trage im AdGuard den Unbound als Upstream-DNS-Server ein, richtig?
Dann leitet AdGuard die Anfrage weiter an Unbound.
Und im Unbound habe ich dann die System-DNS-Server eingetragen, z.B. 1.1.1.1. Auch richtig?
October 20, 2024, 08:13:21 PM #5
Wenn du das willst. Ich benutze gar keine Upstream-Server in Unbound.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 20, 2024, 08:34:32 PM #6
Ich glaube mir fehlt da noch ein wenig wissen.
AdGuard agiert auf Port 53 als DNS Server.
Anfragen kommen rein.
In AdGuard ist Unbound als Upstream-DNS-Server konfiguriert.
Also schaut AdGuard erst auf seine Sperrlisten, wenn alles ok ist, leitet er die Anfrage dann an Unbound weiter.
Aber woher weiß Unbound jetzt die IP-Adressen von den DNS-Server in der freien Welt?
Daher dachte ich, ich muss in Unbound ein Query-Forwarding eintragen und dort die DNS-Server von Google & Co.

Was passt da noch nicht?
October 20, 2024, 08:38:46 PM #7
Jeder rekursive DNS-Server braucht keinen Upstream. Nur "Internet". Die Liste der Server für die Root-Zone ist fest verdrahtet, und von da hangelt er sich den Baum entlang.

Das Internet ist dezentral konzipiert. Zentrale Plattformen sind Mist  :)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 20, 2024, 08:46:02 PM #8
Öh..bedeutet:
Ich leite die Anfrage an Forwarde die Anfrage an Unbound weiter, aber dort muss ich nichts eintragen, da er von sich alleine die Anfrage an das Gateway schickt zur DNS Auflösung, richtig?
Ausnahme ich trage im Unbound ein Upstream-DNS ein, dann könnte ich mir die DNS ,,aussuchen" die verwendet werden. Ja?
October 20, 2024, 08:51:31 PM #9
Du möchtest zu forum.opnsense.org.

Unbound hat eine Liste aller Nameserver für die Root-Zone.

Davon würfelt er einen aus und fragt nach NS (nameserver) Records für .org.

Er bekommt eine Liste zurück. Von dieser Liste würfelt er zufällig einen aus und fragt diesen nach NS Records für opnsense.org.

Er bekommt eine Liste zurück, würfelt davon einen aus, fragt diesen nach forum.opnsense.org.

Warum sollte er irgendwas an dein Gateway schicken? Abgesehen davon, dass auf Routing-Infrastruktur selten Nameserver laufen  :)
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 20, 2024, 09:12:20 PM #10
Ah..die Info hat mir gefehlt: Ich wusste nicht, das Unbound schon über eine Liste der Rootserver verfügt.

Danke fürs Erklären!
October 20, 2024, 09:26:40 PM #11
Das schrieb ich aber schon :)

Die ändern sich so selten, die sind fix eingebaut. Und um ganz sicher zu gehen, holt er sich beim Start eine aktualisierte Liste. Sollte einer in seiner eingebauten "kaputt" sein muss er es halt ein, zwei mal versuchen. Ab da tobt er einfach rekursiv (deshalb heißt das so) durch das ganze Internet.

Wie auch schon geschrieben: das ist alles komplett dezentral geplant gewesen. Auf jeder Ebene. Routing, DNS, E-Mail ...

Ein Mailserver braucht nämlich auch keinen Smarthost beim Provider oder eine "Plattform". Den hängst du ans Internet, und wenn IP und DNS funktionieren, dann kann der Mail an alle existierenden Ziel-Adressen zustellen.

Dass heute nur noch wenige Mail von überall annehmen ist ein anderes trauriges Thema.

Aber grundsätzlich: IP-Uplink, BIND (später Unbound) und Sendmail starten - go! Keine Konfiguration nötig.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 20, 2024, 09:52:30 PM #12
So..alles umkonfiguriert und es läuft.Top. Danke noch mal!

Feststellung: wenn man auf der OpenSense unter AdGuard den Haken setzt als Primärer DNS-Server, dann bringt das nix. Ich musste noch mal per Hand in das Konfigfile von AdGuard gehen und dort den Port 53 setzten.

Die IP-Adressen aller anfragenden Rechner werden jetzt angezeigt.

Kann man anstatt der IP-Adressen auch die Rechnernamen der anzeigenden Rechner anzeigen lassen?
October 20, 2024, 09:55:20 PM #13
Ist eine Option in AGH irgendwo.
Deciso DEC750
People who think they know everything are a great annoyance to those of us who do. (Isaac Asimov)
October 20, 2024, 10:43:45 PM #14
Ich nutze auch kein Upstream-Server in Unbound und bin eigentlich zufrieden, keine ausfälle.
Meine Durchschnittliche DNS Bearbeitungsdauer liegt bei 11 ms und Upstream-Antwortzeit 70 ms.

Sind die werte OK?
Print
Go Up Pages1 2
User actions