IPFire DNS der Fritz Box funktioniert nicht!

Duke2011

Lieutenant
Registriert
Juni 2011
Beiträge
616
Hallo,

ich habe IPFire auf einem HP Mini PC installiert und soweit klappt alles, bis auf die automatische DNS Auflösung über die Fritz Box.

Die ist als Gateway korrekt hinterlegt und auch erreichbar, aber der DNS funktioniert nicht.

Trage ich einen anderen ein, funktioniert es.

Hat jem,and einen Tip?

1714160447570.png
 
Duke2011 schrieb:
Hat jem,and einen Tip?
Die FB würde ich da nicht eintragen (bzw. 'vom ISP zugewiesene DNS-Server verwenden' abhaken). Du gibst hier deine externen Resolver ein, die du für die Namensauflösung verwenden willst. Die FB lässt du außen vor. Wegen Datenschutz evt. auch Resolver mit DoT-Unterstützung wählen.
 

Anhänge

  • Unbenannt.png
    Unbenannt.png
    126,1 KB · Aufrufe: 96
  • Gefällt mir
Reaktionen: Duke2011
Ok das macht Sinn aber rein technisch kann die Fritz Box das doch und tut es ja auch. Nur warum klappt das hier nicht? Wenn die FB Gateway ist ist doch neben DHCP genau das ihre Aufgabe
 
Duke2011 schrieb:
Nur warum klappt das hier nicht?
Ist eine gute Frage, in unserer Firma hatte das damals wunderbar funktioniert. Allerdings war mir die DNS-Auflösungskette zu lang (warum noch einen Resolver dazwischenschalten?) und die FB hatte damals auch keine DoT-Unterstützung (mittlerweile hat sie das ja).

Ich hab dann im Setup vom IPfire beim roten Interface auch nicht 'DHCP' gewählt, sondern die Adressen 'statisch' zugewiesen. Dann gibt es später im Interface auch gar kein 'vom ISP zugewiesene DNS-Server'-Eintrag im 'Domain Name System'-Menü.
Duke2011 schrieb:
Wenn die FB Gateway ist ist doch neben DHCP genau das ihre Aufgabe
Ne, ich würd die DNS-Auflösung und DHCP komplett vom IPFire übernehmen lassen. FB ist nur noch das Tor zum Internet.

Wenn dich das jetzt aber gar keine Ruhe lässt und du unbedingt die FB in der DNS-Auflösung dazwischen haben willst, probiere folgendes:
  • 'vom ISP zugewiesene DNS-Server verwenden' abhaken
  • die FB manuell als Resolver hinzufügen
Vielleicht klappts ja dann.
 
  • Gefällt mir
Reaktionen: Raijin und Duke2011
Ich habe inzwischen auf statisch umgestellt, der ISP Eintrag bleibt trotzdem ist ja auch logisch, das manuelle hinzufügen klappt auch nicht. Ich will nur nachvollziehen warum es nicht geht.

Wenn IPFire DHCP und DNS für das gesamte Netz machen soll muss das aber auch für die WLAN Geräte klappen, das heißt für mich ich müsste IPFire als DHCP und DNS in der FB eintragen richtig?

Zwei weitere Fragen:

1. Wenn ich das richtig sehe, sind per default keine Ports inder FW offen, ich muss Sie freigeben richtig?
2. Ist Opensense zB eher komplizierter als IPFire oder einfach nur anders weil Free BSD Basis?
 
Duke2011 schrieb:
Ich habe inzwischen auf statisch umgestellt, der ISP Eintrag bleibt trotzdem
Strange, bei unserer Firma ist das nicht so. Man kann ja in der statischen Konfiguration auch gar kein DNS-Resolver hinterlegen, woher soll da auch ein Eintrag kommen.

Duke2011 schrieb:
Wenn IPFire DHCP und DNS für das gesamte Netz machen soll muss das aber auch für die WLAN Geräte klappen, das heißt für mich ich müsste IPFire als DHCP und DNS in der FB eintragen richtig?
Ahh, du willst das WLAN der FB weiternutzen (wir nutzen nur das Gäste-WLAN der FB mit seinem eigenen IP-Adressbereich und DHCP-Scope). Dann wirds schwierig, da sich das WLAN ja außerhalb des vom IPfire geschützten LANs ist und die DNS/DHCP-Dienste logischerweise vom WLAN der FB nicht erreichbar sind (ist ja der Sinn der Firewall^^).

Für WLAN gibts halt 3 Möglichkeiten:
1. WLAN der FB nutzen: DNS/DHCP der FB sollte dann logischerweise aktiv bleiben. Das WLAN ist dann aber getrennt vom grünen Netz des IPFire, sprich WLAN-Hosts können Hosts im grünen Netz nicht erreichen.
2. WLAN-AP an die blaue Schnittstelle des IPfires hängen: Das blaue Netz ist vom grünen getrennt, Hosts können sich standardmäig erreichen. Das Verhalten kann entsprechend per FW-Regeln angepasst werden.
3. WLAN-AP ins grüne Netz: Entspricht dem Bridging. Wifi- und LAN-Geräte sind im selben logischen Netz, können also ohne Einfluss der FW ungehindert kommunizieren.

Also zusammengefasst:
1. WLAN ist im Roten Netz außerhalb der FW
2. WLAN ist parallel zum grünen Netz
3. WLAN und Grün sind dasselbe Netz

Ergänzung ()

Duke2011 schrieb:
1. Wenn ich das richtig sehe, sind per default keine Ports inder FW offen, ich muss Sie freigeben richtig?
Jein. Beispiel: Du willst OpenVPN auf dem IPFire nutzen und aktivierst/konfigurierst den OpenVPN-Server. Dann wird der Port, den du in der Oberfläche angibst, automatisch geöffnet. Du benötigst keine manuelle Regel dafür. Zweites Beispiel: Du willst hinter der FW in der DMZ (oragenes Netz) ein Webserver erreichbar machen. Dann musst du in den Firewallregelwerk eine entsprechende Portweiterleitung einrichten.

Duke2011 schrieb:
2. Ist Opensense zB eher komplizierter als IPFire oder einfach nur anders weil Free BSD Basis?
Soweit ich meine Gehversuche mit OPNSense noch in Erinnerung habe, ist OPNSense vielseitiger, die Schnittstellen besser konfigurierbar und daher würde ich OPNSense auch komplizierter einschätzen. IPFire folgt noch dem alten IPCop-Prinzip mit den grünen, blauen, orangenen und roten Netzen, ist also klar strukturiert. Abweichungen sind nicht vorgesehen und nur mit entsprechenden selbst gebauten Scripte erreichbar.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Duke2011
qiller schrieb:
Strange, bei unserer Firma ist das nicht so. Man kann ja in der statischen Konfiguration auch gar kein DNS-Resolver hinterlegen, woher soll da auch ein Eintrag kommen.


Ahh, du willst das WLAN der FB weiternutzen (wir nutzen nur das Gäste-WLAN der FB mit seinem eigenen IP-Adressbereich und DHCP-Scope). Dann wirds schwierig, da sich das WLAN ja außerhalb des vom IPfire geschützten LANs ist und die DNS/DHCP-Dienste logischerweise vom WLAN der FB nicht erreichbar sind (ist ja der Sinn der Firewall^^).

Für WLAN gibts halt 3 Möglichkeiten:
1. WLAN der FB nutzen: DNS/DHCP der FB sollte dann logischerweise aktiv bleiben. Das WLAN ist dann aber getrennt vom grünen Netz des IPFire, sprich WLAN-Hosts können Hosts im grünen Netz nicht erreichen.
2. WLAN-AP an die blaue Schnittstelle des IPfires hängen: Das blaue Netz ist vom grünen getrennt, Hosts können sich standardmäig erreichen. Das Verhalten kann entsprechend per FW-Regeln angepasst werden.
3. WLAN-AP ins grüne Netz: Entspricht dem Bridging. Wifi- und LAN-Geräte sind im selben logischen Netz, können also ohne Einfluss der FW ungehindert kommunizieren.
Ergänzung ()


Jein. Beispiel: Du willst OpenVPN auf dem IPFire nutzen und aktivierst/konfigurierst den OpenVPN-Server. Dann wird der Port, den du in der Oberfläche angibst, automatisch freigegeben. Du benötigst keine manuell Regel dafür. Zweites Beispiel: Du willst hinter der FW in der DMZ (oragenes Netz) ein Webserver erreichbar machen. Dann musst du in den Firewallregelwerk eine entsprechende Portweiterleitung einrichten.


Soweit ich meine Gehversuche mit OPNSense noch in Erinnerung habe, ist OPNSense vielseitiger, die Schnittstellen besser konfigurierbar und daher würde ich OPNSense auch komplizierter einschätzen. IPFire folgt noch dem alten IPCop-Prinzip mit den grünen, blauen, orangenen und roten Netzen, ist also klar strukturiert. Abweichungen sind nicht vorgesehen und nur über entsprechende selbst gebauten Scripte erreichbar.
Warum wenn ich IPFIRE als DHCP und DNS in der Fritz Box hinterlege dann greift das auch für WLAN denk ich.

Aber per Default sind Ports eher zu anstatt offen das muss ja der Sinn einer FW sein 😃
Ergänzung ()

Bei den DNS Resolvern tu ich mich bis heute schwer wem man da wirklich „vertrauen“ kann gut wäre wenn IPFire ein lokaler Resolver wäre so wie Pihole
 
Duke2011 schrieb:
Warum wenn ich IPFIRE als DHCP und DNS in der Fritz Box hinterlege dann greift das auch für WLAN denk ich.
Nein, für die FW sind die Hosts im FB-WLAN quasi Hosts aus dem Internet bzw. dem roten Netz. Rot wird standardmäßig immer geblockt. DHCP, was auf Broadcasts aufbaut, funktioniert standardmäßig sowieso nicht über unterschiedliche Netze hinweg (DHCP-Relay wird benötigt).
Duke2011 schrieb:
Aber per Default sind Ports eher zu anstatt offen das muss ja der Sinn einer FW sein
Die Standardeinstellung beim IPFire entspricht einer halboffenen Firewall, ähnlich wie der Windows-Firewall. Eingehende Verbindungen werden blockiert, ausgehende dürfen passieren. Das Forwarding-Verhalten kann man aber in der Firewall auch hin zu einer komplett geschlossenen Firewall ändern. Dann muss man aber viele Dinge einzeln freischalten, würde ich nur bei einem besonders starkem Augenmerk auf Datenschutz und Sicherheit empfehlen.

Duke2011 schrieb:
Bei den DNS Resolvern tu ich mich bis heute schwer wem man da wirklich „vertrauen“ kann
Empfehlungsecke von Kuketz ist da ne gute Anlaufstelle:
https://www.kuketz-blog.de/empfehlungsecke/#dns
Ansonsten gibts auch auf den IPFire-Seiten ne lange Liste:
https://www.ipfire.org/docs/dns/public-servers

Duke2011 schrieb:
gut wäre wenn IPFire ein lokaler Resolver wäre so wie Pihole
Ist möglich, in dem man keinerlei DNS-Resolver angibt und auch die 'ISP-Resolver'-Verwendung abhakt. So ein recursive Resolver hat aber seine Pferdefüsse. DNS-Abfragen können dann nicht verschlüsselt und damit abgefangen und verändert werden: https://community.ipfire.org/t/tls-in-recursor-mode/6005

Und es ist langsamer. Hier mal noch ein paar mehr Infos dazu (auch zum Recursor Mode):
https://www.ipfire.org/blog/what-you-can-do-with-the-new-dns-features-in-ipfire
 
  • Gefällt mir
Reaktionen: Duke2011
Duke2011 schrieb:
ich habe IPFire auf einem HP Mini PC installiert und soweit klappt alles, bis auf die automatische DNS Auflösung über die Fritz Box.

Die ist als Gateway korrekt hinterlegt und auch erreichbar, aber der DNS funktioniert nicht.
Eine DNS-Kette muss vollständig schlüssig sein. Wenn in IPFire die Fritzbox als Upstream-DNS eingestellt ist, dann schickt IPFire eben alle DNS-Queries an die Fritzbox. Diese wiederum beantwortet den Query entweder selbst (zB weil's ein lokaler Hostname wie "MeinNAS" ist) oder leitet den Query ihrerseits weiter an ihren eigenen Upstream-DNS. Funktioniert es nicht, wenn du die Fritzbox als DNS in IPFire hinterlegst, liegt der Verdacht nahe, dass die Fritzbox nicht korrekt konfiguriert ist.

Start --> cmd
--> nslookup computerbase.de 192.168.178.1
--> nslookup computerbase.de deine.ipfire.ip
--> nslookup computerbase.de 9.9.9.9

Damit kannst du gezielt DNS-Queries an die angegebenen DNS-Server/-Forwarder schicken und testen.
 
  • Gefällt mir
Reaktionen: Duke2011
Erstmal danke fürs Antworten. Aber die FB kann hier nicht das Problem sein weil sie ohne IPFire ja als DNS funktioniert.

Das von Dir beschriebene Routing ist ja auch richtig also dass die FB an den eigenen Upstream DNS weiterleiten soll.

Vielleicht liegt es an den unterschiedlichen Netzwerk Bereichen …

Die Fritz Box ist ja quasi mit dem eigenen IP Netz zum roten Bereich gehörend …
Entweder könnte also eine für DNS (UDP) nötige Port Weiterleitung fehlen oder ich muss trotz getrennter Netze einen der DHCP Server deaktivieren
 
Mal ne Gegenfrage: Benutzt du denn überhaupt eine für dich relevante lokale Namensauflösung aus dem FritzBox-Bereich? Also sowas wie host.fritz.box (was übrigens so oder so keine gute Idee wäre)?

Weil wenn es hier jetzt wirklich rein nur ums DNS-Forwarding ins Internet geht, wär mir das sowas von egal, ich würde den DNS-Proxy in der FB so oder so nicht verwenden (bzw. halt nur fürs Gäste-WLAN). Meine Vermutung wäre vlt noch DNSSEC gewesen, aber die FB hat das mittlerweile auch drin, damals war das noch nicht der Fall.

Duke2011 schrieb:
Die Fritz Box ist ja quasi mit dem eigenen IP Netz zum roten Bereich gehörend …
Entweder könnte also eine für DNS (UDP) nötige Port Weiterleitung fehlen oder ich muss trotz getrennter Netze einen der DHCP Server deaktivieren
Die FB ist für den IPFire wie ein Host im Internet, du kannst also vom grünen/blauen Netz aus ohne irgendwelche Weiterleitungen Dienste wie den DNS-Proxy der FB nutzen (solange du das Forward-Standardverhalten der FW nicht änderst), nur umgedreht halt nicht. IPFire ist bei der Wahl seines DNS-Resolvers durchaus wählerisch. Was sagt denn der DNS-Test in der Oberfläche? In deinem Screenshot oben seh ich da nur den grünen Status: 'funktioniert'. Was kommt denn bei 'DNS-Server prüfen' raus?
 

Anhänge

  • Unbenannt.png
    Unbenannt.png
    106,1 KB · Aufrufe: 75
  • Gefällt mir
Reaktionen: Duke2011
qiller schrieb:
Mal ne Gegenfrage: Benutzt du denn überhaupt eine für dich relevante lokale Namensauflösung aus dem FritzBox-Bereich? Also sowas wie host.fritz.box (was übrigens so oder so keine gute Idee wäre)?

Weil wenn es hier jetzt wirklich rein nur ums DNS-Forwarding ins Internet geht, wär mir das sowas von egal, ich würde den DNS-Proxy in der FB so oder so nicht verwenden (bzw. halt nur fürs Gäste-WLAN). Meine Vermutung wäre vlt noch DNSSEC gewesen, aber die FB hat das mittlerweile auch drin, damals war das noch nicht der Fall.


Die FB ist für den IPFire wie ein Host im Internet, du kannst also vom grünen/blauen Netz aus ohne irgendwelche Weiterleitungen Dienste wie den DNS-Proxy der FB nutzen (solange du das Forward-Standardverhalten der FW nicht änderst), nur umgedreht halt nicht. IPFire ist bei der Wahl seines DNS-Resolvers durchaus wählerisch. Was sagt denn der DNS-Test in der Oberfläche? In deinem Screenshot oben seh ich da nur den grünen Status: 'funktioniert'. Was kommt denn bei 'DNS-Server prüfen' raus?
OK die DNS Sache ist mir eigentlich inzwischen egal.

Ich habe die DNS Server in IPFire manuell eingestellt.

Wie kann ich jetzt aber noch sicherstellen, dass auch Geräte im IPFire DHCP Netz Geräte aus dem Fritz Box DHCP Netz erreichen?

Update: Hat sich erledigt. Funktioniert soweit alles.

Vielleicht eine Frage noch: Kann ich auf der IPFire noch IGMP installieren + aktivieren?
Wenn ja, wie? :)

igmpproxy hab ich installiert, finde aber keine GUI oder Optionen...
 
Zuletzt bearbeitet:
igmpproxy nutze ich nicht, sollte aber ne Anleitung irgendwo geben. Einige Addons haben keine GUI, da musst du an die Konsole ran.

Duke2011 schrieb:
Wie kann ich jetzt aber noch sicherstellen, dass auch Geräte im IPFire DHCP Netz Geräte aus dem Fritz Box DHCP Netz erreichen?

Update: Hat sich erledigt. Funktioniert soweit alles.
In die Richtung sollte das gehen. Was nicht geht, ist vom FB-WLAN aus die Hosts hinterm IPFire zu erreichen.
 
  • Gefällt mir
Reaktionen: Duke2011
qiller schrieb:
igmpproxy nutze ich nicht, sollte aber ne Anleitung irgendwo geben. Einige Addons haben keine GUI, da musst du an die Konsole ran.


In die Richtung sollte das gehen. Was nicht geht, ist vom FB-WLAN aus die Hosts hinterm IPFire zu erreichen.
Danke für deine Hilfe! :)

PS: Seltsam ist nur, dass ich von den Clients der Ipfire die FritzBox nicht per fritz.box sondern nur per IP erreichen kann, aber das liegt vielleicht an den unterschiedlichen IP Netzen
 
Ne das liegt an der Namensauflösung. Seitdem die .box-Domain eine TLD im Internet ist, ist das sowieso keine gute Idee 'fritz.box' für den Aufruf der FB-Webseite in den Browser zu tippen. Wenn dich das stört, kannst du unter 'Hosts bearbeiten' im Menü 'Netzwerk' einfach die Namensauflösung abändern:

Host IP-Adresse: IP der FB
Hostname: fritz
Domain: box

...und schon kannst du wieder 'fritz.box' eintippen und landest auf die FB-Seite.
 
  • Gefällt mir
Reaktionen: Duke2011
Warum ist das keine gute Idee?

Wäre es auch möglich, die Clients an der IPFire durch die FB mit IPs versorgen zu lassen?
 
Duke2011 schrieb:
Warum ist das keine gute Idee?
https://www.borncity.com/blog/2024/...itz-box-leitet-pltzlich-auf-externe-seite-um/
https://www.borncity.com/blog/2024/03/06/fritzbox-problem-gekaperte-domain-verursacht-stress/

Duke2011 schrieb:
Wäre es auch möglich, die Clients an der IPFire durch die FB mit IPs versorgen zu lassen?
Man bräuchte aufm IPFire ein DHCP-Relay und auf der FB einen DHCP-Server, der unterschiedliche Scopes anbietet. Die FB hat zwar unterschiedliche Scopes, aber die sind nicht konfigurierbar (die werden für die Gastnetze verwendet). Wird also nicht funktionieren.
 
  • Gefällt mir
Reaktionen: Duke2011
Zurück
Oben