Настройка DNS-преобразователя Pfsense

Обновлено: 21.11.2024

Эта фиксация не принадлежит ни к одной из веток в этом репозитории и может принадлежать ответвлению за пределами репозитория.

  • Открыть с рабочего стола
  • Просмотреть в необработанном виде
  • Копировать исходное содержимое Копировать необработанное содержимое

Копировать необработанное содержимое

Копировать необработанное содержимое

Настройка преобразователя DNS

Unbound — это проверяющий, рекурсивный и кэширующий преобразователь DNS. Он предоставляет различные модули, позволяющие выполнять проверку DNSSEC (безопасный DNS) и тупиковые преобразователи.

В программном обеспечении pfSense® версии 2.2 Unbound интегрирован в базовую систему. Unbound также является DNS-преобразователем по умолчанию для новых установок.

На этой странице рассказывается об использовании Unbound в базовой системе программного обеспечения pfSense версии 2.2 и выше.

Чтобы настроить Unbound в программном обеспечении pfSense версии 2.2, перейдите в раздел Службы > DNS Resolver. По умолчанию служба включена для новых установок. Системы, обновленные с более ранних версий программного обеспечения pfSense, должны были быть обновлены с включенным :doc:`DNS Forwarder`.

Unbound требует, чтобы :doc:`DNS Forwarder ` был отключен или перемещен на другой порт. Они обеспечивают одинаковые функции на одном и том же порту, поэтому они не могут одновременно подключаться к порту 53 для предоставления служб DNS.

Включить сопоставитель DNS: включение или отключение демона сопоставителя несвязанных DNS.

Сетевые интерфейсы: интерфейсы, используемые Unbound для прослушивания/привязки. По умолчанию прослушивание и ответ на запросы на всех интерфейсах. Сети, связанные с выбранными интерфейсами, будут автоматически добавлены в список разрешенных, которые могут использовать Unbound для DNS-запросов. Чтобы разрешить другим сетям запрашивать Unbound, используйте вкладку «Списки доступа».

Исходящие сетевые интерфейсы: определенные интерфейсы, используемые для получения исходящих запросов. По умолчанию может использоваться любой интерфейс. Может быть полезно для выбора определенного WAN или локального интерфейса для запросов VPN.

Включить поддержку DNSSEC: использование DNSSEC для проверки DNS-запросов. Имейте в виду, что рекомендуется отключить переадресацию и разрешить Unbound обрабатывать все разрешения DNS через корневые серверы, что является поведением по умолчанию.

Включить режим переадресации: определяет, будет ли Unbound запрашивать корневые серверы напрямую (не проверено, отключено) или запросы будут перенаправляться на вышестоящие DNS-серверы, указанные в разделе «Система» > «Общие», или полученные с помощью DHCP/PPPoE и т. д. (отмечено, включено). . Режим переадресации может быть включен, если вышестоящие DNS-серверы являются доверенными и также обеспечивают поддержку DNSSEC. Режим переадресации необходим для конфигураций с несколькими глобальными сетями, если не включено переключение шлюза по умолчанию.

Зарегистрируйте аренду DHCP в DNS Resolver: динамические сопоставления DHCP могут быть зарегистрированы в Unbound, что позволяет разрешать имена хостов, которым были назначены адреса DHCP-сервером в программном обеспечении pfSense. Это следует включать только в сетях, в которых можно доверять именам хостов клиентов или контролировать их.

Зарегистрируйте статические сопоставления DHCP в DNS Resolver: как указано выше, но для статических сопоставлений.

Поддержка комментариев TXT. Предоставляет возможность просмотра комментариев, связанных со статическими записями хоста, с использованием DNS. Чтобы просмотреть эти комментарии, нужно просто выполнить следующую команду:

Дополнительно: текстовая запись для расширенных директив, которые будут переданы непосредственно в Unbound.

Если возникают проблемы с добавлением таких параметров, как:

Поместите server: в строку перед этим следующим образом:

Unbound также поддерживает :doc:`Защиту от повторной привязки DNS` . Чтобы обойти эту защиту, в белый список определенных доменов можно добавить дополнительные параметры. Подробнее см. :doc:`Защита от повторной привязки DNS`.

Host Overrides позволяет создавать настраиваемые ответы/записи DNS для создания новых записей, которых нет в DNS за пределами брандмауэра, или для переопределения ответов DNS для других хостов.

Вкладка "Дополнительные настройки"

Вкладка «Дополнительно» содержит дополнительные полезные настройки, такие как:

  • Настройте размер кэша сообщений. Кэш сообщений используется для хранения кодов возврата DNS и статусов проверки. Выбранный размер кэша набора записей ресурсов будет автоматически установлен в два раза больше размера, который используется для хранения данных записей ресурсов.

Вкладка "Списки доступа"

При использовании определенных привязок интерфейса на главной вкладке или при разрешении запросов между VPN необходимы списки доступа, чтобы клиенты могли получить доступ к DNS Resolver. Определенные заведомо плохие клиенты или сети также могут быть отклонены.

При редактировании записи списка доступа доступны следующие параметры:

  • Имя списка доступа: имя для справки.
  • Действие: что делать с запросами, соответствующими этому списку доступа. Возможные действия включают:
    • Запретить: останавливает запросы от хостов.
    • Отказ: останавливает запросы от хостов и отправляет клиенту сообщение об ошибке DNS rcode REFUSED. Это удобнее для клиентов, чем Запретить, но менее безопасно, поскольку клиенты будут знать, что DNS-сервер присутствует.
    • Разрешить: разрешает запросы от хостов в определенной сети.
    • Разрешить отслеживание: разрешает рекурсивный и нерекурсивный доступ с хостов в определенной сети. Используется для отслеживания кеша и в идеале должен быть настроен только для административного хоста для устранения неполадок.

    Unbound предоставляет различные утилиты командной строки для управления сервером DNS Cache. Следующие команды управления в настоящее время недоступны в веб-интерфейсе, но их можно выполнить из командной строки в системе pfSense.

    Чтобы удалить элементы из кеша:

      unbound-control flush name — удаляет «имя» из кеша всех типов записей, которые включают флаг A, AAAA, NS -c, чтобы указать, где оно находится:

    Добро пожаловать на цифровую авеню. Привет, ребята, сегодня я собираюсь продемонстрировать, как установить и настроить dhcp-сервер и DNS-ресовер на pfsense 2.4.

    ШАГ 01: ОБЩАЯ КОНФИГУРАЦИЯ

    Systemc > Общие настройки

    Перейдите на вкладку "Система" и выберите "Общие настройки" в раскрывающемся меню.

    Измените следующие поля, как показано ниже.

    Имя хоста: определите осмысленное имя хоста для pfSense.

    Имя домена: укажите доменное имя, которое использует маршрутизатор pfsense.

    DNS-сервер: определение общедоступных авторитетных DNS-серверов для самого пользователя pfSense.

    ШАГ 02: НАСТРОЙКА DHCP-СЕРВЕРА

    Перейдите на вкладку "Службы" и выберите DHCP-сервер в раскрывающемся меню.

    Службы > DHCP-сервер

    Выберите интерфейс, на котором должен работать DHCP-сервер.

    Заполните соответствующие поля словами «Подсеть», «Маска подсети», «Диапазон», «DNS-серверы», «Шлюз» и «Имя домена»

    Измените все остальные параметры в соответствии с вашими требованиями.

    ШАГ 02: НАСТРОЙКА DNS-СЕРВЕРА

    Unbound интегрирован в pfSense. Unbound используется в качестве DNS-сервера.

    Перейдите на вкладку "Службы" и выберите "DNS Resolver" в раскрывающемся меню.

    Сервисы > Преобразователь DNS

    Включить сопоставитель DNS: включить/отключить сопоставитель DNS

    Сетевые интерфейсы: сетевые интерфейсы, которые прослушивают DNS-запросы от клиентов.

    Исходящие сетевые интерфейсы: определенные интерфейсы, передающие исходящие DNS-запросы на DNS-сервер более высокого уровня, например Google DNS. В большинстве случаев используются интерфейсы WAN.

    Включить поддержку DNSSEC. DNSSEC обеспечивает дополнительную безопасность DNS-запросов, которые проверяют DNS-запросы.

    Включить режим переадресации: несвязанные DNS-запросы перенаправляются на вышестоящий DNS-сервер, который указан в разделе «Система» > «Общие».

    Зарегистрируйте аренду DHCP в DNS Resolver: статические сопоставления DHCP могут быть зарегистрированы в Unbound, что позволяет разрешать имена хостов, которым DHCP-сервер назначил адреса в pfSense

    Переопределение хоста: позволяет создавать настраиваемые ответы/записи DNS для создания новых записей, которых нет в DNS за пределами брандмауэра, или для переопределения ответов DNS для других хостов.

    Ваш провайдер перехватил DNS?

    Интернет-провайдерам довольно легко перехватить DNS-запросы. Небольшое количество интернет-провайдеров (Comcast, CenturyLink, Time Warner, Cox, Rogers, Charter, Verizon, Sprint, T-Mobile, Frontier и т. д.) были уличены именно в этом. Хотите знать, почему? Рекламный доход.Когда вы неправильно пишете домен у некоторых интернет-провайдеров, вместо того, чтобы возвращать NXDOMAIN (не существует), как любой DNS-сервер, совместимый с RFC, он все равно разрешает домен, указывает его на страницу, которую они контролируют, и рекламирует вас! Это действительно плохая идея. Но есть способ предотвратить это от вашего интернет-провайдера…

    Использование серверов имен Google

    Если вы не разбираетесь в технологиях, использование 8.8.8.8 и 8.8.4.4, вероятно, лучше, чем серверы имен вашего интернет-провайдера. Это не повредит и, вероятно, поможет, но может и не помочь… Интернет-провайдеру очень просто направить эти IP-адреса на свои собственные серверы, и некоторые так и делают.

    Даже если ваш интернет-провайдер — настоящий профессионал и никогда бы этого не сделал, кто-то может настроить мошеннический DNS-сервер, выдавая себя за свой, и перехватить весь ваш DNS-трафик.

    Единственное решение — запросить у корневых серверов имен авторитетные DNS-серверы и использовать DNSSEC. Отключите любого стороннего поставщика DNS и запустите свой собственный DNS-сервер локально.

    Настройка несвязанного сервера на pfSense

    Unbound — это высокопроизводительный кэширующий DNS-сервер. Несвязанные рекурсивные запросы к авторитетным DNS-серверам напрямую, полностью минуя вашего интернет-провайдера. Он использует DNSSEC, чтобы убедиться, что ваши запросы не были подделаны. И что лучше всего, он кэширует результаты DNS локально (как это сделал бы ваш интернет-провайдер), но, поскольку он находится в вашей собственной сети, кэшированные DNS-запросы являются локальными!

    Вы можете настроить локальный сервер FreeBSD и запустить на нем Unbound, но если вы уже используете маршрутизатор, такой как pfSense или OPNsense, вы можете настроить сервер Unbound несколькими щелчками мыши.

    Откройте pfSense, сначала убедитесь, что сервер пересылки DNS в разделе «Службы» отключен. Предупреждение о медленности: если вы используете сеть поиска с низким уровнем запросов, например, в вашей домашней сети, отключенный сервер пересылки может привести к замедлению поиска, потому что вам приходится регулярно проходить DNS-серверы, чтобы получить результаты… иногда это может занять секунду или два и приводят к тайм-аутам DNS, когда он пытается пройти через серверы имен DNS. Если вы обнаружите, что несвязанная производительность низкая, я бы предложил включить режим переадресации, который будет использовать DNS-серверы, указанные в pfSense в системных общих настройках. В этом случае я бы рекомендовал указать их на 8.8.8.8 и 8.8.4.4. Если вы работаете с включенной переадресацией, вам следует убедиться, что ваш интернет-провайдер не перехватывает ваши результаты DNS, если это так, вам следует сменить интернет-провайдера.

    • Перейдите в раздел Службы, DNS Resolver.
    • Включить преобразователь DNS
    • Выберите сетевые интерфейсы, которые вы хотите прослушивать Unbound (не выбирайте ВСЕ, вы обязательно захотите выбрать LAN).
    • Тип локальной зоны системного домена: прозрачная
    • Включить поддержку DNSSEC
    • НЕ включайте режим переадресации
    • Вы также можете зарегистрировать DHCP-адреса в DNS Resolver, что очень удобно, если вы используете pfSense для управления DHCP.
    • Система, общие настройки
    • Убедитесь, что все поля DNS-сервера пусты. Переопределение DNS-сервера и
    • Необходимо снять флажок «Отключить DNS Forwarder».

    Наконец, в разделе «Службы» DHCP-сервер установите для DNS-сервера IP-адрес вашей локальной сети pfSense. Когда ваши DHCP-клиенты продлят аренду, они начнут использовать pfSense для DNS.

    Что касается производительности, если у вас низкая задержка для DNS вашего интернет-провайдера, вы, вероятно, ничего не заметите. Но если вы используете соединение с высокой задержкой и пингом 70 мс, как я, это имеет большое значение.

    Ваш преобразователь DNS Pfsense не работает? Ну, если так, то мы здесь, чтобы помочь. Pfsense — это фантастическое, бесплатное и многофункциональное решение для брандмауэра. Однако иногда все идет не так, как планировалось, когда ваш брандмауэр Pfsense работает неправильно.

    Если ваш преобразователь DNS Pfsense не работает, это может расстраивать. Хорошая новость, однако, заключается в том, что обычно это либо настройка брандмауэра, либо проблема с самими DNS-серверами.

    Хорошо попробовать перепроверить настройки, выполнить несколько простых тестов на странице администрирования брандмауэра и на клиентском ПК. Если это не сработает, вы всегда можете использовать DNS-серверы Google.

    К сожалению, бывают случаи, когда ваш брандмауэр pfSense не может заставить клиентов подключаться к серверам DSN.

    В этой статье мы рассмотрим все причины, по которым ваш брандмауэр может не подключаться к нужным вам DNS-серверам. Мы также рассмотрим некоторые из наиболее распространенных решений этой проблемы.

    Pfsense DNS Resolver не работает — устранение проблем с разрешением DNS

    Шаг 1. Откройте веб-интерфейс

    Шаг 2. Перейдите к диагностике

    Шаг 3. Перейдите к Ping

    Шаг 4. Введите адрес шлюза интернет-провайдера.

    Если вы не уверены в адресе шлюза, вы всегда можете указать заведомо исправный DNS-сервер. У Google есть несколько бесплатных DNS-серверов, которые могут использовать все в мире. IP-адреса DNS-серверов Google — 8.8.8.8 или 8.8.4.4.Если брандмауэр может пропинговать этот адрес, выполните тот же тест с клиентского ПК:

    Шаг 1. Откройте командную строку

    Шаг 2. Введите следующую команду:

    Шаг 3. Нажмите Enter

    Попробуйте сделать это в графическом интерфейсе брандмауэра, а также сделайте то же самое на клиентском ПК. Итак, если вы можете пропинговать IP-адрес, но не доменные имена, то определенно существует какая-то проблема с разрешением DNS, о которой вам нужно позаботиться.

    Pfsense DNS Resolver не работает — проверьте настройки DNS-сервера

    Если разрешение DNS не работает должным образом в брандмауэре, вы можете проверить, какие службы DNS включены и как они настроены. В конфигурации pfSense по умолчанию он будет использовать преобразователь DNS в режиме, который не требует установки каких-либо определенных DNS-серверов.

    В этой конфигурации pfSense будет напрямую запрашивать корневые серверы и другие авторитетные серверы. Это отличается от старых установок и обновленных установок, которые по умолчанию будут использовать DNS Forwarder, который требует ввода DNS-серверов, если они не получены через DWAN (динамическая глобальная сеть), например DHCP или соединение PPPoE.

    Если вы обнаружите, что программное обеспечение брандмауэра не может разрешить имена хостов, но DNS Resolver активен, это может быть признаком того, что вы ничего не получаете через порт WAN. Итак, вы можете проверить подключение к Интернету.

    Итак, это означает, что одна из возможностей заключается в том, что у вас возникла проблема с оборудованием WAN или каким-либо другим компонентом восходящего сетевого оборудования, которое по какой-либо причине неправильно передает трафик DNS с использованием метода, совместимого с DNSSEC.

    Неработающий DNS-преобразователь Pfsense может поставить бизнес на колени. Проблема с вашими DNS-серверами может вызвать каскадные проблемы, распространяющиеся по всей вашей сети.

    Pfsense DNS Resolver не работает — отключите DNSSEC

    Вы можете отключить DNSSEC. Вы можете найти параметры для этого в параметрах распознавателя брандмауэров. Это позволит вам узнать, позволяет ли разрешение работать или нет.

    Возможно также, что ваш интернет-провайдер фильтрует DNS-запросы и потребует использования определенных адресов DNS-серверов, чтобы вы могли подключиться к Интернету. Итак, чтобы решить эту проблему, настройте DNS-серверы, а затем активируйте режим переадресации.

    В pfSense вы можете найти настройки DNS-сервера, нажав «Система», а затем «Общие настройки». Вы также можете увидеть их, если вы нажмете «Статус», а затем нажмите «Интерфейсы».

    Кроме того, не забудьте проверить с помощью ping, чтобы точно знать, доступны ли DNS-серверы. Если ваш брандмауэр может получить доступ к адресу шлюза, но у него есть проблемы со связью с DNS-серверами, возможно, вам придется связаться с вашим интернет-провайдером, чтобы вы могли перепроверить эти номера DNS.

    Если ваши DNS-серверы подключены через DHCP или PPPoE, а брандмауэр не может получить к ним доступ, вам обязательно нужно обратиться к своему интернет-провайдеру. Конечно, всегда есть возможность использовать общедоступные DNS-адреса Google. Помните, что это IP-адреса 8.8.8.8 и 8.8.4.4. Они всегда будут работать.

    Pfsense DNS Resolver не работает — попробуйте пропинговать DNS-сервер

    Если вы можете пропинговать DNS через веб-интерфейс брандмауэра, но не можете подключиться к клиентскому компьютеру, возможно, у вас проблема с конфигурацией DNS Resolver или Forwarder в настройках брандмауэра. Это также может быть конфигурация клиента или правила брандмауэра.

    Одно из двух. Помните, что по умолчанию DNS Resolver обрабатывает все DNS-запросы для клиентов, находящихся за брандмауэром. Итак, если клиентский ПК настроен с использованием DHCP, он получит IP-адрес интерфейса брандмауэра, к которому он подключен, для DNS-сервера. Это, конечно, если он не был изменен заранее вручную.

    Например, если в сети есть ПК и IP-адрес брандмауэра — 192.168.1.1, то клиентский DNS-сервер также должен быть установлен на 192.168.1.1. Если DNS Forwarder и DNS Resolver отключены, вы можете настроить DNS-серверы, которые будут назначаться DHCP-клиентам в вашей сети, перейдя в Services и нажав DHCP Server.

    Если DNS Forwarder и DNS Resolver не включены, системные DNS-серверы назначаются непосредственно клиентским компьютерам. Итак, если клиентский ПК настроен на присвоение ему статического IP-адреса, убедитесь, что на нем также указаны правильные DNS-серверы. Это будет либо IP-адрес брандмауэра, либо альтернативный DNS-сервер, такой как Google.

    Еще один сценарий, из-за которого ваш DNS может работать со страницы администрирования брандмауэра, но не с клиентского компьютера, — это неправильно настроенный набор правил брандмауэра в локальной сети.

    Итак, вы можете перейти на вкладку "Брандмауэр", нажать "Состояние", а затем нажать "Системные журналы", чтобы увидеть, появляется ли в журнале заблокированное подключение от локального клиента, который пытается установить подключение к DNS-серверу.

    Итак, если это ваш случай, вам следует добавить правило брандмауэра в верхней части правил локальной сети для того интерфейса, которому вы хотите разрешить подключения к DNS-серверам. Установите для правил порт TCP и UDP 53.

    Заключение

    Неработающий DNS-преобразователь Pfsense может стать очень плохим днем. Это может быть неприятно, когда вы попробовали все, и все равно ничего не работает. Вот почему полезно знать все тонкости всех команд, чтобы вы могли снова настроить и правильно запустить брандмауэр.

    Обычно, когда DNS-преобразователь Pfsense не работает, это простая настройка либо на клиентском ПК, либо на стороне брандмауэра. Обязательно перепроверьте все свои настройки и никогда не недооценивайте процесс устранения. Поэтому используйте другие компьютеры, другие устройства и даже другие DNS-серверы, чтобы выяснить, в чем проблема.

    Читайте также: