Opendns funktioniert nicht auf opnsense

Hallo Community,

hat jemand von euch OpenDNS am laufen?
Seit die Shalla Blacklist nicht mehr gepflegt wird suche ich eine alternative aber so richtig will OpenDNS nicht laufen.

Unter Dienste->OpenDNS habe ich den Dienst aktiviert, Benutzerdaten eingetragen und mein Netzwerk ausgewählt.
Test/Update sagt auch alles gut. Habe dann im OPNSense noch den richtigen DNS Server eingetragen und eigentlich wars das ja auch schon oder?
Leider funktionieren immernoch diverse Schmuddelseiten auf unserem Testsystem.

Hab ich was vergessen?

Grüße
Michael

Habe es zum laufen bekommen, aber ich denke nicht über den Weg den man gehen sollte.
Ich habe in der LML in /etc/smb/smb.conf unter dns forwarder die 10.16.1.254 durch die IP Adressen von OpenDNS ausgetauscht

Damit hats wunderbar funktioniert.
Könnte es da zu Problemen kommen?

Grüße
Michael

Hallo Michael,

hast Du denn beim Unbound bei der OPNSense den richtigen Forwarder eingetragen?

Beste Grüße

Jörg

Hallo Jörg,

das habe ich nicht.
Wo trage ich denn da was genau ein???

Danke für dein feedback

Grüße
Michael

Hallo zusammen,
ich hole diesen Threat nach vorne, weil ich genau das gleiche Problem habe.

Ausgangspunkt: Die Shalla Liste hat es jahrelang gut getan, aber es gibt sie nicht mehr.

Also habe auch ich den OpenDNS in Betrieb genommen. (Unter: OpenSense => Dienste => OpenDNS)
Test zeigt good und die aktuelle IP.

Nun kann keiner mehr Surfen, es kommt immer die Abfrage nach Benutzername und Passwort.
Grund: In OpenSense => System => Einstellungen => Allgemein wurde bei DNS Server die 10.16.1.1 gelöscht und durch die beiden OpenDNS Adressen ersetzt. Es scheint wichtig zu sein, dass 10.16.1.1 der erste Eintrag in der Liste ist. Nun steht bei mir dort als 1. Eintrag 10.16.1.1, dann kommen die beiden Adressen von OpenDNS. Surfen geht wieder.

Aber genau wie bei Michael wird nichts gefiltert. Ich werde jetzt auch den Vorschlag von Michael machen und damit wird nun in grün gefiltert!

Aber mir geht es genau wie Michael: Jörg, was meinst Du mit Unbound. Was muss da wo hin?

Und was ist mit dem WLAN? Wenn das in smb.conf steht, bezieht es sich sicher nicht auf das WLAN.
Ich habe es gerade ausprobiert. Über das WLAN sind Schmuddelseiten erreichbar.

Was ich da gemacht habe: OPNSense => Dienste => Opt1 (das ist unser WLAN) bei DNS die beiden Server von OpenDNS eingetragen. Das geht nun auch.

Wie gesagt: Jetzt wird in LAN und WLAN gefiltert, aber wie ja auch Michael schreibt: So ist es ganz sicher nicht gedacht.

Es wäre Klasse, wenn hier jemand der Ahnung hat, etwas schreiben würde, wie man hier am besten vorgeht.

Gruß,

Markus

Hallo,

ich benutze den OpenDNS Dienst der OPNsense gar nicht, weil das bei mir immer Probleme gemacht hat, sondern habe bei System → Einstellungen → Allgemein → Netzwerke die OpenDNS Adressen als zweiten und dritten DNS eingetragen:

Natürlich muss man dann noch dafür sorgen, dass user im WLAN oder LAN nicht eigene DNS benutzen dürfen, sondern immer über die OPNSense gezwungen werden. Umgesetzt habe ich das mit folgenden Regeln (am Besipiel WLAN):

Bei NAT → Portforwarding:

  1. Bei Firewall → WLAN (als erste Regeln ganz oben):

So funktioniert das seit zwei Jahren ohne Probleme.

VG Dominik

Hallo Dominik,

reicht das aus, um auch „content filtering“ zu gewährleisten?

Viele Grüße

Wilfried

Ich schlage nochmal diesen Weg vor:

Hallo Wilfried,

ja klar, dass klappt zuverlässig. Man muss natürlich bei Opendns seine externe IP hinterlegen und die gewünschten Filterlisten aktivieren.

LG Dominik

Hallo Michael,

finde ich prinzipiell auch die bessere Lösung, v.a. wegen dem Datenschutz…die Zugriffhistorie und die Filterung bleibt im Haus…allerdings muss man es erst mal einrichten und dann hat noch mal einen Server mehr da stehen, um den man sich kümmern muss…vielleicht wenn ich mal Zeit habe…der war gut oder?

LG Dominik

Hallo nochmal,
ich habe es zum laufen bekommen.
Ab OPNSense 22.1.10 gibts unter Unbound den punkt „Query Forwarding“.
Dort musste ich manuell die DNS Server von OpenDNS eintragen und dann ging auch alles.
Jetzt habe ich das Problem das ich pro OpenDNS Account nur 3 IPs verwalten kann.
ENtweder frag ich dort beim SUpport nach ob die mir forfree mehr freischalten oder ob ich mehrere Accounts benötige…mal schauen.

Grüße
Michael

Morgen alle,
mich wundert etwas wie unreflektiert hier OpenDNS genutzt wird, gibt es dafuer irgendwelche Gruende, die sich mir nicht bekannt sind?
Ihr legt saemtliche DNS-Abfragen in die Hand eines US-amerikanischen Anbieters, alleine da rollt es mir die Zehennaegel hoch.

Moin,

ich bin offen für alternativen, die genauso gut sind und nichts kosten :smiley:

Es geht mir nicht um genauso gut, es geht um Datenschutz - der spielt fuer mich, zumindest wenn das fuer eine Institution relevant ist, eine grosse Rolle.
Wenn ich zuhause auf der Fritze OpenDNS eintrage, dann ist das meine Sache, aber hier OpenDNS quasi als status quo zu behandeln halte ich zumindest mal fuer fahrlaessig.
Pi-hole mit dem/den DNS-Servern des eigenen Providers taete ja auch filtern.

Ich geh mal davon aus, dass keiner der OpenDNS-User hier die AGB von Cisco dazu gelesen hat, wenn ja, dann mir bitte mal senden, ich finde sie naemlich auf die Schnelle nicht.

Ich bin jetzt nicht so der Datenschutzfuzzie, aber wenn wir mit jedem Serviceprovider Auftragsdatenverarbeitungs-Blabla dokumentieren muessen, dann muesste das mit unseren verwendeten Nameservern vermutlich auch gemacht werden, denn die DNS-Abfragen sind mal auf alle Faelle relevant - oder liege ich da falsch?

es ist nicht so das du nicht recht hast aber es ändert nunmal nichts an der tatsache das ich/wir etwas benötigen das gut funktioniert und kein geld kostet.
Ich bin für 28 Schulen verantwortlich und die zeigen alle mit dem finger auf mich wenn eines der kiddies auf porn oder nazikram landet.

Dann waere vermutlich auf die Schnelle auch der ganze Micro$oftmoloch Office365 mit Teams die guenstigste und vielleicht sogar die funktionsfaehigste Loesung fuer Schulen gewesen, wurde zu Recht trotzdem ausgelistet, da langfristig aber wieder Abhaengigkeit von grossen Konzernen mitsamt den ganzen Datenschutzverstoessen, bestuende, die genau diese noch maechtiger machen. Wir werden fuer so gut wie alles zahlen, was auf den ersten Blick kostenlos ist.
Ist hier ganz gut gebuendelt nachzulesen, tolle Seite: Big Data - Kunde ist der, der bezahlt

Hallo Michael,

Cleanbrowsing kommt zwar auch aus den USA, aber sie behaupten zumindest, dass sie bei Anfragen genau gar nicht loggen. Ob es stimmt - keine Ahnung. Läuft aber ohne Account.

Auch Cloudflare ist immerhin deutlich transparenter als Cisco, aber hier werden (angeblich) anonymisierte Daten gesammelt.

Beste Grüße

Jörg

hi jörg,
danke, das schau ich mir mal an.
@irrlicht
ich hab kein bock auf eine grundsatzdiskussion. wenn dus nicht einsetzen willst dann lass es. eine andere oder bessere lösung schwinst du ja selber nicht zu haben.

Hallo, klar — die zu betreuende Infrastruktur wird immer größer aber am Pi-Hole selbst muss man so gut wie nichts machen bis auf ein Update alle paar Wochen. (pi-hole -up)

Ich bin dabei so vorgegangen: Ubuntu Server VM (Proxmox) geklont (5 Minuten), Einstellungen der VM geändert, so dass das VLAN stimmt (1 Minute), Setup-Script vom Pi-Hole laufen lassen (5? Minuten), in der OPNSense die DHCP Einstellungen für das WLAN geändert und dort das Pi-Hole als einzigen Nameserver eingetragen (2 Minuten). Unterm Strich geht es also recht schnell. Am längsten dauerte die dann folgende Optimierung der Listen, die in dem Parallelthread bereits diskutiert wurde…

hth,
Michael

Ich glaube eher, dass Du keinen Bock hast von OpenDNS wegzugehen, das ist Dein Recht. Ich hab lediglich meine Bedenken geaeussert und ebenfalls eine bessere (!) Loesung angeboten - ich weiss nicht, wieso Du so angepisst reagierst.