Unbound DNS (OpnSense) kliens IP továbbítása

Linux-haladó

Sziasztok!

 

Telepítettem egy Adguard Home-ot otthonra (VM-en, Dockerben fut). Eddig az Opnsense volt a DNS server (Unbound-al) most viszont forwardolom ezt az Adguard Home fele (Query Forwarding)

A gond az, hogy igy az Agguard Home nem latja a kliensek IP cimeit, csak az Opnsense felol jon minden keres. (nyilvan ez elsore logikus is, hiszen valoban onnan jon minden)

 

Viszont azt olvastam, lehetseges a kliensek adatait tovabbitani (IP, MAC) a DNS keresekben (nyivan ez alapesetben eleg nagy biztonsagi res, de itt ugye egy masik self hosted DNS server a celpont) az EDNS segitsegevel. 

 

A kerdesem az, hogy pontosan hogyan kell ezt beallitani, hogy megfeleloen mukodjon? Annyit talaltam, hogy opnsense GUI-n ezt biztos nem lehet, de az Unbound elv tudja... tehat config fajlokkal lehet meg lehetne oldani.

  • 550 megtekintés

( ggallo | 2023. 07. 17., h – 10:07 )

Miért használod továbbra is az OPNsense Unboud-ját, ha az mindössze csak továbbítja a kéréseket? Miért nem adod meg az Adguard DNS-t a klienseknmek?

PiHole esetében van olyan opció, hogy bizonyos tartományokra lehet beállítani hozzá tartozó DNS szervert, így ha van helyi tartományod, akkor erről vissza tudod a kéréseket irányítani az OPNsense felé. Gondolom az Adguard-nál is gondoltak ennek a szükségességére.

probaltam, de valamiert nem megy...

A cel az lenne, hogy az opnsense IP je maradjon a DNS server a DHCP berleteknel, (erre van szukseg) tehat eloszor azt csinaltam, hogy az opnsense general beallitasaban beirtam az Adguard home IP-jet. De igy valamiert nem mukodik normalisan... Van par cucc ami jol megy (shelly relek pl) de az asztali gepem megkeruli az Adguard-ot, nem latom benne a blokkolasokat, ha olyan oldalt nyitok meg.

 

PiHole esetében van olyan opció, hogy bizonyos tartományokra lehet beállítani hozzá tartozó DNS szervert, így ha van helyi tartományod, akkor erről vissza tudod a kéréseket irányítani az OPNsense felé. Gondolom az Adguard-nál is gondoltak ennek a szükségességére.

 

igen, itt is van ilyen opcio.

( ricsip v | 2023. 07. 17., h – 10:24 )

Szerkesztve: 2023. 07. 17., h – 10:25

Tapasztalat alapján az opnsense úgy működik jól, ha csak annyira használod, amennyit franco fitcher gondol h. szükséged van rá. Ha ennél többet akarsz, mélyebb szinten hekkeled, akkor semmi biztosíték nincsen rá hogy a változtatásaid megmaradnak a következő update után is.

No offense, de nekem ezzel ellentétes tapasztalatom van. 2015 óta használok OPNsense-t, egyszer sem volt gondom frissítés után. Mindig jól átemeli a konfigot az alap rendszerben és a plugin-ok esetében is.
Ellenben a pfSense 1-2 frissítésenként megkotik a frissítéses újraindítás után, és személyesen oda kell járulni a konzolon tovább lökni. Na ez olyankor probléma, mikor az a fő tűzfal/router, és nincs szeparált backup/management vonal.

Az más kérdés, hogy az Unbound nagyon problémás szoftver, de nem az OPNsense-ben, hanem általában. Arányaiban a legtöbb javítás azért jön OPNsense-be, mert Unbound hibát javít a frissítés, azt emelik be.

( Vamp | 2023. 07. 19., sze – 00:08 )

OK, kiderult minden...

1. Unbound-ot csak akkor lehet hasznalni ECS tovabbításra, ha eleve ugy van forgatva. Valoszinuleg (tesztjeim alapjan) OPNsense alatt nem ugy van...

https://discourse.pi-hole.net/t/unbound-with-ecs-and-dnssec/56682

2. ADGuard home (jelenleg) nem supportalja az ECS adatok kiolvasasat, magyarul ha el is tudnam kuldeni, akkor sem tudna ertelmezni...

https://github.com/AdguardTeam/AdGuardHome/issues/1727

Szoval az opcioim:

1. Hasznalok pi-hole-t + Dnsmasq-ot. Nem tetszik, pi-hole nekem nem jon be igazan, ADGuard-ot jobban testreszabhatobbnak ertem, jo a szuloi felugyelet, meg hogy egy gombnyomassal lehet komplett siteokat/szolgaltatosokat tiltani.

2. Varok hogy legyen valami elorelepes ADguard ugyben, mert akkor legalabb Dnsmasq al tudnam hasznalni. (abban nem bizok, h opnsense teren lesz valtozas az unbound-al)