OPNSense: Welche Einstellungen bei DNS-Server?

Hallo.

Ich habe auf der OPNSense unter
System --> Einstellungen --> Allgemein --> DNS-Server
gesehen, dass es dort u.a. den Eintrag 10.16.1.1 gibt.
Was steht da bei Euch? Das scheint mir falsch/überflüssig zu sein…!?

Schöne Grüße,
Michael

Da steht bei mir auch die 10.16.1.1 ich habe das so gelassen und unter drunter einfach mein pihole für die schule funktioniert bei mir

… ok, jetzt mal vom Pi-Hole unabhänging: Ergibt die v7-Server-Adresse da Sinn? Ich hatte es immer so in Erinnerung, dass ein Client z.B. im grünen Netz den Server als DNS-Server befragen kann, der dann wiederum die Firewall als DNS-Server befragt!?

Wenn aber die OPNSense selbst die 10.16.1.1 eingetragen hat, dreht man sich doch im Kreis – oder wie siehst du das?

nein die gibt da eigentlich keinen sinn

ja eigentlich schon aber soll man da dann den dns vom ISP eintragen oder einen exteren?
Ich muss mal testen was passiert wenn ich nur einen externen dns eintrage und die 10.16.1.1 lösche

Habe da alle Einträge gelöscht, auch die 10.0.0.1, 192.168.178.1 (Router), OpenDNS (208.67.222.123) als DNS.Server eingetragen. Hat keine Auswirkungen, egal was drin steht.

Hi. Wundert mich auch. Könnte mir aber gut vorstellen, dass die Eintragungen, die man bei den DHCP Servern macht, Vorrang haben???

Hallo Michael,

die Server Adresse als Nameserver in der OPNsense macht Sinn, weil sonst das Single-Sign-On nicht funktioniert. Da muß der Name des Servers in der LDAP Konfiguration aufgelöst werden. Ebenso könntest Du sonst keine Hostnamen unter Firewall - Aliase - NoProxy eintragen etc.

Ich habe folgende Einstellungen:

root@firewall:~ # cat /etc/resolv.conf 
domain linuxmuster.lan
nameserver 10.0.0.1
root@server:~# cat /etc/resolv.conf 
# created by linuxmuster-setup 2020-07-22 14:44:06
search linuxmuster.lan
nameserver 10.0.0.1
root@server:~# grep dns /etc/samba/smb.conf
dns forwarder = 10.0.0.254

Heißt, die OPNsense frägt für eigene Abfragen den Server. Dieser nutzt für Hosts, welcher er nicht selber auflösen kann den Unbound DNS der OPNsense.

Mit diesen Einstellungen funktioniert auch die Kerberos Abfrage der OPNsense zuverlässig und nicht zufällig. D.h. Unter Dienste - WebProxy - Single Sign-On - Kerberos Authentifizierung sind immer alle Haken grün und nicht wechselnd manchmal.

Viele Grüße
Klaus

Den Loop hättest Du, wenn Du unter Dienste - Unbound DNS - Allgemein - Weiterleitungs-Modus aktivieren würdest. Dann könnten mit meiner oben geposteten Konfiguration keine externen Adressen mehr aufgelöst werden.

Viele Grüße
Klaus

Hallo Klaus. Danke für die Klärung. Heißt das dann aber auch: dort NUR den Eintrag des lmn-Servers rein und auf keinen Fall andere/zusätzliche DNS-Server??
Schöne Grüße
Michael

Hallo Michael,

wenn Du mit dem SSO dann keine Probleme hast dann kann dort auch zusätzlich der Forwarding Nameserver rein.

Viele Grüße
Klaus

OK, SSO ist bisher noch nicht aktiviert. Daher kann ich noch nix dazu sagen… Aber es steht auf der nach unten ziemlich langen To-do-Liste…

Hallo zusammen

bei mir steht da

# cat /etc/resolv.conf
domain linuxmuster.lan
nameserver 127.0.0.1
nameserver 10.16.1.1
nameserver 192.168.178.20

wie werde ich den die localhost adresse los?

das ist bei mir nämlich ein fehler im SSO

seltsamerweise steht bei mir unter den allgemeinen einstellungen nur die

10.16.1.1 und 192.168.178.20 also pihole

und unter unbound dns ist bei mir die Weiterleitung aktiviert trotzdem wird extern aufgelöst

Lg Pascal

Hallo Pascal

System - Einstellungen - Allgemein
Do not use the local DNS service as a nameserver for this system

Weil Du den 192.168.178.20 in der resolv.conf hast. Heißt, der Unbound DNS frägt den 192.168.178.20. Damit gibt es keinen Abfrage Loop.

Viele Grüße
Klaus

Hallo Pascal,
Hier bin ich anders vorgegangen. Ich will das Pi-Hole bei uns ja nur im WLAN betreiben (und nicht überall). Daher habe ich die IP des Pi-Holes auch nur bei den DHCP-Settings für das WLAN („blau“) als primären DNS Server eingetragen. In den „allgemeinen DNS Einstellungen“ taucht der hier jedenfalls nicht auf…

Daher die Rückfrage: ist das Pi-Hole bei dir überall aktiviert?
Schöne Grüße
Michael

Hallo Klaus

kann ich das so lassen oder muss ich die Adresse vom pi hole woanders eintragen ?
Damit es richtig benutzt wird und nicht in die quere mit dem anderen DNS kommt?

ja ich möchte ja auch wenn die Schüler am PC sitzen und im Internet recherchieren das ein filter aktiv ist
und bei uns in Hessen ist es sogar so das jede schule einen Schulfilter haben muss das witzige ist nur es muss einer vorhanden sein und wie gut der ist ist unwichtig :smile:

LG Pascal

Hallo zusammen.

… also dass da alle Haken grün sind, hatte ich noch nie, glaube ich?!!

In welchem Netz läuft dein Pi-Hole? Ist das hinter einer Fritzbox – also quasi im roten Netz?
Da musstest du vermutlich zusätzliche Firewallregeln einfügen??

Schöne Grüße
Michael

doch bei mir sind jetzt alle grün nachdem ich den localhost raus genommen habe

image

ja zwischen fritzbox und opnsense

ja ich musste nur die ports von innen nach außen freigeben also 80 443 und 53 und noch ein paar andere für mail usw

Lg Pascal

Hallo Pascal,

Das weiß ich leider nicht. Wenn Pihole und SSO mit den Einstellungen funktioniert sollte es doch passen. Die ursprüngliche Frage ging ja darum, ob der lmn Server auf der Firewall eingetragen werden sein muß. Für SSO definitiv ja.

Viele Grüße
Klaus

Hallo zusammen,

auf eine Anfrage von mir zum Thema DNS hin hat mich Holger auf diesen Thread hingewiesen, wonach mir Manches klarer wurde. Danke dafür an dieser Stelle.

Was mir aber noch unklar ist:

Wenn eine DNS-Anfrage des client an den limu-server erfolgt, der wiederum die firewall befragt, der wiederum als DNS die IP des servers enthält, kommt es in deiner Konfiguration zu einem Abfrage-loop, wenn Unbound-DNS im der Weiterleitungs-Modus aktiviert ist.

D.h. man sollte Unbound DNS nicht im Weiterleitungs-Modus betreiben.
In dieser Konfiguration ist der limu-server der zuständige DNS-server für linuxmuster.lan.

Bloß, wenn Unbound DNS nicht auf einen anderen externen DNS server zurückgreift, wie löst er dann externe Namen auf?

Irgendwo muss doch schließlich auf einen externen DNS server verwiesen werden, um Namen außerhalb linusmuster.lan aufzulösen.

Anlass meiner Anfrage ist der für Belwue-Kunden angebotene Jugendschutzfilter, der auf DNS-basiert. Um den JSF zu nutzen, gibt man als externe DNS 129.143.4.3 ein (ohne JSF 129.143.2.1).

An welcher Stelle trage ich diese IP in deiner Konfiguration ein?

Grüße, sino

Hallo sino,

Richtig, das hatte ich so beschrieben.

Über die Root Nameserver?

Ich würde dann versuchen den DNS Forwarder in der Samba Konfiguration zu ändern. Die Clients nutzen ja den Server als DNS Resolver, welchen sie über DHCP bekommen.

/etc/samba/smb.conf.admin

[global]
dns forwarder = 129.143.4.3

Klappts?

Viele Grüße
Klaus