Ziel: du möchtest selber bestimmen, wohin deine DNS Anfragen gesendet werden. Auf bestimmte DNS Server wie z.B. 8.8.8.8 (Google DNS Server) möchtest du aus Gründen des Datenschutzes verzichten.
Was du hast: eine funktionierende und eingerichtete pfSense innerhalb deines Netzwerkes mit Anschluss an das Internet, entweder an einem reinen Modem oder an einem Router, z.B. einer Fritzbox, am WAN Interface verbunden.
Eine kurze Einführung in das Thema DNS findest du hier: DNS – Vom Namen zur Nummer und zurück.
Wenn deine Geräte im Heimnetz also deinen Seitenaufruf von heimnetz.de bedienen wollen, dann müssen sie sich zunächst erkundigen, wie die zugehörige IP Adresse ist.
Du meldest dich mit deinem Benutzernamen und Passwort auf deiner pfSense an.
Unter System > General Setup findest du die Rubrik „DNS Server Settings“. Stell sicher, dass hier keine Einträge vorhanden sind! Stell auch sicher, dass unter „DNS Resolution Behaviour“ der Eintrag „Use local DNS (127.0.0.1; Fall back to remote DNS Servers“ gesetzt ist.
Du möchtest nämlich deine DNS Anfragen zukünftig nicht an einen bestimmten DNS Server weiterleiten (forwarding) sondern unbound die Anfragen „auflösen“ (resolving) lassen.
Im nächsten Schritt wählst du unter Services > DNS Resolver aus.
Es zeigt sich die Ansicht der generellen Einstellungsmöglichkeiten für den DNS Resolver.
Auf den folgenden beiden Bildern kannst du sehen, welche Einträge hier vorzunehmen sind. Die meisten Felder kannst du ignorieren, wichtig sind:
- aktivieren des DNS Resolvers
- Listen Port: der Port für DNS ist üblicherweise der Port 53, kein Eintrag nötig
- Network Interfaces: hier gibst du an, aus welchen Netzsegmenten DNS Anfragen durch unbound beantwortet werden sollen (dein LAN, ggf. weitere VLANs)
- Outgoing Network Interfaces: hier gibst du an, über welches Interface DNS Anfragen von unbound an die autoritativen DNS Server gesendet werden sollen und über welches Interface die Antworten zurückkommen (i.d.R. WAN)
Im unteren Teil der generellen Konfigurationsmöglichkeiten für den DNS Resolver achtest du darauf, dass „DNSSEC“ aktiviert ist, andere Einstellungen müssen hier für eine grundlegende Einstellung und Nutzung von unbound nicht vorgenommen werden.
Jetzt bestätigst du die gemachten Einstellungen mit einem Klick auf „Save“.
Damit kann der DNS Resolver unbound deine DNS Anfragen annehmen, prüfen, ob er selber eine Antwort kennt, oder aber die DNS Anfrage weiterleiten an die oberste Instanz der im Internet vorhandenen DNS Server. Als Folge wird dir die Anfrage: “Hallo, welche IP Adresse hat heimnetz.de?“ beantwortet mit „Hallo, heimnetz.de hat die IP Adresse 185.59.13.10 für IPv4 und 2a02:17f8:4001:1499::2 für IPv6!“
Wenn du nun aber versuchen solltest, Geräte in deinem eigenen lokalen Heimnetz nicht mit ihrer IP Adresse sondern mit ihrem hostname anzusprechen, so wird das mit unbound zunächst nicht funktionieren.
Angenommen du hast in deinem Heimnetzwerk ein NAS mit der IPv4 Adresse 192.168.10.5 und dem hostname meinnas. Dein Heimnetzwerk hat einen eigenen Domain Namen, z.B. mein.netz
Du kannst im Browser nun die IP Adresse (http://192.168.10.5) angeben um auf die Anmeldeseite deines NAS zu kommen. Gibst du aber http://meinnas.mein.netz im Browser ein, so wird diese nicht gefunden.
Warum?
Nun, die DNS Server im Internet haben keine Ahnung davon, was du in deinem Heimnetz für IP Adressen nutzt, wie die Geräte benannt sind und wie der Name deiner Domain ist. Daher müssen wir unbound mitteilen, dass für die Namensauflösung definierter Geräte keine DNS Anfrage ins Internet geschickt werden soll. Stattdessen informieren wir unbound darüber, welche Geräte im Heimnetz vorhanden sind, welche IP-Adresse diese haben und mit welchem Domain und host Namen wir diese Geräte eingeordnet haben.
Dieser Vorgang nennt sich Host Override. Unter der Ansicht zu Services > DNS Resolver > General Settings scrollst du ganz nach unten. Hier findest du die Rubrik „Host Override“ und den Button „+Add“. Mit einem Klick auf denselbigen öffnet sich diese Ansicht:
Hier machst du für alle gewünschten Geräte die nötigen Angaben. Im Beispiel bleibend wäre das:
- Host: meinnas
- Domain: mein.netz
- IP Address: 192.168.10.5 (ggf. die IPv6 Adresse ergänzen)
- Description: hier kannst du eine kurze Beschreibung zum Gerät vornehmen, etwa „Mein NAS neben dem PC“
Mit einem Klick auf „Save“ bestätigst du deine Angaben.
Damit wären die grundlegenden Schritte zur Einrichtung von unbound als DNS Resolver auf der pfSense gemacht.
Ob der unbound Dienst als DNS Resolver aktiv ist, zeigt dir die Ansicht unter Status > Services:
Bei Fragen, Anmerkungen oder Ergänzungen kannst du dich gerne im Forum anmelden.
---
Vielen Dank an den User the other für diese Anleitung!