VorgabeDNS wird ignoriert

Hallo,

ich habe in der Opnsense als Vorgabe den Belwue Jugendschutz DNS eingetragen. Zusätzlich habe ich eine Regel in der Opnsense eingerichtet, die alle DNSanfragen abfängt, die an der Firewall vorbei gehen wollen.

Ein dig @129.143.4.3 web.de und anpingen des DNS funktioniert aus dem Lan. IPv6 ist nach außen auch dicht.

Leider funktioniert die Filterung überhaupt nicht. Bei Belwue haben sie festgestellt, dass es auf den DNS bei ihnen keine Treffer gibt (außer den dig und die pings von oben)…irgendwie muss da noch wo anders eine Namensauflösung stattfinden…

Bitte um Mithilfe bei der Fehlersuche, da ich keine Ideen mehr habe.

VG

Dominik

Hallo Dominik,

nur so als Idee: blockierst Du Dir nicht mit der Regel ALLE dns-Anfragen? Was passiert, wenn du die rausnimmst, kommt dann etwas an?

LG
Max

Hi Max,

…ja aber das ist ja gerade die Idee. In Regel 1 erlaube ich DNS nur über die Opnsense und in Regel 2 verbiete ich alle weiteren DNS Anfragen, also insbesondere alle Geräte die einen anderen DNS fragen. So habe ich das als Tipp aus dem Opnsense Forum.

Die Namensauflösung funktioniert so auch problemlos nur werden Schmuddelseiten leider nicht vom Belwue DNS, der in der Opnsense als DNS eingetragen ist gefiltert. Es muss also trotz der Regeln irgendein anderer DNS befragt werden als der Belwue DNS…ich weiß nur nicht warum und welcher. Auf jeden Fall funktioniert im Moment keine Webfilterung über den Belwue DNS aus dem LAN und des ist halt Mist.
Hat das schon jemand funktionierend am laufen oder eine Idee wo mein Problem herkommen könnte?

VG
Dominik

Hallo Dominik,

hast du nur den filternden DNS von BelWü drin oder auch einen anderen?
Vielleicht ignoriert er den ersten und nimmt den zweiten (was weiß ich
weswegen … mangelndes DNSsec?)

LG

Holger

Hi,

habe nur den Belwue DNS drin.

LG
Dominik

Hallo Dominik,

schon mal schlecht ist, dass Du aus dem LAN eine DNS-Abfrage bei Belwü machen kannst - das sollte Deine Regel ja genau verbieten.

Welcher DNS ist den auf den Clients konfiguriert? Der LML-Server oder die Firewall?

Beste Grüße

Jörg

Hi,

…auf den Clients ist der Lml Server als einziger DNS eingetragen…das bekommen die ja sowieso per DHCP. Auf dem Server steht dann in der smb.conf die Opnsense als DNS Forwarder…genau deswegen bin ich ja so verwirrt…eigentlich sollte schon im Auslieferungszustand keine andere Namensauflösung außer auf der Opnsense stattfinden…

VG
Dominik

Hallo Dominik,

das ist dann schon mal richtig. Und die Firewall soll dann den Belwü-DNS nutzen.

Ich sehe zwei Ansatzpunkte - es sind auch zwei verschiedene Probleme: Schritt für Schritt testen, ob diese Kette auch wirklich genutzt wird, um herauszufinden, an welcher Stelle der falsche DNS-Server ins Spiel kommt. Und zum anderen würde ich bei der Firewall mal bei allen relevanten Regeln das Logging einschalten und dann dort nachforschen (da gibt es irgendwo eine Art Live-View, echt schick), denn offenbar greift ja die Firewallregel nicht, die DNS aus dem LAN blockieren soll.

Beste Grüße

Jörg

Hi Jörg,
ich habe vor meinem Urlaub schon etwas geforscht…

doch die Regel greift, denn wenn ich die allow Regel für DNS über die Opnsense raus nehme, so dass nur noch die deny Regel drin steht, dann funktioniert aus dem gesamten LAN keine Namensauflösung mehr; also weder von den Clients noch vom Server. Ich vermute also mal, dass die Opnsense einen falschen DNS befragt…denke ich da richtig? Ich glaube, dass mir irgendwo der Unbound rein spuckt. Habe aber keine genaue Idee.

VG Dominik

Hallo Dominik,

Du schreibst "dig @129.143.4.3 web.de funktioniert aus dem LAN" - oder habe ich das falsch verstanden?

Auf der Firewall könhtest Du mal kontrollieren:

Ist beim DNS-Resolver die Option „DNS Query Forwarding“ aktiviert?

Ist bei „System -> Settings -> General“ die Option „Allow DNS server list to be overridden by DHCP/PPP on WAN“ deaktiviert? Das ist narütlich nur relevant, wenn Du extern DHCP machst.

Beste Grüße

Jörg

Hallo Jörg,

nein das hast du richtig verstanden.

das hatte ich versucht aber wenn ich diese Option setze funktioniert keine Namensauflösung im LAN mehr.

ja ist deaktiviert.

VG
Dominik

Hallo Dominik,

wenn Du aus dem LAN direkt den Belwü-DNS erreichst, dann funktioniert Deine zweite Firewall-Regel nicht - denn die sollte genau das blockieren. Nur die Firewall selbst darf das. Wobei das natürlich das kleinere Problem ist, die Regel dient ja nur dazu zu verhindern, dass jemand den Belwü-DNS umgeht.

Das Hauptproblem ist das „DNS Query Forwarding“. Wenn Du das deaktivierst, dann arbeitet der Unbound selbst als Resolver. Nur wenn die Option aktiviert ist, wird ein vorgelagerter DNS-Proxy genutzt (also der Belwü-DNS).

Das musst Du also wieder aktivieren. Du schreibst, dass dann gar nichts mehr geht - dem müsstest Du nachgehen. Vielleicht brauchst Du noch eine Regel, die den Belwü-DNS explizit zulässt. Wie gesagt würde ich überall mal das Logging einschalten und versuchen herauszufinden, wie die DNS-Abfragen derzeit laufen, und welche Regel zuschlägt, wenn Du das DNS Query Forwarding aktivierst.

Ich kann es zur Zeit leider nicht selbst testen - habe gerade keine LML7-Umgebung zur Hand.

Beste Grüße

Jörg

…danke Jörg für die Tipps!

…nach dem lml Setup ist diese Option aus, d
h. man muss sie überhaupt erst mal aktivieren…ich denke daher, dass einige über mein beschriebenes Problem stolpern, sobald sie sich mit der Webfilterung beschäftigen. Für mich hatte das auch erst mal keine Priorität, weil so viele Probleme zu lösen waren.

Ich werde der Sache nach meinem Urlaub mal nachgehen und dann wieder melden, sofern nicht jemand anders vorher hier eine Lösung präsentiert :wink:.

VG
Dominik

Hallo Jörg,

Ich kann es zur Zeit leider nicht selbst testen - habe gerade keine
LML7-Umgebung zur Hand.

ich habe am Dienstag (während der Hotlinestunden) eine aktuelle vbox
Umgebung fertig gemacht.

Willste haben?

LG

Holger

Hallo Holger,

besten Dank für das Angebot! Ich hatte mich dann aber gestern selbst hingesetzt und die aktuellen OVAs heruntergeladen. Bei Dominiks Problem bin ich aber auch erst mal nicht weitergekommen.

LG Jörg

Hi,

habs😁…beim Unbound muss die DNSSEC Unterstützung deaktiviert werden…eigentlich völlig klar, da der Belwue DNS systembedingt nicht kann🤦‍♂️.
Werde die Tage mal hier dokumentieren, was alles an der Firewall gemacht werden muss damit die Filterung über den Belwue DNS erzwungen wird…

Gruß
Dominik

1 Like

Hallo Dominik
das wäre SUPER!
Evtl löst sich ja auch das Problem, dass ein Update von 19.1 auf 19.7 derzeit bei belwü-Kunden offensichtlich nicht geht. Eine Firewall die keine Updates mehr erhält ist ja nicht so ideal …

Grüße Rainer

Hier die Anleitung:

  1. Belwue DNS eintragen in System --> Einstellungen --> Allgemein
  2. Im selben Verzeichnis darf der Eintrag „Erlaube das Überschreiben der DNS Serverliste durch DHCP/PPP auf WAN“ nicht ausgewählt sein
  3. Unter Dienste --> Unbound DNS --> Allgemein bei „DNS Abfrage-Weiterleitung“ den Weiterleitungs-Modus aktivieren
  4. Im selben Verzeichnis Haken bei „Aktiviere DNSSEC Unterstützung“ entfernen
  5. Firewall Regel anlegen, damit alle DNS-Anfragen aus dem LAN erst mal verboten werden und eine Anlegen, bei dem der DNS der Opnsense erzwungen wird. Auf diese weise werden alle Anfragen die auf Port 53 kommen über die Opnsense geleitet, auch wenn jemand im LAN einen anderen DNS eingetragen hat. So kann man die Filterung auch im WLAN Netz erzwingen:

Hier die Regel für die Portweiterleitung bei NAT:

Hier die Regeln in der richtigen Reihenfolge für das LAN. Die 2.te Regel wird automatisch von der NAT Regeln von oben erzeugt.

Gruß

Dominik