Hallo,
wahrscheinlich brauchen wir 2 dokumentierte Lösungswege. Einmal für einen DNS-Eintrag, z. B. für Belwue, wobei offen ist, ob der noch lange funktioniert. Dazu hat Dominik schon einmal eine Lösung vorgeschlagen:
Und außerdem die Möglichkeit der Filterung mit Listen, z. B. der shallalist.
Viele Grüße
Wilfried
Hallo Holger,
so funktioniert es auch bei meinen Clients. Mich hat nur interessiert, ob sich da clientseitig bei der „Samba-Lösung“ etwas ändert.
Viele Grüße
Wilfrired
Hallo Michael,
nur wenn die Clients den Namen
server
nicht auf die IP des Servers auflösen können.
Aber das würde alle betreffen, nicht einzelne.
LG
Holger
Hallo,
ich habe heute mal die „Samba-Lösung“ ausprobiert:
und ein Samba-Neustart: /etc/init.d/smbd restart
Außerdem habe ich in der OPNsense wie von Dominik an anderer Stelle vorgeschlagen folgende Einstellungen geändert:
Beim Test am Client scheint nun tatsächlich gefiltert zu werden.
Viele Grüße
Wilfried
Hi.
Ich frische diesen Thread aus aktuellem Anlass nochmal auf …
Wir nutzen im Moment kein SSO – dafür aber diverse Netze, die auch unabhängig vom „grünen“ Servernetz laufen. Also z.B. eine DMZ sowie das WLAN. Nun ist es ja eigentlich so, dass man auf der OPNSense als DNS-Server den v7-Server eintragen soll (und zwar NUR den).
Daher nochmal zu den OPNSense-Einstellungen unter
Ich habe dort im Moment diese Einstellungen, frage mich aber, ob der Server 10.16.1.1 nicht an erster Stelle stehen sollte …
(Das Problem sind nicht die Clients, die der v7-Server aufgrund der devices.csv kennt – sondern alle anderen.)
Wie habt ihr das eingestellt?
Danke.
Michael
Ich hole diesen Thread nochmal nach oben … ich bin gerade nochmal alles von vorne bis hinten durchgegangen.
Hier ist es genauso wie von Klaus (@garblixa ) beschrieben: Nur wenn ich auf der OPNSense unter System → Einstellungen → Allgemein bei den DNS-Servern NUR noch die 10.16.1.1 eintrage, liefert die Kerberos-Authentifizierung sofort überall grüne Häkchen.
Trage ich hingegen einen anderen DNS-Server wie z.B. 9.9.9.9 mit ein, sind einige der Haken rot.
Andererseits funktioniert aber die DNS-Auflösung vom Server aus nicht mehr, wenn dort nur die 10.16.1.1 steht (wie das ja hier mehrfach vorgeschlagen wurde).
Also konkret:
Auf dem Server liefert dig linuxmuster.net @10.16.1.1 nichts mehr, wenn auf der OPNSense kein weiterer DNS-Server neben der 10.16.1.1 eingetragen wurde.
Daher nochmal die Frage in die Runde: Welche Einstellungen für den DNS-Server im Zusammenspiel mit dem Unbound sind richtig?
[etwas später…]
Ich glaube jetzt hab ich’s!
Im Moment ist es so: Unter System → Einstellungen → Allgemein bei den DNS-Servern steht NUR die 10.16.1.1
aber unter Dienste → Unbound → Unbound DNS → Query Forwarding ist der Haken bei [ ] Use System Nameservers NICHT mehr gesetzt. Stattdessen sind die DNS-Server darunter als Custom forwarding eingetragen, damit die 10.16.1.1 in dieser Liste nun nicht mehr mit auftaucht!!
Mit diesen Einstellungen wird auf dem Server
dig irgendein.server.im.inter.net richtig aufgelöst.
Auf der Firewall geht auch
drill ein.server
Außerdem zeigt die Kerberos-Authentifizierung jetzt überall grüne Häkchen.
Scheint also zu passen?!
Viele Grüße,
Michael
Hallo Michael,
Bei mir ist dort nichts konfiguriert. Trotzdem funktioniert die Namensauflösung vom Server mit
dig irgendein_server_im_netz
Geht auch bei mir ohne die Konfiguration.
Viele Grüße
Alois
Hallo Alois … vielleicht ist das wieder so ein Fall, wo unser Setup „intern wie extern der gleiche FQDN“ zuschlägt?
Ich hatte jedenfalls bisher noch nie alle Häkchen grün bei der Kerberos-Authentifizierung – erst seitdem ich diese Einstellung gewählt habe!
Viele Grüße,
Michael
Hallo Michael,
danke, bei mir sind die Haken grün ohne die „Dienste → Unbound → Unbound DNS → Query Forwarding“ Einstellung.
Viele Grüße
Alois
Hallo,
hole das Ding hier nochmal hoch, weil ich auch gerne wüsste, für welches Szenario man welche Lösung jetzt empfiehlt.
Und weil in der Liste alle „angeschauten“ Threads der hier sehr weit oben ist. Da wäre schon wichtig bei welchem Post jetzt der „gelöst“ Haken erscheint.
Ich habe bei mir nämlich schon mehrfach das Problem bekommen, dass gar nichts mehr ging, sobald ein Fehler im Netzwerk auftaucht.
Beispiel: Firewall bootet ohne externen Netzwerkzugang.
Dann kommt der Netzwerkzugang hoch bzw. läuft, die Firewall kann DNS auflösen, aber intern geht gar nichts. Der Samba löst nichts auf usw.
Das war nur eines (eher seltenes) von mehreren Szenarien, wo ich erst bei kompletter Netzwerkfunktionialität Firewall + Server rebooten musste, damit sie DNS wieder auflösen.
Ich habe die starke Vermutung, dass das mit dem (wg. SSO) propagierten Zirkelschluss zusammenhängt, die 10.16.1.1 als DNS-Server in der Firewall einzutragen.
Mögliche Szenarien sind:
VG, Tobias
Hallo, ich habe in letzter Zeit massive DNS-Probleme:
Mir ist aufgefallen, dass bei mir auf dem Server in der resolv.conf folgendes steht:
root@server:~# cat /etc/resolv.conf
# created by linuxmuster-setup 2020-03-18 08:47:32
search linuxmuster.lan
nameserver 10.0.0.1
nameserver 10.0.0.254
Bei @garblixa steht die IP der OpnSense nur in der smb.conf als dns-forwarder. Kann sein, dass das noch ein altes mitgeführtes Überbleibsel ist. Die resolv.conf von mir ist ja etwas älter als die von Klaus.
Muss ich den Eintrag nameserver 10.0.0.254 in der resolv.conf auf dem Server löschen?
LG Daniel
Hallo Daniel,
bei mir stehen die gleichen Angaben auf dem Server in der resolv.conf
Ich kann keine Probleme beobachten.
Was ich aber beobachten kann sind DNS Probleme von vodafon in den letzten Wochen.
Ich habe Kabel Businessanschlüsse und die dort genannten DNS habe ich letzte Woche alle gegen andere ausgetauscht, weil die andauernd nicht geantwortet haben.
Was steht den bei dir in der OPNsense als DNS?
LG
Holger
Hallo Holger,
ich weiß gar nicht was unser Provider ist, das läuft über einen Glasfaseranschluss eines Dienstleisters der Stadt. Habe ich mir schon gedacht, dass es dieser Eintrag nicht ist.
In den allgemeinen Einstellungen der OpnSense steht unter DNS 10.0.0.1.
Das DNS Problem äußert sich dahingehend, dass bei steigender User Anzahl die Auflösung der Seiten zT ewig dauert. Ich vermute irgendwelche DNS-Loops im Netzwerk.
LG Daniel