Opnsens Unbound reagiert nach Umstellung auf Glasfaser nicht mehr wie erwartet

Hallo zusammen,

ich denke zwar, dass meine Frage hier nicht ganz der korrekte Ort ist aber im Opnsense-Forum warte ich seit Tagen auf eine Reaktion, daher hier mein Versuch:

Ich vermisse nach der Glasfaseranbindung an das Glasfasermodem2 die Filterfunktion meines Unbounds...

Zuerst als Testumgebung:

Mini-PC mit 2x RJ45
ETH0 - war testeshalber als WAN-Schnittstelle(*.189.1) definiert, welche mit der LAN-Schnittstelle des DSL-Moden verbunden war
ETH1 - LAN(DHCP-Server)[*.140.1] mit Anschluss an einen Switch
--> Unbound funktionierte und filtert nach Sperrlisten alle Clients am Switch.

Aktuell:
ETH0 - Glasfaseranschluss(*.100.1) - voll funktionsfähig, Zugriff auf Webseiten und eMailabruf kunktionieren tadellos.
ETH1 - LAN(*.140.1) als DHCP-Server mit einem Client testeshalber direkt verbunden
--> Unbound protokolliert nur den Verkehr der OpnSense(ntp.*, forum.opnsense.com, ...) mit A/AAA und vielen RTP mehr nicht...kein Client mehr.
Unbound hört wie eingerichtet auf allen Schnittstellen mit Port 53 - wurde zum vorherigen Zustand nicht verändert.

Danke und Gruß
Neuro

Der Client hat eine DHCPv4 Adresse von Opnsense erhalten.

Zitat von frank_m

Wissen die Clients auch, dass sie den Unbound als DNS Server nutzen sollen?

Welche Technologie benutzt der Glasfaseranschluss für den Zugang? PPPOE? Weil: Wenn er einfach IPoE macht, dann wird diese statische IP möglicherweise für Probleme sorgen.

Wie erkenne ich dieses und wo liegt der Unterschied zwischen dem Testfall und dier GF-Anbindung?

Es liegt eine klassische PPPoE Verbindung (DTAG) vor.

Zitat von ::1

Also der Client hat nur eine IPv4-Adresse, aber keine IPv6-Adresse?

Und die IPv4-Adresse des per DHCP-Option erhaltenen DNS-Servers entspricht *.140.1?

Ich frage nur, um herauszufinden, ob der Client evtl. noch einen anderen Resolver anstelle des UNBOUND fragen könnte, z.B. via IPv6 und somit ggf. deinen UNBOUND umgehen könnte.

v6 ist deaktiviert - ist die Nutzung von v6 am GF zwingend erforderlich?

Der Client bucht sich direkt bei Kabelverbindung mit der Opnsense dort ein und erhält auch aus dem Nummernraum die korrekte IP-Adresse.

Ich habe das Gefühl, dass durch das Hinzufügen von mehreren neuen Schnittstellen beim Einrichten der GF-Anbindung(vlan + PPPoE) hinsichtlich des Routings und der Adressierung mein Horizont beschränkt ist.

Mit dem PPPoE-Interface habe ich ja auch ein neues Gateway erhalten. Ist dieses Notwendig für irgendeine Konfiguration innerhalb der Opnsense?

Was ich ebenfalls festgestellt habe ist, dass das Frontend der Opnsense nach einer gewissen Zeit(~5-7 min.) beginnt, einzufrieren...das Dashboard bleibt still...

Zitat von frank_m

Schau dir an, welchen DNS Server deine Clients benutzen. Je nach Client ist das unterschiedlich.

Gehe ich in die NEtzwerkeinstellungen am Rechner, hat der Client den DNS der Opnsense (*.*.140.1)

Schau ich in der Opnsense nach - ICS DHCPv4 - Client, ...ich kann leider nicht nachschauen, da die View eingefroren bleibt...

Zitat von ::1

Also, wenn dein Client beliebige Internet-FQDNs per DNS auflösen kann (kann er?), die zugehörigen DNS-Requests jedoch in deinem UNBOUND-Log nicht auftauchen, dann liegt der Verdacht nahe, dass dein Client unter Umgehung des UNBOUND einen anderen Resolver verwenden kann (über ein anderes Interface und/oder via IPv6 statt IPv4).

Die Vermutung liegt nahe und daran habe ich auch gedacht...

Ich habe auf den Schnittstellen LAN&WAN v6 deaktiviert - wie ich aber schonsagte, kann es sein, dass die neu hinzugefügten Schnittstellen vlan&PPPoE v6 nutzen. Da muss ich, wenn das Frontend wieder nutzbar ist(derzeit eingefroren), nachschauen.

Zitat von ::1

Da könnte ein Packet-Capture am Client helfen. Aus dem ginge hervor, welchen Resolver er verwendet.

Werde ich aufsetzten - Linux und wireshark, ettercap...

...ich kann mich derzeit nicht mal mehr mit der Opnsense via GUI bzw. über RJ45 Kontakt...weder als DHCP noch über manuelle Einstellung...

Hoffentlich liegt hier kein HW-Fehler vor...

Zitat von frank_m

Was prinzipiell auch sein kann, dass die OPNSense am Unbound vorbei arbeitet. Wenn du sagst, dass du neue Interfaces und PPPOE Verbindungen eingerichtet hast, ist es denkbar, dass die auch die resolv.conf so verändern, dass da plötzlich ein anderer DNS drin steht.

Ebenfalls guter Hinweis.

Ich muss jetzt erstmal auf meine Kiste kommen und dann fange ich an, der Verkehr mitzuschneiden und in die resolv.conf zu schauen...

Im Moment habe ich eher Angst, dass die Opnsense-Kiste oder die Schnittstelen hinüber sind.

Ich komme über die RJ-Buchsen nicht mehr zum Connect, jedoch funktioniert der direkte Zugriff auf den Rechner mit Tastatur/Maus und Bildschirm...ich habe gerade echt andere Probleme...

Dennoch gilt mein Dank den Ideengeber und ich melde mich wieder.

Gruß

Neuro

Jungs, es ist noch eine Rückmeldung fällig...

Ich musste die Kiste komplett neu installieren - die Einstellungen waren "hinüber" und ein Reset hat's auch nicht gebracht...wie auch immer.

Neu installiert und alles funktionierte:

Internet, VoIP mit FB DECT, jetzt bastel ich noch meinen eigenen internen, bereits funktionierenden WireguardServer zum "OPNsense Ausgang".

Danke nochmals.

Neuro