Aktuell haben wir im Lab eine Test-Installation bestehend aus einer OPNsense als Firewall-Router und dahinter diverse Systeme. Hierbei fiel auf, das offenbar der DNS-Server der an der WAN-Schnittstelle per DHCP übermittelt wird in Version 24.1.5_3 ignoriert wird.

Die OPNsense-Installation ist gerade mal gut 48 Stunden alt und zudem nur rudimentär eingerichtet, also installiert, Erst-Einrichtungs-Assistent durchlaufen, alle aktuellen Updates eingespielt, fertig. Die WAN-Schnittstelle hängt dabei in unserem Lab/Werkstatt-Netz, d.h. nicht direkt an einem Internet-Anschluss. So weit alles nichts ungewöhnliches. Grundsätzlich läuft auch alles, außer das bei Tests der Namensauflösung auffiel, das ein eingerichtetes Split-DNS nicht funktioniert. Gemeint ist das offenbar die OPNsense direkt über die DNS-Root-Server abfragen durchführt, statt diese an den DNS-Server der auf der WAN-Seite verfügbar ist zu senden.

In der Voreinstellung nutzt OPNsense sowohl Unbound als DNS-Resolver, ferner ist unter

System - Settings - General - DNS server options - Allow DNS server list to be overridden by DHCP/PPP on WAN

aktiviert. Schaut man an der Konsole oder via ssh in

/etc/resolv.conf

sieht man den übermittelten DNS-Server auch, aber dennoch wird dieser offenbar nicht verwendet.

Deaktiviert man die obige Option und trägt stattdessen unter

System - Settings - General - DNS servers

den DNS-Server ein, so funktioniert dies ebenfalls nicht wie erwartet.

Aktiviert man unter

Services - Unbound DNS - Query Forwarding

die Option “Use System Nameservers” funktioniert anschließend überhaupt keine Namensauflösung mehr.

Interessanterweise funktioniert es plötzlich wenn man unter

Services - Unbound DNS - DNS over TLS

“Use System Nameservers” aktiviert.

Das Kuriose hieran ist: Der vorgelagerte DNS-Server nutzt gar kein TLS bzw. DNS over TLS. Zusätzlich ist plötzlich zudem das “Query Forwarding” aktiviert bzw. deaktiviert sich von selbst wenn man es selbst oder “DNS over TLS” wieder deaktiviert, als wären beide Optionen miteinander verbunden.

So richtig schlau werde ich im Moment aus dieser Situation nicht, allerdings fehlen mir auch Erfahrungswerte mit OPNsense. Möglicherweise ist das Ganze ein Bug oder doch ein Feature?

Der Vollständigkeit halber: Den Unbound-Daemon neu zu starten, den DNS-Cache leeren oder ein OPNsense-Neustart hilft übrigens nicht.

Quelle

Home Network Guy – Confused about the DNS Configuration in OPNsense?