Anzeige:
Ergebnis 1 bis 13 von 13

Thema: IP Weiterleitung mit Unbound oder Dnsmasq

  1. #1
    Registrierter Benutzer
    Registriert seit
    Sep 2022
    Beiträge
    7

    IP Weiterleitung mit Unbound oder Dnsmasq

    Guten Morgen zusammen,

    ich bin neu hier und will erstmal alle begrüßen und einen schönen guten Morgen wünschen.

    Ich hab folgendes Problem, ich bekomme keine Nameserver weiterleitung hin.

    Als DNS Server ist bei mir Unbound installiert, aber die Weiterleitung würde ja auch mit Dnsmasq gehen.

    Folgendes hab ich probiert:

    //etc/hosts
    192.x.x.x Name-Name

    eingetragen zur Namensauflösung

    in /etc/dnsmasq.d hab ich 02-redirect.conf erstellt und eingetragen:

    server=/192.x.x.x/152.x.x.x

    was ich noch probiert hab war:

    server=/name-name/152.x.x.x

    in Unbound hab ich probiert:

    forward-zone:
    name: "name-name"
    forward-tls-stream: no
    forward-addr: 152.x.x.x

    und

    forward-zone:
    name: "192.x.x.x"
    forward-tls-stream: no
    forward-addr: 152.x.x.x


    leider funktioniert keines der oben genannten wirklich, wer kann mir helfen ?

  2. #2
    Registrierter Benutzer
    Registriert seit
    Jul 2006
    Ort
    Hamburg
    Beiträge
    642
    Zitat Zitat von Starfox Beitrag anzeigen
    leider funktioniert keines der oben genannten wirklich, ...
    Das ist kein Wunder.

    Ein DNS-Server ist für eine Übersetzung Domain <-> IP-Adresse zuständig. IP <-> IP geht damit nicht.

    Entweder Du machst das mit deiner Firewall, oder du verwendest einen Reverse-Proxy. Je nachdem, was deine Konstruktion für einen Zweck erfüllen soll.

  3. #3
    Registrierter Benutzer
    Registriert seit
    Sep 2022
    Beiträge
    7
    Hi Thorashh,

    danke für die schnelle Antwort, ich habs jetzt per DNS Umleitung hinbekommen, diese gilt wohl dann auch für alle Rechner im Netzwerk.

    Code:
    server=/google.com/8.8.8.8
    in der dnsmasq.conf

    leitet mir alle DNS Anfragen von google.com an die 8.8.8.8 weiter.

    Gibt es hier irgendwas an Sicherheit noch zu beachten ? wenn ich das richtig verstehe werden nur alle google.com Anfragen an die 8.8.8.8 weitergeleitet.

    Gehe ich auf linuxforen.de wird das über den normal konfigurierten DNS beantwortet.

    IP Weiterleitung war falsch ausgedrückt, DNS Weiterleitung hätte es ehr getroffen.

    Aber mein erster Instinkt war von einer lokalen IP an die 8.8.8.8 weiterzuleiten, das muss ich aber gar nicht wenn es auch so geht.

  4. #4
    Registrierter Benutzer
    Registriert seit
    Jul 2006
    Ort
    Hamburg
    Beiträge
    642
    Ich habe den Eindruck, das Du dich da in eine Lösung verrannt hast, die dein eigentliches Problem nicht lösen kann.
    Mir ist jedenfalls nicht klar, was Du zu erreichen hoffst.

    Schildere uns doch mal, was dein eigentliches Ziel ist.

  5. #5
    Registrierter Benutzer
    Registriert seit
    Sep 2022
    Beiträge
    7
    Hi Thorashh,

    das eigentliche Ziel ist wenn ich mit sagen wir meinem Smartphone das die IP 192.x.x.x im Heimnetz hat auf google.com zugreife der Nameserver 8.8.8.8 verwendet werden soll

    Greife ich aber mit meinem Smartphone auf ebay.de zu soll der normale Nameserver verwendet werden z.b. 1.1.1.1

    Das sollte damit funktionieren oder ?

  6. #6
    Registrierter Benutzer
    Registriert seit
    Jul 2006
    Ort
    Hamburg
    Beiträge
    642
    Zitat Zitat von Starfox Beitrag anzeigen
    ... wenn ich mit ... meinem Smartphone ... auf google.com zugreife der Nameserver 8.8.8.8 verwendet werden soll ...
    Greife ich aber mit meinem Smartphone auf ebay.de zu soll der normale Nameserver verwendet werden z.b. 1.1.1.1
    Wenn ich dich diesmal richtig verstanden habe, sollte das folgende config im Unbound erledigen (per DoT).
    Code:
    forward-zone:
        name: "google.com"
        forward-ssl-upstream: yes
        forward-addr: 8.8.8.8@853
    
    forward-zone:
        name: "."
        forward-ssl-upstream: yes
        forward-addr: 1.1.1.1@853
    Geändert von Thorashh (17.09.22 um 22:49 Uhr)

  7. #7
    Registrierter Benutzer
    Registriert seit
    Sep 2022
    Beiträge
    7
    Morgen Thorashh,

    ja hab ich im Unbound schon probiert exakt so wie du es geschrieben hast.

    Problem hierbei: Das Google.com nicht für alle IP´s im Heimnetz geforwardet wird, sondern nur für den Localhost also 127.0.0.1

    Warum das so ist kann ich nicht sagen.

    in der /etc/resolv.conf steht die 127.0.0.1 als Nameserver wie ja Unbound bei der Installation bereits anlegt.

    Dann hab ich noch Pi-Hole drauf der leitet die DNS Anfragen an Unbound weiter: 127.0.0.1#Port

    Mit /etc/dnsmasq.d/01-dnsmasq.conf
    geht das komischerweise dann für alle IP Adressen:
    server=/google.com/8.8.8.8

    Das Lustige ist die forward-zone name "." funktioniert für alle im Netzwerk

  8. #8
    Registrierter Benutzer
    Registriert seit
    Jul 2006
    Ort
    Hamburg
    Beiträge
    642
    Zitat Zitat von Starfox Beitrag anzeigen
    Problem hierbei: Das Google.com nicht für alle IP´s im Heimnetz geforwardet wird, sondern nur für den Localhost also 127.0.0.1
    Dann stimmt irgendwas mit deiner DNS-Kaskade nicht.

    Hast Du kontrolliert, das alle Geräte den richtigen DNS abfragen?

    Wie sieht deine Konfiguration im ganzen des aus?
    Wie bekommen die Geräte den DNS mitgeteilt?
    In welcher Reihenfolge werden deine DNS abgefragt?
    Wie sieht die resolv.conf jeweils aus?
    ...

  9. #9
    Registrierter Benutzer
    Registriert seit
    Sep 2022
    Beiträge
    7
    Also in der resolv.conf steht nur die 127.0.0.1 was ja auch stimmt weil Unbound der DNS Server ist.

    Was aus den Internet kommt geht an Pi-Hole der leitet weiter auf die 127.0.0.1 als DNS Server also Unbound

    Das macht er auch weil ich die Queries alle sehe und ich in der .log vom Unbound wird das einwandfrei aufgelöst.

    Die Forward-Zone hatte ich in die Pi-Hole.conf geschrieben die im Unbound Ordner liegt (ist für Unbound zuständig) /etc/unbound/unbound.conf.d/pi-hole.conf

    Ist konfiguriert wie hier:

    https://docs.pi-hole.net/guides/dns/unbound/


    Vielleicht weil das Interface auf 127.0.0.1 steht ?!?

  10. #10
    Registrierter Benutzer
    Registriert seit
    Jul 2006
    Ort
    Hamburg
    Beiträge
    642
    Vorab: Wenn Du Hilfe von anderen haben möchtest, solltest Du:
    - Fragen auch beantworten, die dir gestellt werden
    - Schreibe keine Romane (eine Kopie der config-Dateien ist meisten aussagekräftiger)

    Andere Nutzer kennen dein Setup nicht. Die notwendigen Informationen dazu musst Du liefern.

    - - -

    Zitat Zitat von Starfox Beitrag anzeigen
    Also in der resolv.conf steht nur die 127.0.0.1 was ja auch stimmt weil Unbound der DNS Server ist.
    Welcher Port?

    Zitat Zitat von Starfox Beitrag anzeigen
    Was aus den Internet kommt geht an Pi-Hole ...
    Warum ist dein PiHoile aus dem Internet erreichbar?
    Was hat das mit deinem Problem mit anderen internen Geräten zu tun?

    Zitat Zitat von Starfox Beitrag anzeigen
    ... der leitet weiter auf die 127.0.0.1 als DNS Server also Unbound
    Wie?
    Welcher Port?

    Und dann wären weiter oben noch ein paar unbeantwortete Fragen.

  11. #11
    Registrierter Benutzer
    Registriert seit
    Sep 2022
    Beiträge
    7
    Morgen,

    also hier mal die Config Files:

    Unbound:

    Code:
    server:
        # If no logfile is specified, syslog is used
        # logfile: "/var/log/unbound/unbound.log"
        verbosity: 0
    
        interface: 127.0.0.1
        port: 5335
        do-ip4: yes
        do-udp: yes
        do-tcp: yes
    
        # May be set to yes if you have IPv6 connectivity
        do-ip6: no
    
        # You want to leave this to no unless you have *native* IPv6. With 6to4 and
        # Terredo tunnels your web browser should favor IPv4 for the same reasons
        prefer-ip6: no
    
        # Use this only when you downloaded the list of primary root servers!
        # If you use the default dns-root-data package, unbound will find it automatically
        #root-hints: "/var/lib/unbound/root.hints"
    
        # Trust glue only if it is within the server's authority
        harden-glue: yes
    
        # Require DNSSEC data for trust-anchored zones, if such data is absent, the zone becomes BOGUS
        harden-dnssec-stripped: yes
    
        # Don't use Capitalization randomization as it known to cause DNSSEC issues sometimes
        # see https://discourse.pi-hole.net/t/unbound-stubby-or-dnscrypt-proxy/9378 for further details
        use-caps-for-id: no
    
        # Reduce EDNS reassembly buffer size.
        # IP fragmentation is unreliable on the Internet today, and can cause
        # transmission failures when large DNS messages are sent via UDP. Even
        # when fragmentation does work, it may not be secure; it is theoretically
        # possible to spoof parts of a fragmented DNS message, without easy
        # detection at the receiving end. Recently, there was an excellent study
        # >>> Defragmenting DNS - Determining the optimal maximum UDP response size for DNS <<<
        # by Axel Koolhaas, and Tjeerd Slokker (https://indico.dns-oarc.net/event/36/contributions/776/)
        # in collaboration with NLnet Labs explored DNS using real world data from the
        # the RIPE Atlas probes and the researchers suggested different values for
        # IPv4 and IPv6 and in different scenarios. They advise that servers should
        # be configured to limit DNS messages sent over UDP to a size that will not
        # trigger fragmentation on typical network links. DNS servers can switch
        # from UDP to TCP when a DNS response is too big to fit in this limited
        # buffer size. This value has also been suggested in DNS Flag Day 2020.
        edns-buffer-size: 1232
    
        # Perform prefetching of close to expired message cache entries
        # This only applies to domains that have been frequently queried
        prefetch: yes
    
        # One thread should be sufficient, can be increased on beefy machines. In reality for most users running on small networks or on a single machine, it should be unnecessary to seek performance enhancement by increasing num-threads above 1.
        num-threads: 1
    
        # Ensure kernel buffer is large enough to not lose messages in traffic spikes
        so-rcvbuf: 1m
    
        # Ensure privacy of local IP ranges
        private-address: 192.168.0.0/16
        private-address: 169.254.0.0/16
        private-address: 172.16.0.0/12
        private-address: 10.0.0.0/8
        private-address: fd00::/8
        private-address: fe80::/10
    Dann die /etc/resolv.conf:

    Code:
    127.0.0.1
    ja mehr steht da nicht drin

    Dann noch die Pihole config:

    Code:
    BLOCKING_ENABLED=true
    DNSSEC=true
    REV_SERVER=true
    REV_SERVER_CIDR=192.x.x.x/x
    REV_SERVER_TARGET=192.x.x.x
    REV_SERVER_DOMAIN=fritte
    WEBUIBOXEDLAYOUT=boxed
    WEBTHEME=default-dark
    PIHOLE_INTERFACE=eth0
    PIHOLE_DNS_1=127.0.0.1#5335
    PIHOLE_DNS_2=
    QUERY_LOGGING=true
    INSTALL_WEB_SERVER=true
    INSTALL_WEB_INTERFACE=true
    LIGHTTPD_ENABLED=true
    CACHE_SIZE=10000
    DNS_FQDN_REQUIRED=true
    DNS_BOGUS_PRIV=true
    DNSMASQ_LISTENING=local
    Pihole ist natürlich nicht aus dem Internet erreichbar das hab ich falsch geschrieben.

    Die Reihenfolge von den DNS Abfragen ist Standard nehmen ich an, Cache zuerst dann beantwortet der Unbound die DNS Anfragen.

    Die IP´s oben hab ich bissl geschwärzt mit x aber die passen definitiv, das ist nur für die Namensauflösung von der Fritzbox für Pihole

  12. #12
    Registrierter Benutzer
    Registriert seit
    Jul 2006
    Ort
    Hamburg
    Beiträge
    642
    Zitat Zitat von Starfox Beitrag anzeigen
    Dann die /etc/resolv.conf:
    Code:
    127.0.0.1
    Das sollte mindestens so aussehen:
    Code:
    nameserver 127.0.0.1
    - - -
    Nach deiner Konfiguration, sollten lokale Abfrage an PiHole (127.0.0.1@53) gehen und von da an unbound (127.0.0.1@5353) weitergereicht werden.

    - - -
    Zitat Zitat von Starfox Beitrag anzeigen
    Die Forward-Zone hatte ich in die Pi-Hole.conf geschrieben die im Unbound Ordner liegt (ist für Unbound zuständig) /etc/unbound/unbound.conf.d/pi-hole.conf
    Ich sehe in deiner unbound.conf keine include Anweisung. Die pi-hole.conf dürfte also gar nicht aktiv sein (und damit auch kein Forwarding).
    Code:
    ...
    include: /etc/unbound/unbound.conf.d/*.conf
    - - -
    Immer noch offen ist die Frage, welchen DNS-Server deine anderen Geräte abfragen, bzw. wie bei denen PiHole als DNS-Server konfiguriert ist.

    Falls das, nach den Änderungen oben, noch relevant ist.

  13. #13
    Registrierter Benutzer
    Registriert seit
    Sep 2022
    Beiträge
    7
    Guten Morgen,

    den "Nameserver" hatte ich hier im Forum vergessen in der Eile zu tippen, der steht natürlich in der /etc/resolv.conf mit drin.

    Das include der .conf Files steht in der /etc/unbound/unbound.conf

    # The following line includes additional configuration files from the
    # /etc/unbound/unbound.conf.d directory.
    include-toplevel: "/etc/unbound/unbound.conf.d/*.conf"
    Das includiert die pi-hole.conf unter unbound.conf.d mit.

    Die Abfragen gehen über Port 53 und dann über 5335 an Unbound richtig.

    Das funktioniert auch weil die Netzwerkclients alle in Pihole stehen und ich vom Unbound Server die DNS Queries sehe (Answered by Localhost 5335)


    Die restlichen Netzwerkclients gehen über die Fritzbox (Netzwerk IPv4 DNS Server = der Unbound Server) (Zugangsdaten -> DNS ist der Unbound Server)

    Nslookup bestätigt mir auch hier die Clients senden an den Unbound/Pihole Server und es kommt dort auch an und wird verarbeitet.

    Jetzt bleibt nur noch die Frage warum geht die blöde Forward-Zone nicht bei den Clients ?

Ähnliche Themen

  1. Antworten: 3
    Letzter Beitrag: 11.11.08, 14:38
  2. Antworten: 4
    Letzter Beitrag: 04.03.04, 01:11
  3. IP-Weiterleitung oder was?
    Von Master_JoM im Forum Linux in heterogenen Netzen
    Antworten: 3
    Letzter Beitrag: 11.01.04, 01:34
  4. Problem mit dnsmasq und /etc/hosts
    Von cyberian im Forum Linux als Server
    Antworten: 7
    Letzter Beitrag: 24.07.03, 01:01
  5. Dnsmasq - a DNS forwarder for NAT firewalls
    Von linuxhanz im Forum Neue Programme/Versionen
    Antworten: 0
    Letzter Beitrag: 25.02.03, 20:37

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •