doch bei mir sind jetzt alle grün nachdem ich den localhost raus genommen habe
ja zwischen fritzbox und opnsense
ja ich musste nur die ports von innen nach außen freigeben also 80 443 und 53 und noch ein paar andere für mail usw
Lg Pascal
Hallo Pascal,
Das weiß ich leider nicht. Wenn Pihole und SSO mit den Einstellungen funktioniert sollte es doch passen. Die ursprüngliche Frage ging ja darum, ob der lmn Server auf der Firewall eingetragen werden sein muß. Für SSO definitiv ja.
Viele Grüße
Klaus
Hallo zusammen,
auf eine Anfrage von mir zum Thema DNS hin hat mich Holger auf diesen Thread hingewiesen, wonach mir Manches klarer wurde. Danke dafür an dieser Stelle.
Was mir aber noch unklar ist:
Wenn eine DNS-Anfrage des client an den limu-server erfolgt, der wiederum die firewall befragt, der wiederum als DNS die IP des servers enthält, kommt es in deiner Konfiguration zu einem Abfrage-loop, wenn Unbound-DNS im der Weiterleitungs-Modus aktiviert ist.
D.h. man sollte Unbound DNS nicht im Weiterleitungs-Modus betreiben.
In dieser Konfiguration ist der limu-server der zuständige DNS-server für linuxmuster.lan.
Bloß, wenn Unbound DNS nicht auf einen anderen externen DNS server zurückgreift, wie löst er dann externe Namen auf?
Irgendwo muss doch schließlich auf einen externen DNS server verwiesen werden, um Namen außerhalb linusmuster.lan aufzulösen.
Anlass meiner Anfrage ist der für Belwue-Kunden angebotene Jugendschutzfilter, der auf DNS-basiert. Um den JSF zu nutzen, gibt man als externe DNS 129.143.4.3 ein (ohne JSF 129.143.2.1).
An welcher Stelle trage ich diese IP in deiner Konfiguration ein?
Grüße, sino
Hallo sino,
Richtig, das hatte ich so beschrieben.
Über die Root Nameserver?
Ich würde dann versuchen den DNS Forwarder in der Samba Konfiguration zu ändern. Die Clients nutzen ja den Server als DNS Resolver, welchen sie über DHCP bekommen.
/etc/samba/smb.conf.admin
[global]
dns forwarder = 129.143.4.3Klappts?
Viele Grüße
Klaus
Hallo,
die Clients müssen zwingend den LMN-Server als DNS-Server nutzen, weil sonst die Namensauflösung im Schulnetz nicht funktioniert und damit auch die Anmeldung an der Domäne etc. nicht klappt.
Der LMN-Server löst Anfragen für das lokale Netz auf und reicht den Rest an die Firewall weiter.
Auf der Firewall werden die Namen dann abhängig von der Außenanbindung aufgelöst. Entweder über den DNS des Providers oder über einen Server wie Quad9, oder die Firewall macht alles selbst rekursiv.
Bei einer anderen Konfiguration wird man sich nur Probleme einhandeln.
Beste Grüße
Jörg
Hallo Klaus,
Tausend Dank, Ja, es klappt.
Das ist genau die Stelle für den JSF (hätte ich nach gründlicherem Nachdenken auch selbst drauf kommen können, aber manchmal sieht man den Wald vor lauter Bäumen nicht…).
Bevor ich das produktiv einsetzen kann, muss ich allerdings ein weiteres Problem lösen:
Zum Testen hatte ich an Stelle der Fritzbox den Port des Cisco-Routers von Belwü (über das rote Netz der Firewall) mit dem Server verbunden.
Nun läuft aber vom Keller (wo die Cisco steht) leider nur ein Netzwerkkabel „nach oben“, was bislang für das Verwaltungsnetz genutzt wurde.
Da es keine einfache Möglichkeit gibt, mal eben ein zweites LAN-Kabel für das (vom Verwaltungsnetz zu trennende) päd. Netz zu ziehen, wollte ich mit (tagged) VLAN beide Netze über dieses eine LAN-Kabel übertragen, was auf Anhieb erst mal scheiterte.
Da VLAN an dieser Stelle etwas off topic ist, werde ich schauen, wo im Forum ich mein VLAN-Problem thematisch passend unterbringen kann.
Würde mich über jeden noch so kleinen Hinweis freuen, wenn ich mal wieder den Wald vor lauter Bäumen nicht sehe.
Grüße, sino
Hallo Sino,
wenn du einen neuen Post aufmachst, beschreibe auch gleich deine Hardware unten im Keller und am anderen Ende der Verbindung.
Beste Grüße
Thorsten
Hallo Sino,
heißt das auch, dass bei dir mit dieser Konfiguration bislang keine Authentifizierungsprobleme aufgetaucht sind?
Viele Grüße
Wilfried
Hallo Wilfried,
falls mit „Authentifizierungsprobleme“ gemeint ist, dass ein login scheitert:
bislang keine Probleme.
Finde die DNS-Konfiguration mit den wechselseitigen Verweisen zwischen Firewall und Limu-Server etwas tricky, weshalb ich anfangs nicht wusste, wo in der Konfiguration die DNS für den JSF von Belwü ohne Nebenwirkungen einzutragen ist. Vllt. kann jemand den Weg einer DNS-Anfrage vom client in einem Diagramm darstellen.
Grüße, sino
Hallo Klaus,
dann würde der samba diesen DNS als externen DNS nutzen. Die Clients fragen aber weiterhin den lmn Server, oder?
Ich will ja den DNS im Netz schon in der Hand haben…
Ich stimme Ersin zu wenn er sagt, dass das alles kompliziert und undurchsichtig ist.
Der Sachverhalt ist komplex: OK, aber wir müssen irgend wo dokumentieren, wie das mit dem DNS läuft.
Ich verstehe, warum die Firewall den Server fragen muss: sonst kennt sie die Client im Netz nicht (wenn sie direkt einen externen DNS fragt).
Ich verstehe auch dass der samba ein zentraler Dienst im Netz ist, der sehr viele Dinge in der Hand haben muss: aber warum haben wir dann noch einen bind auf dem Server?
Was ich nicht verstehe: in meinem Netz steht wirklich überall der Server als DNS drin: auch am Server selbst.
Warum schafft es dieses Sammelsurium an Schleifen externe domains auf zu lösen? Und dass seit langem?
Bei mir steht z.B. in der /etc/samba/smb.conf als dns forwarder die Firewall drin … also eine weitere Schleife.
LG
Holger
Hallo Holger
Ja, die Clients bekommen den Samba4 DNS-Server per DHCP zugewiesen.
Genau z.B. wenn man in den Firewall Aliases Hostnamen stehen hat, oder für das SingleSignOn. Wenn man in der Firewall andere Nameserver zusätzlich zum Linuxmuster Server stehen hat, dann gibt es im Kerberos Test unter Dienst - WebProxy - SingleSignOn - Kerberos-Authentifizierung immer wechselnde Fehler
Haben wir nicht. Wenn, dann kann er nicht aktiv sein, weil Port 53 für DNS der Samba belegt. Es ist nur das Paket bind9-host installiert welches das Binary „host“ beinhaltet.
Bei mir steht auch überall der Server als DNS drinnen. Der DNS Forwarder ist, wie Du schreibst per Default die Firewall in /etc/samba/smb.conf. Dort wird dann der UnboundDNS gefragt, welcher die Root Nameserver nach den externen Adressen fragt.
Zusammenfassung:
- Linuxmuster stellt mit samba4 den DNS Server für das LAN. Zugewiesen über DHCP an die Clients. Siehe /etc/dhcp/dhcpd.conf. Die Clients fragen für linuxmuster.lan(oder die konfigurierte lokale Domain) den Server und bekommen direkt die Antwort
- Für externe Adressen fragt der Server den UnboundDNS der Firewall. Konfiguriert über den Parameter „dns forwarder“ in /etc/samba/smb.conf. Der UnboundDNS der Firewall beantwortet die Anfrage, indem er die Root Nameserver befragt.
- Die Firewall selber hat als Nameserver nur den Linuxmuster Server eingetragen, damit das SSO einwandfrei funktioniert.
Will man jetzt nicht den UnboundDNS der Firewall als Forwarder nutzen, sondern einen anderen Nameserver, dann muß man das in der Samba Konfiguration machen. Wenn man kein SSO braucht, kann das Setup anders aussehen.
Das sind zumindest meine Erkenntnisse.
Viele Grüße
Klaus
Hallo,
man muss zwei Dinge unterscheiden:
-
die Einstellung im Betriebssystem, welcher DNS-Server verwendet wird, wenn ein Name aufgelöst werden soll
-
ein Resolver-Dienst, der auf dem Rechner läuft
Wenn man auf der Firewall also z. B. „Ping www.heise.de“ absetzt, dann befragt das Betriebssystem den dort konfigurierten DNS-Server - hier der LMN-Server.
Der hat als Forwarder die Firewall eingetragen. Das ist aber jetzt nicht das Betriebssystem der Firewall, sondern ein unabhängiger Dienst, der auf Port 53 lauscht (hier ein Unbound).
Das ist also insofern ein Zirkel, als die Anfrage zum selben Rechner zurückläuft. Es ist aber kein Zirkel, was den Mechanismus angeht.
Die Logik ist also: Alle Rechner im Schulnetz - auch die Firewall - fragen den LMN-Server. Der kann die Anfrage entweder selbst beantworten, oder er leitet sie über de Unbound auf der Firewall ins Internet weiter.
Einen filternden DNS-Server trägt man also im Unbound (nicht: im OS) auf der Firewall ein. Man kann ihn auch beim LMN-Server eintragen, dann wird der Unbound auf der Firewall nicht genutzt.
Beste Grüße
Jörg
Hallo Jörg,
Das wäre die sauberste Lösung, da man das Setup des LMN Servers nicht verändern müsste. Nur kenne ich im UnboundDNS keine Möglichkeit einen Forwarder zu konfigurieren. Wo trägst Du diesen ein?
Viele Grüße
Klaus
Hallo Sino,
die nachfolgende Diskussion scheint mir zwar noch nicht zu einem abschließenden Ergebnis gekommen zu sein, aber es ist gut, dass sie geführt wird: Eine Schullösung braucht natürlich eine Möglichkeit der Webfilterung.-
Noch eine Frage zu deinem augenblicklichen Stand: Was steht bei deinen Clients in den Einstellungen für den Netzwerkproxy?
Viele Grüße
Wilfried
Hallo Wilfried,
beim Proxy steht der Name der Firewall:
firewall.linuxmuster.lan
und der Port:
3128
Das ist hier beschrieben:
LG
Holger
Hallo,
super: vielen Dank, jetzt hab ich es kapiert.
… allerdings bleibt eine Frage offen. Ich weiß jetzt wo der externe DNS hin muss: in den unbound auf der OPNsense… nun steht da aber keiner.
Wie löst mein Netz den nun externe domains auf? … wenn nirgendwo ein externer DNS eingetragen ist?
Bei den Einstellungen des unbound hab ich auch kein Feld gesehen wo man einen DNS eintragen könnte …
LG
Holger
Hallo Holger,
Das müsstest Du mit dem dig-Befehl sehen können … sowas wie:
dig @10.16.1.1 firewall fragt den lml7-Server nach dem Namen …
dabei kannst du natürlich das @ … auch weglassen und eine externe domain nehmen, sowas wie: dig (mit/ohne @firewall) heise.de
hth,
Michael
Hallo Holger,
da gibt es nun viele Möglichkeiten. Eine wäre:
- Bei den allgemeinen DNS-Einstellungen den LMN-Server rausnehmen und dort nur den vorgelagerten DNS eintragen
- Bei den Unbound-Einstellungen unter Allgemeines den Forwarding-Mode aktivieren
- Bei den Unbound-Einstellungen unter Overrides ein Domain-Override für linuxmuster.lan auf die 10.0.0.1 anlegen, damit die Schulnetz-Adressen wieder aufgelöst werden
Das habe ich aber nicht getestet.
Den vorgelagerten DNS bei Samba einzutragen ist aus meiner Sicht durchaus auch eine gute Option.
In der Tat wäre es gut, wenn hier ein offiziell unterstütztes bzw. empfohlenes Vorgehen dokumentiert werden könnte.
Beste Grüße
Jörg
Hallo Holger,
Im UnboundDNS kann man auch keinen DNS Forwarder eintragen. Dieser nutzt die Root Nameserver:
Würde man statt dem UnboundDNS den Dnsmasq verwenden, welchen die OPNsense ebenfalls anbietet, so könnte man dort mit einer eigenen Konfigurationsdatei den DNS Forwarder eintragen z.B.:
/usr/local/etc/dnsmasq.conf.d/linuxmuster.conf
# DNS Forwarder
server=8.8.8.8Im letzten Abschnitt der OPNsense Dokumentation unter „Advanced Settings“ ist das beschrieben:
https://docs.opnsense.org/manual/dnsmasq.html
Wenn man dnsmasq verwendet, müsste man auch noch die Domain und Host Overrides konfigurieren, so wie das Linuxmuster Setup das schon mit dem UnboundDNS vornimmt.
Viele Grüße
Klaus
Hallo Jörg,
Dann funktioniert das SSO des Squid Proxy nicht zuverlässig bzw. gar nicht. Das kann keine offizielle Empfehlung sein.
Viele Grüße
Klaus