der Aufbau der DNS Abfragen ist nicht ganz einfach. Das liegt auch daran, dass die OPNsense, da sie an die AD angebunden ist, den lmn-Server, und „nur“ diesen, als DNS verwenden muss. Die AD Einbindung ist nötig für das SSO.
Nun ist es aber so, dass der Server (besser gesagt der samba-ad-dc Dienst auf dem Server, der DNS macht) die OPNsense als DNS eingetragen hat: was offensichtlich zu einem Kreislauf führt und damit eher „nirgend wo hin“.
Um aus diesem Kreislauf aus zu brechen, gibt es auf der OPNsense den Dienst Unbound mit sienem UNterpunkt: Query Forwarding.
Merkt der Dienst, dass man eine URL nciht über den lmn-Server auflösen kann, dann springt er ein und fragt die Externen DNS, die dort eingetragen sind.
Das ganz erwähne ich jetzt so deutlich, weil es wichtig ist, dass das vor dem Upgrade auf lmn 7.3 korrekt eingestellt ist, da es sonst wahrscheinlich zu Problemen beim Upgrade kommt.
Einstelen der „normalen“ DNS auf der OPNsense:
Unter System → Einstellungen → Allgemein sollte nur die IP des Servers stehen, sonst nichts (bei mir 10.16.1.1 ):
Wichtig ist, dass der Haken oben in dem Kästchen nicht gesetzt ist.
Danach einaml Unbound anhalten und wieder starten und alles sollte funktionieren.
Vor allem sollte danach SSO zuverlässig funktionieren (also alle Haken immer grün auf der Seite Dienste-> SquidWbProxy->Einmalige Anmeldung-> Kerberos Authentifizierung:
Den 2. Reiter gibt’s hier nicht … alles andere ist so eingestellt wie bei Dir und die Checkliste liefert auch lauter grüne Buttons
(OPNSense 25.1.9_2-amd64)
hab gerade nachgeschaut: bei der OPNsense 25 sind das nciht mehr zwei Reiter, sondern die zwei Einstellungen stehen untereinander.
Oben die Hosts und unten die Domain.
Ich habe das Upgrade auf 7.3 gerade nochmal laufen lassen: Das Problem liegt hier definitiv auf dem v7-Server und nicht auf der OPNSense! Während des Upgrades werden (wie zu erwarten) diverse Dienste heruntergefahren / neu gestartet.
Da es hier am Ende des Upgrades offensichtlich ein DNS-Problem gibt, dachte ich, dass der SAMBA-AD-DC evtl einfach neu gestartet werden kann, da der ja die DNS-Anfragen auf Port 53 annimmt und dann an die OPNSense weiterleitet … aber der Neustart des Dienstes hat nichts gebracht; wohl aber der Neustart des Servers. Danach läuft das linuxmuster-release-upgrade fehlerfrei durch. Warum das hier geschieht und scheinbar nirgendwo anders, kann ich leider nicht sagen
mal so eine Frage an das lmn-Projekt gestellt:
Wieso macht man so ein komplizierten Aufbau für DNS im Gesamtsystem? Wäre es nicht einfacher auf dem Samba-Server die externen DNS-Servern zu konfigurieren? Dann kann enfallen Fehler beim DNS-Setup in der Firewall.
Ich kann es nicht genau sagen aber ich habe das immer so verstanden, dass ja alle Geräte, die man sowieso schon in der devices.csv erfasst hat, dann auch direkt im (lokalen) DNS auf dem v7-Server zur Verfügung stehen. Von daher liegt es nahe, dass die DNS-Abfragen zuerst über den v7-Server laufen sollen, damit der alles abfangen kann, was er sowieso schon kennt.
Dass es dabei aber „zwangsläufig“ zu einem „Loop“ von der OPNSense zurück zum v7-Server und erst dann zurück raus zu „richtigen DNS-Servern im Internet“ kommt, ist dann leider zwangsläufig eine Folge. Oder hast Du eine bessere Idee, wie man das lösen könnte?
Michael dein erster Absatz ist klar und ist auch nicht Gegenstand meiner Frage. Ich verstehe das zwangsläufig im zweiten Absatz nicht. Wenn der LMN-Server externe Domains auflösen möchte, könnte er ja direkt externe DNS-Server befragen und nicht den DNS-Server auf der Firewall.
Der Proxy auf der Firewall nutzt wie jeder andere Komponente den DNS-Client des Betriebssystems der Firewall und der fragt doch den LMN-Server. Wenn nun der LMN-Server externe Domains auflösen könnte, weil er diese Anfragen nach extern weiterleitet, dann bräuchte es doch auf der Firewall den zusätzlichen DNS-Server nicht, oder?
Angenommen der Unbound liefe auf dem LMN-Server statt auf der Firewall, dann wäre die Gefahr gebannt die DNS-Einstellungen auf der Firewall falsch einzustellen. Nun könnte statt Unbound aber Samba selbst die Aufgabe übernehmen DNS-Anfragen an extern weiterzuleiten. Die smb.conf kennt die Einstellung dns forwarder.
Aber nicht die Gefahr, den DNS auf dem Server falsch zu konfigurieren. Es gibt immer die Möglichkeit etwas falsch zu machen. In der aktuellen Konfiguration, die beim Setup ausgerollt wird, fragt die Firewall intern den Server und extern die Unbound-Forwarder, der Server löst intern selbst auf und fragt extern die Firewall, klare Aufgabenteilung extern → FW, intern → Server. So what?
Die thematische Nähe zwischen Eingabefeld für externen DNS-Server vom DNS-Client auf der Firewall und dem Eingabefeld für externen DNS-Server vom DNS-Forwarder auf der Firewall lässt sehr wohl eine höhere Fehlerquote zu, als wenn ich nur den externen DNS-Server im Eingabefeld für dns forwarder für den Samba eintragen müsste. Den Beweis brauch ich nicht mehr führen, da das Thema mehrfach im Forum nachgefragt wurde.
Es war auch nur eine Frage zum Verständnis der Beweggründe und Vorschlag für eine kleine Verbesserung der Benutzerfreundlichkeit, kein Grund da gleich so schnippig mit „so what“ zu reagieren.
Wenn du das als schnippig auffasst, tut es mir leid. Es war die Gegenfrage auf deine Frage nach dem angeblich „komplizierten“ Aufbau des DNS, der eben nicht kompliziert ist. Es macht außerdem keinen Sinn DNS-Anfragen der FW über den Server zu routen, der sie wieder über die FW schickt.
Komisch, bei mir unter OPNsense 25.1.9-2 scheint es die DOMAIN-Überschreibung auch nicht zu geben. Ich habe Hosts, darunter Aliase wie in deinem Bild, aber weiter runter komme ich nicht. einen 2. Reiter gibt es auch nicht. Habichbrettvorkopf?
Bei mir geht leider der DNS so gar nicht. Bekomme bei einem Ping immer „Gültigkeitsdauer wurde bei der Übertragung überschritten“ - also TTL ist auf 0 - vermute ich. Läuft also immer hin und her. Daraus schließe ich jetzt. dass der Unbound nicht bei mir geht.
Beim Squid steht auch bei mir: keytab Datei existiert nicht. mit roten Kreuz - noch ein Fehler vom „7.3 from-Scratch“-installieren?
Liebe Grüße
Peter
ich hab auch die OPNsense 25 und 7.3 from Scratch installiert.
Bei der OPNsense 25 haben sie aber in einer neueren Version den einen Dialog umgestellt.
Was ich oben als „auf dem zweiten Reiter“ beschreibe, steht jetzt unten drunter.
Achte vor allem darauf, dass die Haken in den Boxen gesetzt, bzw. nicht gesetzt sind.
Das beruhigt mich, denn ich habe auch schon gedacht, dass ich blind bin oder Holger etwas anderes beschreibt als das, wo ich geschaut habe. Hier ist es definitiv auch so, dass es auf unserer OPNSense (im Moment noch mit Version 25.1.7-amd64) den Abschnitt „DOMAIN-Überschreibung“ nicht gibt.
Unter „Dienste: Unbound DNS: Überschreibungen“ steht hier ebenfalls oben
der Abschnitt für „Hosts“ und darunter der Abschnitt für „Aliase“. Dazwischen gibt es keinen weiteren Abschnitt. Von daher kann ich das bestätigen, was Peter (@linuxpiet ) schreibt. Holger, hast Du den Unbound-DNS vielleicht nochmal neu installiert oder ähnliches?
Hier der Screenshot – ein Bild sagt mehr als 1000 Worte:
P.S.: Übrigens @buster … ich finde auch, dass die DNS-Einstellungen unübersichtlich sind, aber das betrifft alles die Einstellungen auf der OPNSense. Selbst im Nachbarforum ist das andauernd Thema und wird ständig thematisiert. Wir haben uns dafür entschieden, dass auf unserer OPNSense auch noch AdGuard läuft. Daher wird nochmal eine NAT-Regel benötigt, die den Traffic über den AdGuard auf einen anderen Port leitet. Das ist dann nochmal ein bisschen komplizierter.
Hallo Zusammen,
ich habe gerade nochmal ein frische „fromScratch-7.3“ Installation auf meinem Testsystem gemacht.
Der Linuxmuster Server (10.0.0.1) hat jetzt nach dem install in der /etc/resolv.conf:
# created by linuxmuster-setup 2025-07-03 20:23:55
search it.gymnasium-hochdahl.de
nameserver 10.0.0.1
stehen, also vermutlich noch falsch. Der LiMu-Server soll ja die OPNSense als DNS haben.
Ich habe dann also 10.0.0.254 per Hand in die /etc/resolv.conf eingetragen.
Ansonsten weitere Anleitung befolgt…Hier ist aber nochwas krumm, siehe Bild:
Dann gibt es noch Widersprüche von der Anleitung hier von Holger und der Online-Anleitung unter Setup via WebUI — linuxmuster.net latest Dokumentation - hier sind die Häkchen anders gesetzt und die DNS-Server sind auch anders definiert.
Jetzt ist die große Frage…warum geht mein ping auf 1.1.1.1 nicht? Interne Adressen lassen sich pingen.
root@server:~# ping 1.1.1.1
PING 1.1.1.1 (1.1.1.1) 56(84) bytes of data.
From 10.0.0.254 icmp_seq=1 Time to live exceeded
From 10.0.0.254 icmp_seq=2 Time to live exceeded
From 10.0.0.254 icmp_seq=3 Time to live exceeded
Also TTL abgelaufen. Der Unbound klappt nicht, oder? Muss ich nochwas händisch aktivieren?
also bei mir steht in der /etc/resolve.conf der Server drin, nicht die Firewall.
Deine Aussage „der Server nutzt als DNS die Firewall“ ist leicht falsch zu verstehen.
Der eigentliche DNS auf dem Server ist samba: das muß so sein in einer „windows“ Domäne (hat mich Vertrauen zu tun).
Also ist der samba auf dem Server das, was für alle der DNS im Netz sein muß: auch für den Server.
Im samba, also in der /etc/samba/smb.conf ist als dns forwarder dann die Firewall drin.
So wird ein „loop“ draus
Und wegen deinem nicht angekommenen ping auf 1.1.1.1.
Ein DNS Problem ist das nicht, wenn dann ein Routingproblem.
Aber vielleicht läßt deine OPNsense auch einfach kein ping durch? Gehen andere Server außerhalb an zu pingen?
die Screenshots aus meinem ersten Beitrag in diesem Tread, stammen noch von der OPNsense < 25
Da gab es noch den zweiten Reiter.
Bei OPNsense >= 25 gibt es diesen nicht mehr: ich habe gerade auf meiner frischenINstallation nachgeschaut.
Da gibte s nur:
HOsts
und drunter
Aliase
Wennich die OPNsense aus der Schule auf 25 update, werde ich sehen, ob die Domainüberschreibung dann in Aliase landet oder nicht.
LG
Holger
… alles andere ist so eingestellt wie bei Dir und die Checkliste liefert auch lauter grüne Buttons 
