*Inhalt gelöscht*
Zuletzt bearbeitet von einem Moderator:
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Das ist korrekt, die IPs sind tatsächlich nur über die TI VPN Infrastruktur erreichbar, das ist für das DNS Problem aber tatsächlich irrelevant.@Anderer67 Da läuft aber anscheinend nix drauf.
Stimmt... so erklärt ergibt das Sinn(insbesondere) wenn Du noch die Option "don't use local DNS service ..." Aktiv hast, nutzt die Firewall selbst nicht unbound, sondern fragt direkt die eingestellten DNS Server. Deshalb dürfte das über Interfaces- Diagnostics - DNS Lookup funktionieren.
Aktuell ja, möchte das Feature aber nutzen. Allerdings: selbst wenn die Blocklisten aktiv sind würde er die Domain ja auf 0.0.0.0 auflösen und nicht ... naja nicht.Zur Sicherheit: DNS blocklisten hast Du ausgeschaltet?
Oder unbound in den Forward Modus schalten.
noch besser gefällt, da les ich mich mal ein.Ansonsten müsstest Du ggfs Split DNS einrichten, daher anfragen an .Info direkt an upstream und alles andere an unbound.
DAS war der Tipp, läuft so einwandfrei. Und AdGuard (das ist noch völlig an mir vorbei gegangen) ist mir neu gewesen, hat mir aber direkt ausnehmend gut gefallen und hat direkt meinen heimischen Pi-Hole beerbt 🙃Nur um das erwähnt zu haben: Du kannst Split DNS und adblocking sehr gut und übersichtlich über adguard Home lösen, dass als Plugin für Opnsense verfügbar ist. Lokales DNS kannst Du dann an unbound weiterreichen (oder auch alles bis auf .Info, je nach Belieben).
Korrekt - allerdings mit Nachteil, dass der upstream resolver (dns.quad9.net oder wer auch immer) Zugriff auf alle Deine vollen Anfragen hat. Klar kann man mehrere upstreams machen und die Anfragen verteilen. Beim unbound resolver könnte (zB ISP) alle DNS-Anfragen belauschen, aber sonst kommt man nicht an die vollen DNS-Anfragen - und wer die mitschneiden kann, kann auch die danach angefunkten IP-Adressen direkt mitschneiden ...@asche77 Ich favorisiere ja zweites, weil nur hier eine durchgehende Verschlüsselung gegeben ist. So zumindest bei meiner Sense.
Das verwechselst Du mit OpenDNS - die gehören zu Cisco. Quad9 ist eine unabhängige Stiftung Schweizer Rechts (früher wohl mal in den USA, sind aber in die Schweiz umgezogen, um dem US-Recht zu entgehen)wobei Quad9 doch mittlerweile zu Cisco gehört, oder ?
Wenn man den Resolver neu startet, ist er erst mal langsam, aber sobald sich der Cache einigermaßen gefüllt hat, geht ein lokaler Resolver ab wie Lutzi. Die Cache-Trefferquote liegt bei mir bei ca. 80 %.Von local Resolvern bin ich mittlerweile wieder abgerückt, ist mir zu langsam gewesen.
Das ist auch meine Beobachtung - mit Cache, prefetch, serve expired gewinnt unbound als local resolver schnell an Fahrt. Habe aber noch Probleme, dass er dann bestimmte Domains nicht auflösen will (liefert zB nur CNAME aber keinen A record).Wenn man den Resolver neu startet, ist er erst mal langsam, aber sobald sich der Cache einigermaßen gefüllt hat, geht ein lokaler Resolver ab wie Lutzi. Die Cache-Trefferquote liegt bei mir bei ca. 80 %.
Doppelte DNSBL - adguard, nextdns, quad9 et Al filtern ja auch böse Adressen raus. Vorteil vermutlich gering, wenn man selbst DNSBL verwendet.Gibt es einen Vorteil durch Upstreams im Vergleich zum "Selberauflösen"?
1.Heya, ich hab mal 2 Fragen zu meinem OPNsense-Aufbau.
Die erste Frage ist zu VPN-Verbindungen vom Telefon in mein Netzwerk. Meine OPNsense ist hinter einer Fritzbox, diese ist dabei Router für ein 192er Netz das als WAN in die OPNsense geht. Jetzt würde ich gerne eine VPN-Verbindung in dieses Netzwerk kriegen - wie gehe ich da am besten vor?
Die zweite Frage ist zur Firewall. Kann ich bestimmte Hostadressen (also DNS-Namen bzw volle URLs) in der Firewall erlauben? Wenn ja, wie geht das?
Das Hauptproblem besteht schon in dem Parallelweg zu deiner OPNsense.Frage: könnte man stattdessen nicht Port 1:65530 an die OPNsense leiten und 31-35 für andere Dienste nutzen? Oder gibt das Probleme?
Das ist korrekt, bzw einfacher weil sie keine Clients hat.Das Hauptproblem besteht schon in dem Parallelweg zu deiner OPNsense.
Das VPN-Gerät ist ja quasi ein zweiter Router in dein Netz, da musst du dieselben FW-Einstellungen machen wie in der OPNsense.
Warum nicht einfach richtig machen?als Backup falls die OPNsense ausfällt (die ist eine VM auf dem einzigen Virtualisierer ein Single Point of Failure) für Fernzugriff auf iLO etc...
1.Ich wollte eigentlich keinen Exposed Host einrichten, weil ich mich hinter meiner natürlichen NAT-"Firewall" der Fritze ganz wohl fühle. Wenn ich jetzt einen Posrt doppelt NATen muss, finde ich das weniger schlimm als auf die zusätzliche Sicherheit zu verzichten - denn gehen tut es ja. Das ist dann nicht Mission-Critical, ich würde gar auf DynDNS verzichten (stattdessen bei IP-Wechsel mein Telefon darüber informieren). Die Frage ist nur: Wie geht dem?
Zu der zweiten Anfrage: Wie würde man denn folgendes realisieren: Alle Geräte in einem Netz (Tablets für Kinder) sollen nur Updates ziehen können und den Store besuchen können, alles andere soll zu bleiben. Idee?