Bei den allgemeinen DNS-Einstellungen den LMN-Server rausnehmen und dort nur den vorgelagerten DNS eintragen
Bei den Unbound-Einstellungen unter Allgemeines den Forwarding-Mode aktivieren
Bei den Unbound-Einstellungen unter Overrides ein Domain-Override für linuxmuster.lan auf die 10.0.0.1 anlegen, damit die Schulnetz-Adressen wieder aufgelöst werden
Das habe ich aber nicht getestet.
Den vorgelagerten DNS bei Samba einzutragen ist aus meiner Sicht durchaus auch eine gute Option.
In der Tat wäre es gut, wenn hier ein offiziell unterstütztes bzw. empfohlenes Vorgehen dokumentiert werden könnte.
Im UnboundDNS kann man auch keinen DNS Forwarder eintragen. Dieser nutzt die Root Nameserver:
Würde man statt dem UnboundDNS den Dnsmasq verwenden, welchen die OPNsense ebenfalls anbietet, so könnte man dort mit einer eigenen Konfigurationsdatei den DNS Forwarder eintragen z.B.:
Wenn man dnsmasq verwendet, müsste man auch noch die Domain und Host Overrides konfigurieren, so wie das Linuxmuster Setup das schon mit dem UnboundDNS vornimmt.
Man kann Webfilterung statt auf DNS Ebene auch auf URL Ebene betreiben. Diese Möglichkeit bietet der Squid Proxy bereits mit der Möglichkeit externe Filterlisten, wie z.B. die Shallalist zu integrieren. Der Vorteil gegenüber einer globalen DNS Sperrliste ist, daß man dann je nach Gruppenzugehörigkeit filtern kann. Also zum Beispiel für „teachers“ kein Filter, für „students“ der Filter. Wenn man den Aufwand der Unterscheidung nicht betreiben möchte, geht das ziemlich einfach.
der Unbound kann schon mit Forwardern umgehen. Man kann das bei der OPNSense auch im Webfrontend konfigurieren. In den Konfigurationsdateien kann man das sehr detailliert feintunen (verschiedene Forwarder für verschiedene Domains), dass sollte eigentlich die „Domain Override“ Einstellung im Webfrontend sein.
Zum SSO kann ich nichts sagen, das habe ich nicht getestet. Wenn dafür nur die internen Hosts aufgelöst werden müssen, dann sollte das so gehen (es muss dazu natürlich in der resolv.conv die 127.0.0.1 stehen). Wenn mehr erforderlich ist, dann vielleicht auch nicht. Vielleicht probiere ich es einfach mal aus. Einfacher erscheint mir aber in der Tat, einen Forwarder in Samba einzutragen.
Wie gesagt wäre es toll, wenn ein offizieller Weg dokumentiert würde, das wäre die beste Lösung.
… also ich blicke durch die hier zu treffenden Einstellungen nun auch nicht mehr durch. Bin gerade nochmal an den Anfang dieses Threads gesprungen und da gibt es bei uns einige Abweichungen. Allerdings habe ich bei Webproxy → SSO → Kerberos leider genauso viele rote wie grüne „Punkte“:
Wir haben die Webfilterung per SSO bisher nicht verwendet … ist es dennoch möglich, dass mein Anmeldeproblem unter Linux mit diesen Settings zusammenhängen könnte??
wahrscheinlich brauchen wir 2 dokumentierte Lösungswege. Einmal für einen DNS-Eintrag, z. B. für Belwue, wobei offen ist, ob der noch lange funktioniert. Dazu hat Dominik schon einmal eine Lösung vorgeschlagen:
Und außerdem die Möglichkeit der Filterung mit Listen, z. B. der shallalist.
Hi.
Ich frische diesen Thread aus aktuellem Anlass nochmal auf …
Wir nutzen im Moment kein SSO – dafür aber diverse Netze, die auch unabhängig vom „grünen“ Servernetz laufen. Also z.B. eine DMZ sowie das WLAN. Nun ist es ja eigentlich so, dass man auf der OPNSense als DNS-Server den v7-Server eintragen soll (und zwar NUR den).
Daher nochmal zu den OPNSense-Einstellungen unter
System: Einstellungen: Allgemein
Ich habe dort im Moment diese Einstellungen, frage mich aber, ob der Server 10.16.1.1 nicht an erster Stelle stehen sollte …
(Das Problem sind nicht die Clients, die der v7-Server aufgrund der devices.csv kennt – sondern alle anderen.)
Ich hole diesen Thread nochmal nach oben … ich bin gerade nochmal alles von vorne bis hinten durchgegangen.
Hier ist es genauso wie von Klaus (@garblixa ) beschrieben: Nur wenn ich auf der OPNSense unter System → Einstellungen → Allgemein bei den DNS-Servern NUR noch die 10.16.1.1 eintrage, liefert die Kerberos-Authentifizierung sofort überall grüne Häkchen.
Trage ich hingegen einen anderen DNS-Server wie z.B. 9.9.9.9 mit ein, sind einige der Haken rot.
Andererseits funktioniert aber die DNS-Auflösung vom Server aus nicht mehr, wenn dort nur die 10.16.1.1 steht (wie das ja hier mehrfach vorgeschlagen wurde).
Also konkret:
Auf dem Server liefert dig linuxmuster.net @10.16.1.1 nichts mehr, wenn auf der OPNSense kein weiterer DNS-Server neben der 10.16.1.1 eingetragen wurde.
Daher nochmal die Frage in die Runde: Welche Einstellungen für den DNS-Server im Zusammenspiel mit dem Unbound sind richtig?
[etwas später…]
Ich glaube jetzt hab ich’s!
Im Moment ist es so: Unter System → Einstellungen → Allgemein bei den DNS-Servern steht NUR die 10.16.1.1
aber unter Dienste → Unbound → Unbound DNS → Query Forwarding ist der Haken bei [ ] Use System Nameservers NICHT mehr gesetzt. Stattdessen sind die DNS-Server darunter als Custom forwarding eingetragen, damit die 10.16.1.1 in dieser Liste nun nicht mehr mit auftaucht!!
Mit diesen Einstellungen wird auf dem Server dig irgendein.server.im.inter.net richtig aufgelöst.
Auf der Firewall geht auch drill ein.server
Außerdem zeigt die Kerberos-Authentifizierung jetzt überall grüne Häkchen.
Scheint also zu passen?!
Hallo Alois … vielleicht ist das wieder so ein Fall, wo unser Setup „intern wie extern der gleiche FQDN“ zuschlägt?
Ich hatte jedenfalls bisher noch nie alle Häkchen grün bei der Kerberos-Authentifizierung – erst seitdem ich diese Einstellung gewählt habe!
hole das Ding hier nochmal hoch, weil ich auch gerne wüsste, für welches Szenario man welche Lösung jetzt empfiehlt. Und weil in der Liste alle „angeschauten“ Threads der hier sehr weit oben ist. Da wäre schon wichtig bei welchem Post jetzt der „gelöst“ Haken erscheint.
Ich habe bei mir nämlich schon mehrfach das Problem bekommen, dass gar nichts mehr ging, sobald ein Fehler im Netzwerk auftaucht.
Beispiel: Firewall bootet ohne externen Netzwerkzugang.
Dann kommt der Netzwerkzugang hoch bzw. läuft, die Firewall kann DNS auflösen, aber intern geht gar nichts. Der Samba löst nichts auf usw.
Das war nur eines (eher seltenes) von mehreren Szenarien, wo ich erst bei kompletter Netzwerkfunktionialität Firewall + Server rebooten musste, damit sie DNS wieder auflösen.
Ich habe die starke Vermutung, dass das mit dem (wg. SSO) propagierten Zirkelschluss zusammenhängt, die 10.16.1.1 als DNS-Server in der Firewall einzutragen.
Mögliche Szenarien sind:
SSO oder kein SSO
squid-proxy-filterung gewünscht oder nicht
interner und externer DNS-Name gleich oder verschieden
(neu für mich) DNS-Auflösung bei wireguard tunnel oder ohne
Hallo, ich habe in letzter Zeit massive DNS-Probleme:
Mir ist aufgefallen, dass bei mir auf dem Server in der resolv.conf folgendes steht:
root@server:~# cat /etc/resolv.conf
# created by linuxmuster-setup 2020-03-18 08:47:32
search linuxmuster.lan
nameserver 10.0.0.1
nameserver 10.0.0.254
Bei @garblixa steht die IP der OpnSense nur in der smb.conf als dns-forwarder. Kann sein, dass das noch ein altes mitgeführtes Überbleibsel ist. Die resolv.conf von mir ist ja etwas älter als die von Klaus.
Muss ich den Eintrag nameserver 10.0.0.254 in der resolv.conf auf dem Server löschen?
LG Daniel
bei mir stehen die gleichen Angaben auf dem Server in der resolv.conf
Ich kann keine Probleme beobachten.
Was ich aber beobachten kann sind DNS Probleme von vodafon in den letzten Wochen.
Ich habe Kabel Businessanschlüsse und die dort genannten DNS habe ich letzte Woche alle gegen andere ausgetauscht, weil die andauernd nicht geantwortet haben.
Hallo Holger,
ich weiß gar nicht was unser Provider ist, das läuft über einen Glasfaseranschluss eines Dienstleisters der Stadt. Habe ich mir schon gedacht, dass es dieser Eintrag nicht ist.
In den allgemeinen Einstellungen der OpnSense steht unter DNS 10.0.0.1.
Das DNS Problem äußert sich dahingehend, dass bei steigender User Anzahl die Auflösung der Seiten zT ewig dauert. Ich vermute irgendwelche DNS-Loops im Netzwerk.
LG Daniel
