Aktuell haben wir im Lab eine Test-Installation bestehend aus einer OPNsense als Firewall-Router und dahinter diverse Systeme. Hierbei fiel auf, das offenbar der DNS-Server der an der WAN-Schnittstelle per DHCP übermittelt wird in Version 24.1.5_3 ignoriert wird.
Die OPNsense-Installation ist gerade mal gut 48 Stunden alt und zudem nur rudimentär eingerichtet, also installiert, Erst-Einrichtungs-Assistent durchlaufen, alle aktuellen Updates eingespielt, fertig. Die WAN-Schnittstelle hängt dabei in unserem Lab/Werkstatt-Netz, d.h. nicht direkt an einem Internet-Anschluss. So weit alles nichts ungewöhnliches. Grundsätzlich läuft auch alles, außer das bei Tests der Namensauflösung auffiel, das ein eingerichtetes Split-DNS nicht funktioniert. Gemeint ist das offenbar die OPNsense direkt über die DNS-Root-Server abfragen durchführt, statt diese an den DNS-Server der auf der WAN-Seite verfügbar ist zu senden.
In der Voreinstellung nutzt OPNsense sowohl Unbound als DNS-Resolver, ferner ist unter
System - Settings - General - DNS server options - Allow DNS server list to be overridden by DHCP/PPP on WAN
aktiviert. Schaut man an der Konsole oder via ssh in
/etc/resolv.conf
sieht man den übermittelten DNS-Server auch, aber dennoch wird dieser offenbar nicht verwendet.
Deaktiviert man die obige Option und trägt stattdessen unter
System - Settings - General - DNS servers
den DNS-Server ein, so funktioniert dies ebenfalls nicht wie erwartet.
Aktiviert man unter
Services - Unbound DNS - Query Forwarding
die Option “Use System Nameservers” funktioniert anschließend überhaupt keine Namensauflösung mehr.
Interessanterweise funktioniert es plötzlich wenn man unter
Services - Unbound DNS - DNS over TLS
“Use System Nameservers” aktiviert.
Das Kuriose hieran ist: Der vorgelagerte DNS-Server nutzt gar kein TLS bzw. DNS over TLS. Zusätzlich ist plötzlich zudem das “Query Forwarding” aktiviert bzw. deaktiviert sich von selbst wenn man es selbst oder “DNS over TLS” wieder deaktiviert, als wären beide Optionen miteinander verbunden.
So richtig schlau werde ich im Moment aus dieser Situation nicht, allerdings fehlen mir auch Erfahrungswerte mit OPNsense. Möglicherweise ist das Ganze ein Bug oder doch ein Feature?
Der Vollständigkeit halber: Den Unbound-Daemon neu zu starten, den DNS-Cache leeren oder ein OPNsense-Neustart hilft übrigens nicht.
Quelle
Home Network Guy – Confused about the DNS Configuration in OPNsense?
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Schreibe einen Kommentar