IP Weiterleitung mit Unbound oder Dnsmasq

[Starfox]

Guten Morgen zusammen,

ich bin neu hier und will erstmal alle begrüßen und einen schönen guten Morgen wünschen.

Ich hab folgendes Problem, ich bekomme keine Nameserver weiterleitung hin.

Als DNS Server ist bei mir Unbound installiert, aber die Weiterleitung würde ja auch mit Dnsmasq gehen.

Folgendes hab ich probiert:

//etc/hosts
192.x.x.x Name-Name

eingetragen zur Namensauflösung

in /etc/dnsmasq.d hab ich 02-redirect.conf erstellt und eingetragen:

server=/192.x.x.x/152.x.x.x

was ich noch probiert hab war:

server=/name-name/152.x.x.x

in Unbound hab ich probiert:

forward-zone:
name: "name-name"
forward-tls-stream: no
forward-addr: 152.x.x.x

und

forward-zone:
name: "192.x.x.x"
forward-tls-stream: no
forward-addr: 152.x.x.x


leider funktioniert keines der oben genannten wirklich, wer kann mir helfen ?

[Thorashh]

leider funktioniert keines der oben genannten wirklich, ...

Das ist kein Wunder.

Ein DNS-Server ist für eine Übersetzung Domain <-> IP-Adresse zuständig. IP <-> IP geht damit nicht.

Entweder Du machst das mit deiner Firewall, oder du verwendest einen Reverse-Proxy. Je nachdem, was deine Konstruktion für einen Zweck erfüllen soll.

[Starfox]

Hi Thorashh,

danke für die schnelle Antwort, ich habs jetzt per DNS Umleitung hinbekommen, diese gilt wohl dann auch für alle Rechner im Netzwerk.

Code:

server=/google.com/8.8.8.8

in der dnsmasq.conf

leitet mir alle DNS Anfragen von google.com an die 8.8.8.8 weiter.

Gibt es hier irgendwas an Sicherheit noch zu beachten ? wenn ich das richtig verstehe werden nur alle google.com Anfragen an die 8.8.8.8 weitergeleitet.

Gehe ich auf linuxforen.de wird das über den normal konfigurierten DNS beantwortet.

IP Weiterleitung war falsch ausgedrückt, DNS Weiterleitung hätte es ehr getroffen.

Aber mein erster Instinkt war von einer lokalen IP an die 8.8.8.8 weiterzuleiten, das muss ich aber gar nicht wenn es auch so geht.

[Thorashh]

Ich habe den Eindruck, das Du dich da in eine Lösung verrannt hast, die dein eigentliches Problem nicht lösen kann.
Mir ist jedenfalls nicht klar, was Du zu erreichen hoffst.

Schildere uns doch mal, was dein eigentliches Ziel ist.

[Starfox]

Hi Thorashh,

das eigentliche Ziel ist wenn ich mit sagen wir meinem Smartphone das die IP 192.x.x.x im Heimnetz hat auf google.com zugreife der Nameserver 8.8.8.8 verwendet werden soll

Greife ich aber mit meinem Smartphone auf ebay.de zu soll der normale Nameserver verwendet werden z.b. 1.1.1.1

Das sollte damit funktionieren oder ?

[Thorashh]

... wenn ich mit ... meinem Smartphone ... auf google.com zugreife der Nameserver 8.8.8.8 verwendet werden soll ...
Greife ich aber mit meinem Smartphone auf ebay.de zu soll der normale Nameserver verwendet werden z.b. 1.1.1.1

Wenn ich dich diesmal richtig verstanden habe, sollte das folgende config im Unbound erledigen (per DoT).

Code:

forward-zone:
    name: "google.com"
    forward-ssl-upstream: yes
    forward-addr: 8.8.8.8@853

forward-zone:
    name: "."
    forward-ssl-upstream: yes
    forward-addr: 1.1.1.1@853

[Starfox]

Morgen Thorashh,

ja hab ich im Unbound schon probiert exakt so wie du es geschrieben hast.

Problem hierbei: Das Google.com nicht für alle IP´s im Heimnetz geforwardet wird, sondern nur für den Localhost also 127.0.0.1

Warum das so ist kann ich nicht sagen.

in der /etc/resolv.conf steht die 127.0.0.1 als Nameserver wie ja Unbound bei der Installation bereits anlegt.

Dann hab ich noch Pi-Hole drauf der leitet die DNS Anfragen an Unbound weiter: 127.0.0.1#Port

Mit /etc/dnsmasq.d/01-dnsmasq.conf
geht das komischerweise dann für alle IP Adressen:
server=/google.com/8.8.8.8

Das Lustige ist die forward-zone name "." funktioniert für alle im Netzwerk

[Thorashh]

Problem hierbei: Das Google.com nicht für alle IP´s im Heimnetz geforwardet wird, sondern nur für den Localhost also 127.0.0.1

Dann stimmt irgendwas mit deiner DNS-Kaskade nicht.

Hast Du kontrolliert, das alle Geräte den richtigen DNS abfragen?

Wie sieht deine Konfiguration im ganzen des aus?
Wie bekommen die Geräte den DNS mitgeteilt?
In welcher Reihenfolge werden deine DNS abgefragt?
Wie sieht die resolv.conf jeweils aus?
...

[Starfox]

Also in der resolv.conf steht nur die 127.0.0.1 was ja auch stimmt weil Unbound der DNS Server ist.

Was aus den Internet kommt geht an Pi-Hole der leitet weiter auf die 127.0.0.1 als DNS Server also Unbound

Das macht er auch weil ich die Queries alle sehe und ich in der .log vom Unbound wird das einwandfrei aufgelöst.

Die Forward-Zone hatte ich in die Pi-Hole.conf geschrieben die im Unbound Ordner liegt (ist für Unbound zuständig) /etc/unbound/unbound.conf.d/pi-hole.conf

Ist konfiguriert wie hier:

https://docs.pi-hole.net/guides/dns/unbound/


Vielleicht weil das Interface auf 127.0.0.1 steht ?!?

[Thorashh]

Vorab: Wenn Du Hilfe von anderen haben möchtest, solltest Du:
- Fragen auch beantworten, die dir gestellt werden
- Schreibe keine Romane (eine Kopie der config-Dateien ist meisten aussagekräftiger)

Andere Nutzer kennen dein Setup nicht. Die notwendigen Informationen dazu musst Du liefern.

- - -

Also in der resolv.conf steht nur die 127.0.0.1 was ja auch stimmt weil Unbound der DNS Server ist.

Welcher Port?

Was aus den Internet kommt geht an Pi-Hole ...

Warum ist dein PiHoile aus dem Internet erreichbar?
Was hat das mit deinem Problem mit anderen internen Geräten zu tun?

... der leitet weiter auf die 127.0.0.1 als DNS Server also Unbound

Wie?
Welcher Port?

Und dann wären weiter oben noch ein paar unbeantwortete Fragen.

[Starfox]

Morgen,

also hier mal die Config Files:

Unbound:

Code:

server:
    # If no logfile is specified, syslog is used
    # logfile: "/var/log/unbound/unbound.log"
    verbosity: 0

    interface: 127.0.0.1
    port: 5335
    do-ip4: yes
    do-udp: yes
    do-tcp: yes

    # May be set to yes if you have IPv6 connectivity
    do-ip6: no

    # You want to leave this to no unless you have *native* IPv6. With 6to4 and
    # Terredo tunnels your web browser should favor IPv4 for the same reasons
    prefer-ip6: no

    # Use this only when you downloaded the list of primary root servers!
    # If you use the default dns-root-data package, unbound will find it automatically
    #root-hints: "/var/lib/unbound/root.hints"

    # Trust glue only if it is within the server's authority
    harden-glue: yes

    # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
    harden-dnssec-stripped: yes

    # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
    # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details
    use-caps-for-id: no

    # Reduce EDNS reassembly buffer size.
    # IP fragmentation is unreliable on the Internet today, and can cause
    # transmission failures when large DNS messages are sent via UDP. Even
    # when fragmentation does work, it may not be secure; it is theoretically
    # possible to spoof parts of a fragmented DNS message, without easy
    # detection at the receiving end. Recently, there was an excellent study
    # >>> Defragmenting DNS - Determining the optimal maximum UDP response size for DNS <<<
    # by Axel Koolhaas, and Tjeerd Slokker (https://indico.dns-oarc.net/event/36/contributions/776/)
    # in collaboration with NLnet Labs explored DNS using real world data from the
    # the RIPE Atlas probes and the researchers suggested different values for
    # IPv4 and IPv6 and in different scenarios. They advise that servers should
    # be configured to limit DNS messages sent over UDP to a size that will not
    # trigger fragmentation on typical network links. DNS servers can switch
    # from UDP to TCP when a DNS response is too big to fit in this limited
    # buffer size. This value has also been suggested in DNS Flag Day 2020.
    edns-buffer-size: 1232

    # Perform prefetching of close to expired message cache entries
    # This only applies to domains that have been frequently queried
    prefetch: yes

    # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine, it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
    num-threads: 1

    # Ensure kernel buffer is large enough to not lose messages in traffic spikes
    so-rcvbuf: 1m

    # Ensure privacy of local IP ranges
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

Dann die /etc/resolv.conf:

Code:

127.0.0.1

ja mehr steht da nicht drin

Dann noch die Pihole config:

Code:

BLOCKING_ENABLED=true
DNSSEC=true
REV_SERVER=true
REV_SERVER_CIDR=192.x.x.x/x
REV_SERVER_TARGET=192.x.x.x
REV_SERVER_DOMAIN=fritte
WEBUIBOXEDLAYOUT=boxed
WEBTHEME=default-dark
PIHOLE_INTERFACE=eth0
PIHOLE_DNS_1=127.0.0.1#5335
PIHOLE_DNS_2=
QUERY_LOGGING=true
INSTALL_WEB_SERVER=true
INSTALL_WEB_INTERFACE=true
LIGHTTPD_ENABLED=true
CACHE_SIZE=10000
DNS_FQDN_REQUIRED=true
DNS_BOGUS_PRIV=true
DNSMASQ_LISTENING=local

Pihole ist natürlich nicht aus dem Internet erreichbar das hab ich falsch geschrieben.

Die Reihenfolge von den DNS Abfragen ist Standard nehmen ich an, Cache zuerst dann beantwortet der Unbound die DNS Anfragen.

Die IP´s oben hab ich bissl geschwärzt mit x aber die passen definitiv, das ist nur für die Namensauflösung von der Fritzbox für Pihole

[Thorashh]

Dann die /etc/resolv.conf:

Code:

127.0.0.1

Das sollte mindestens so aussehen:

Code:

nameserver 127.0.0.1

- - -
Nach deiner Konfiguration, sollten lokale Abfrage an PiHole (127.0.0.1@53) gehen und von da an unbound (127.0.0.1@5353) weitergereicht werden.

- - -

Die Forward-Zone hatte ich in die Pi-Hole.conf geschrieben die im Unbound Ordner liegt (ist für Unbound zuständig) /etc/unbound/unbound.conf.d/pi-hole.conf

Ich sehe in deiner unbound.conf keine include Anweisung. Die pi-hole.conf dürfte also gar nicht aktiv sein (und damit auch kein Forwarding).

Code:

...
include: /etc/unbound/unbound.conf.d/*.conf

- - -
Immer noch offen ist die Frage, welchen DNS-Server deine anderen Geräte abfragen, bzw. wie bei denen PiHole als DNS-Server konfiguriert ist.

Falls das, nach den Änderungen oben, noch relevant ist.

[Starfox]

Guten Morgen,

den "Nameserver" hatte ich hier im Forum vergessen in der Eile zu tippen, der steht natürlich in der /etc/resolv.conf mit drin.

Das include der .conf Files steht in der /etc/unbound/unbound.conf

# The following line includes additional configuration files from the
# /etc/unbound/unbound.conf.d directory.
include-toplevel: "/etc/unbound/unbound.conf.d/*.conf"

Das includiert die pi-hole.conf unter unbound.conf.d mit.

Die Abfragen gehen über Port 53 und dann über 5335 an Unbound richtig.

Das funktioniert auch weil die Netzwerkclients alle in Pihole stehen und ich vom Unbound Server die DNS Queries sehe (Answered by Localhost 5335)


Die restlichen Netzwerkclients gehen über die Fritzbox (Netzwerk IPv4 DNS Server = der Unbound Server) (Zugangsdaten -> DNS ist der Unbound Server)

Nslookup bestätigt mir auch hier die Clients senden an den Unbound/Pihole Server und es kommt dort auch an und wird verarbeitet.

Jetzt bleibt nur noch die Frage warum geht die blöde Forward-Zone nicht bei den Clients ?