DNS-Auflösung von OPNSense hinter FritzBox

[sweber]

Hallo allerseits,

ich habe gerade ein Problem mit der DNS-Auflösung hinter einem OPNSense-Router.

Prinzipiell hängt mein Netzwerk an einer Fritzbox, die über das integrierte Modem per DSL eine Internetverbindung aufbaut. Geräte hängen per Kabel oder WiFi daran und haben Internet. So weit, so gut.

Nun habe ich auch einen selbstgebauten Router mit OPNSense am laufen, mit dem ich (experimentell oder auch dauerhaft) irgendwann die Fritzbox ersetzen will. Um das mal zu testen, hängt dieser Computer jetzt hinter der Fritzbox, und hat wiederum in seinem eigenen LAN einen PC angeschlossen, von dem aus ich den OPNSense per Webinterface konfiguriere und die Internetverbindung teste.

Nun habe ich es so weit eingerichtet, dass die Internetverbindung prinzipiell funktioniert - aber momentan nur, wenn auf dem Test-PC hinter dem OPNSense manuell ein DNS-Server (8.8.8.8) eingestellt ist. Ist dies nicht so, kann ich zwar 185.197.87.45 pingen, aber nicht www.abkradabra.de (beispielsweise).

Bei den Geräten, die direkt an der Fritzbox hängen, funktioniert es einfach so ohne weitere DNS-Server-Einstellung.

Ich frage mich daher, worin der Fehler in meiner Konfiguration liegt. Warum haben die Geräte an der Fritzbox keine Probleme, das Gerät hinter OPNSense, welches indirekt also auch an der Fritzbox hängt, aber schon?

 

[BFF]

Woher bekommt der PC an der OPNSense die IP? Von der OPNSense denke ich.
Hast Du dort alles richtig eingestellt das Clients passende IP und auch DNS-Server bekommen?

Frage nebenbei.

irgendwann die Fritzbox ersetzen will.

Wer macht dann das DSL-Modem?

 

[-Overlord-]

Bekommt der PC eine IP und DNS von der OPNSense oder nach wie vor von der FritzBox?
Wenn von der OPNSense - welchen DNS Server übermittelt dieser?

Ergänzung (21. September 2024)

Wer macht dann das DSL-Modem?

Ich glaube irgendwo mal gelesen zu haben dass die FritzBoxen mittlerweile auch einen ziemlich guten Bridge Modus haben - diesen kann man dann nutzen. Alternativ ginge auch doppel NAT - bei richtiger Konfiguration funktioniert das auch recht geschmeidig

 

[BFF]

FritzBoxen mittlerweile auch einen ziemlich guten Bridge Modus haben

Letztens hat ein Jemand hier bei CB getippt das dies nicht ginge. Ich weiss es wirklich nicht, weil seit mehr als 10 Jahren keine Fritte mehr und die damals von MDDSL konnte das definitiv nicht. 🤷‍♂️
Pures Ersetzen waere dennoch das die Fritte verschwindet und der Selbstbau das macht.

 

[-Overlord-]

Hier mal auf die Schnelle:
https://schroederdennis.de/allgemein/fritzbox-bridge-mode-aktivieren-und-genau-erklaert-6591-6660/

Nutze aber auch keine FritzBox mehr. Als ich die aber noch genutzt hab und auch danach, hab ich das via Doppel NAT gemacht. Gab keine Probleme.

Aktuell bin ich gerade mittels Speedport Smart 4 als Modem via pfSense drin.

Bzgl. Selbstbau ist das ja leider immer mit dem VDSL Modem so eine Sache.

 

[redjack1000]

aber momentan nur, wenn auf dem Test-PC hinter dem OPNSense manuell ein DNS-Server (8.8.8.8) eingestellt ist. Ist dies nicht so, kann ich zwar 185.197.87.45 pingen, aber nicht www.abkradabra.de (beispielsweise).

Du hast den DNS auf dem OPNSense, nicht und/oder falsch konfiguriert.

Cu
redjack

 

[JumpingCat]

ich habe gerade ein Problem mit der DNS-Auflösung hinter einem OPNSense-Router.

Welchen DNS Server hast du auf OpnSense installiert und wie ist der konfiguriert? Was wird per DHCP verteilt?

 

[sweber]

Modem wird ein Draytek Vigor 167.

Im Netz der Fritzbox hat der OPNSense eine statische IP, die ich ihm in den Einstellungen verpasst habe und die auch funktioniert.
Im Netz des OPNSense haben sowohl der OPNSense selbst als auch der PC eine statische IP. Auch hier funktioniert - was die IP betrifft - anscheinend alles.

Hier sind die einzigen DNS-Einstellungen im OPNSense, die ich vorgenommen habe.

 

[Redundanz]

jeder client hinter der firewall-appliance braucht ja einen dns server. wenn du die ips deiner clients statisch verwaltest musst du eben händisch einen eintragen, wie du ja selbst festgestellt hast.

das kann die ip der fritzbox sein, google dns, die ip von opnsense (wenn du dort wahlweise unbound oder dnsmasq laufen hast, adguard home ginge auch) oder sonst ein dns server, zu dem du eine route hast, bspw. auch einfach deine provider-dns-server, deren adressen in der fritzbox angezeigt werden. ohne dns geht es ja nicht.

zweite möglichkeit... die clients hinter der firewall bekommen von der firewall per dhcp ihre ip, gateway & dns.
das muss dann natürlich konfiguriert werden -> https://docs.opnsense.org/manual/dhcp.html

das bild was du im letzten post angehängt hast zeigt die dns-server einrichtung für die firewall als client. sprich wenn z.b. die firewall ein softwareupdate-check macht, oder du von der weboberfläche aus tracerts/pingtests ins internet machst. dann nutzt sie diese dns-server. die haben aber erstmal nichts mit den clients hinter der fw zu tun. außer du richtest dns forwarder (dnsmasq) oder dns resolver (unbound) auf der fw ein.

 

[sweber]

@Redundanz Das ist sehr informativ, danke.
Also muss man bei manueller IP-Eingabe immer auch einen DNS angeben? Würde ich es per DHCP-Reservierung machen, dann käme ein DNS darüber?

Dann wäre meine nächste Frage: Wenn ich jetzt einen Access Point an den OPNSense anschließe, möchte ich natürlich dass die Clients ohne großes Tamtam ins Netz kommen. Also via automatisch zugewiesener IP. Wo kommt in diesem Fall die Information über den zu verwendenden DNS-Server her? Vom OPNSense oder AP?

Und zuletzt, kennt jemand vielleicht gute Ressourcen (Tutorials, Kurse, Bücher...) zum Thema Firewall-Sicherheit? Also angefangen mit Regeln, was man blockieren und was offen lassen sollte, etc, aber mich würden auch Themen wie next generation firewall interessieren

 

[gaym0r]

Also muss man bei manueller IP-Eingabe immer auch einen DNS angeben?

wenn du Namensauflösungen machen willst, ja.

Würde ich es per DHCP-Reservierung machen, dann käme ein DNS darüber?

Eine Reservierung ist nicht zwingend notwenidg bzw. wenn es in den DHCP-Settings schlicht nicht konfiguriert ist, wird dir auch die Reservierung nicht helfen.

Vom OPNSense oder AP?

Von dem G erät, das in deinem Netzwerk DHCP-Server spielt. Also OPNsense.

Also angefangen mit Regeln, was man blockieren und was offen lassen sollte

Am besten: Nur das öffnen was man braucht.

etc, aber mich würden auch Themen wie next generation firewall interessieren

NGF ist kein standardisierter Begriff und jeder Firewall-Hersteller implementiert die verschiedensten Funktionen auf die verschiedensten Arten und Weisen. Da ist am besten ein Blick ins Handbuch zu werfen.

 

[Redundanz]

Wo kommt in diesem Fall die Information über den zu verwendenden DNS-Server her? Vom OPNSense oder AP?

das kannst du handhaben, wie du möchtest, sofern der ap ebenfalls dhcp-server funktionalität besitzt.
wichtig ist nur, dass du niemals 2 dhcp-server im selben netzbereich aktiv haben solltest.
z.b. aktuell ginge es dass deine fritz als dhcp im "wan-interface-netz" deiner opnsense fungiert und die opnsense für ihr "lan-interface-netz". das ist ok. aber z.b. nicht je zwei dhcp-server auf lan-seite bzw. wan-seite der fw.

für tiefergehende und anschauliche opnsense/pfsense tutorials finde ich am besten die videos von

-> yt - lawrencesystems ... oder wenn es deutsch sein soll -> yt - raspberrypicloud

grundsätzlich ist die opnsense-dokumentation auf der deciso homepage natürlich nie verkehrt (zu studieren...) und auch sehr ausführlich.

 

[Bob.Dig]

aber mich würden auch Themen wie next generation firewall interessieren

Warum dies, wenn Du schon Probleme bei der DNS-Auflösung hast und Bildschirmfotos mit einer Kamera machst. Mein Rat an Dich: Bleib bei der Fritzbox.

 

[sweber]

@Bob.Dig Du willst mir keinen Rat geben sondern mich öffentlich blöd aussehen lassen.

Dich hinzustellen und mich als Person zu bewerten ("Ich bin jemand der schon mit X Probleme hat!!1111!einself und außerdem es wagt, Fotos statt Screenshots zu posten") ist geschmacklos und arrogant.

Beiträge wie dieser machen Communities kaputt. Du brauchst nichts von meinem Anliegen zu halten aber wenn du dich äußerst, tu es mit einem Minimum an Respekt.

 

[redjack1000]

Du willst mir keinen Rat geben sondern mich öffentlich blöd aussehen lassen.

Wieso blöd aussehen lassen? Es ist einfach die Realität.

Das ist natürlich immer blöd, wenn man das direkt an den Kopf geworfen bekommt, ändert aber nichts an der Tatsache, das du erste deine Defizite ausräumen musst.
Wenn du solche Grundlagen die DNS/DHCP verstanden hast, kannst dich gerne mit "next generation firewall" auseinandersetzen, vorher macht das keinen Sinn.

Beiträge wie dieser machen Communities kaputt. Du brauchst nichts von meinem Anliegen zu halten aber wenn du dich äußerst, tu es mit einem Minimum an Respekt.

Ich sehe das anders, du solltest @Bob.Dig eher Respekt zollen, da er dich auf deine Schwachstellen hinweist.

CU
redjack

 

[sweber]

@redjack1000 Es mag objektiv wahr oder auch nicht sein, aber es öffentlich (soll heißen: nicht unter vier Augen) zu äußern, überschreitet dennoch eine Linie. Ich mag Leute hässlich, dumm, nervtötend, schlecht riechend oder was auch immer finden, aber ich äußere dies nicht ungefragt und nicht vor anderen.

Sein Kommentar ist herablassend formuliert, und ich würde auch sagen dass es in der Sache komplett überzogen ist, vom Posten des Bildschirminhalts als Foto statt als Screenshot auf irgendwelche Defizite meiner Persönlichkeit zu schließen. Es kann alle möglichen Gründe geben, warum ich dies so getan habe, (z.B. es ist von einem Gerät aus, das Probleme mit dem Internetzugang hat und außerdem ganz frisch aufgesetzt ist, nicht so schnell) aber er entscheidet sich dazu, dies absichtlich so negativ auszulegen.

All dies, damit er sich selbst als Gatekeeper darüber hinstellen kann, wer welche Projekte angehen sollte und wer nicht. Er hat ja auch nicht wie du gesagt, dass ich "erst" irgendwelche Defizite ausräumen soll, bevor ich fortgeschrittene Themen angehe, sondern mir das gesamte Projekt direkt ganz abgesprochen. Hätte er es wie du ausgedrückt, hätte ich kein großes Problem damit.

In meinen Augen ist es gerade bei solcher Art von Kritik wichtig, a) konstruktiv zu sein und b) höflich. Beides sehe ich bei ihm nicht, sondern einfach nur gehässiges, elitäres Gehabe.

Ich ignoriere so etwas normalerweise, weil man gegen so diese Negativität schwerlich anargumentieren kann, aber ich finde eigentlich, im Sinne einer funktionierenden Community sollte ein solches Verhalten geächtet werden.

Dabei denke ich eigentlich, ist es doch der Sinn eines Forums wie diesen, dass man mit dem eigenen Wissen und der eigenen Erfahrung in erster Linie hilft? Dass man sich freut, wenn andere Interesse an etwas zeigen, mit dem man sich beschäftigt? Klar, manchmal braucht es vielleicht klarere Worte, aber auch dann sollte man nicht vergessen, dass man auch selbst einmal ganz klein angefangen hat und "blöde" Fragen gestellt hat. Hätte man es dann verdient gehabt, dermaßen platt und feindselig abgekanzelt zu werden?

Ich finde die Vorstellung fürchterlich, in ein paar Jahren, wenn ich mich vielleicht auch mal gut mit diesem Thema auskenne, dermaßen bitter und herablassend denen gegenüber zu sein, die es noch nicht tun.

 

[JustAnotherTux]

Am besten schaust du dir noch mal genau die Doku an.
https://docs.opnsense.org/manual/interfaces.html
https://docs.opnsense.org/manual/dhcp.html
https://docs.opnsense.org/manual/unbound.html

Diese Person hier schreibt auch immer wieder gute Artikel zu Opnsense:
https://homenetworkguy.com/how-to/confused-about-dns-configuration-in-opnsense/
https://homenetworkguy.com/how-to/beginners-guide-to-set-up-home-network-using-opnsense/


Wegen DSL

Du kannst die Fritzbox nur als Modem verwenden oder ein extra DSL Modem kaufen (z.B. vigor 167)
aber wenn dein Anbieter DS-Lite verwendet wird es hässlich das bei Opnsense zu Konfigurieren.

https://forum.opnsense.org/index.php?PHPSESSID=vv4dimivr94bk6b8fqa2enlkhk&topic=35757

 

[sweber]

Am besten schaust du dir noch mal genau die Doku an (...)

Danke für die Tipps.

Inzwischen läuft alles gut, einige Geräte haben statische IPs und andere sind per DHCP drin und bekommen darüber einen DNS-Server.

Ich fand das Projekt gut und hab was dabei gelernt. Ob ich es dauerhaft so als Fritzbox-Ersatz verwende, ist eine andere Frage, denn es sind jetzt vier Geräte statt einem, die alle gewissen Anschaffungskosten hatten, Platz brauchen, Kabelsalat verursachen und Strom verbrauchen (im Gegensatz zu den rund 10W einer Fritzbox). Andererseits kann man einfach so viel selbst einstellen und konfigurieren, das macht schon Spaß.