Unitymedia Windows LAN Client OS und DNS Server Konfiguration

[__QT__]

Hi!

Das Thema ist nun nicht direkt UM bezogen und wenn es stört kann ein Moderator auch einfach löschen. Dachte nur, hier ist der ein oder andere Experte, der mir bei diesem "Problem" helfen kann.

In meinem LAN hab ich einen OPNsense Router, der auch DHCPv4 Dienste übernimmt und die IP meine pi-hole Systems (192.168.1.3) als DNS Server verteilt. Meine Linux und Android Clients akzeptieren das auch so und nutzen den pi-hole als DNS Server.

Probleme machen nur 3 Windows7 und 1 Windows10 Client. Diese ermitteln (wie auch immer) die IPv6 Adresse der OPNsense und setzen diese Adresse über die IPv4 des pi-hole in der DNS Server Liste, wodurch die Windows Clients schön am pi-hole vorbeisurfen.

C:\> ipconfig /all
[...] DNS-Server . . . . . . . . . . . : xxxx:xxx:xxxx:xxx:xxx:xxxx:xxxx:xxxx 192.168.1.3
[...]
C:\>nslookup heise.de
Server: OPNsense
Address: xxxx:xxx:xxxx:xxx:xxx:xxxx:xxxx:xxxx
Nicht autorisierende Antwort:
Name: heise.de
Addresses: 2a02:2e0:3fe:1001:302:: 193.99.144.80

Die gleiche Abfrage am Linux PC oder auf dem Qnap OS sieht so aus:

$ nslookup heise.de
Server: 192.168.1.3
Address: 192.168.1.3#53
Non-authoritative answer:
Name: heise.de
Address: 193.99.144.80
Name: heise.de
Address: 2a02:2e0:3fe:1001:302::

Ich verstehe einfach nicht, woher die Win Clients die IPv6 für DNS herziehen und warum sie ihn dann noch als Prio1 setzen und sehe bisher keine Möglichkeit, dieses Verhalten abzustellen. Irgendjemand eine Idee? Ich würde dabei gerne vermeiden, dass ich die Windows PCs in den TCP/IP Eigenschaften manuell auf den pi-hole DNS setze. Das sollte am besten per DHCP Advertisement funktionieren. Und ich will auch gerne IPv6 im Windows nicht deaktivieren.

Danke für den Input.

 

[boba]

Das ist ein Feature von ipv6, genauer gesagt von slaac (stateless address autoconfiguration). Der Router, der ipv6 in dein LAN bringt, macht via Routing-Announcements ipv6 Netzwerkadresse, ipv6 Default Gateway und eben auch ipv6 dns Server im Netz bekannt. Die Clients empfangen das und konfigurieren sich danach. Dadurch ist kein ipv6 dhcp Server im Netz erforderlich: Clients funktionieren einfach so, direkt nachdem man sie einstöpselt.
Was der Router in seinen Announcements mitgibt oder weglässt, muss man auf dem Router konfigurieren, der die Verbindung vom LAN ins Internet herstellt. Bei einer Fritzbox findet sich die entsprechende Konfiguration etwas versteckt bei:
Heimnetz->Heimnetzübersicht->Netzwerkeinstellungen->Button IPv6-Adressen
Beispiel wie das bei mir aussieht (ich habe den ipv6 dns Server wegkonfiguriert):

 

[__QT__]

ich habe den ipv6 dns Server wegkonfiguriert

Danke boba für Deinen Beitrag. So eine Option, um den v6 DNS wegzukonfigurieren, habe ich bisher leider bei der OPNsense noch nicht gefunden. Vielleicht meldet sich noch jemand mit OPNsense, DualStack und der auch den v6 DNS deaktiviert haben mag bzw. an einen anderen LAN Host delegiert.

 

[addicted]

Ich würde an Deiner Stelle dem piHole auch eine v6-Adresse geben, bzw. dessen v6-Adresse durch die OPNsense als DNS-Server verteilen lassen.
Ob das mit den beiden Produkten wirkloich geht (also ob piHole auf v6 DNS anbietet und ob OPNsense den v6-DNS konfiguriertbar hat) kann ich Dir aber nicht sagen. Wäre aber die richtige Herangehensweise

 

[__QT__]

Ja, genau das wollte ich, aber habe noch keine Methode gefunden, wie man das einstellen kann. Scheint aber generell bisher bei OPNsense gefehlt zu haben, dass man bei "Track Interface" IPv6 Konfig keine DHCPv6 Optionen einstellen kann. Das ging wohl nur, wenn man ein static IPv6 angelegt hat. Ein passender Feature Request bzw. Bugreport samt Fix und Patch hab ich nun hier gefunden: https://github.com/opnsense/core/issues/2314

Werde mich weiter einlesen und einarbeiten.

Natürlich ist es mein Ziel alle DNS Anfragen (IPv4 und IPv6) zum pi-hole zu schicken.

Melde mich wieder. Falls jemand weitere Tipps hat wie das in OPNsense eingerichtet werden kann, bitte melden

 

[__QT__]

Das Thema ist einfach zu hoch für mich. Blicke bei dem ganzen IPv6 Zeugs einfach nicht durch.

Nachdem ich mittels dem o.a. OPNsense Patch die passende Option in OPNsense verfügbar hatte, habe ich diese aktiviert:

Manual configuration: [X] Allow manual adjustment of DHCPv6 and Router Advertisements

Danach erschien dann unter Services - DHCPv6 auch das [LAN] Menu, wo man alles mögliche einstellen kann. Aber wenn ich dort beginne eine DHCP Range zu definieren (ohne Range startet der DHCPv6 gar nicht erst), dann erhält danach prompt kein LAN Client mehr eine IPv6 Adresse und es geht gar nichts mehr. Deaktiviere ich wieder das manual adjustment of DHCPv6 dann geht wieder alles, aber die Windows Clients nutzen wieder die OPNsense als DNS Server. Blicke bei der DHCPv6 Optionsseite einfach nicht durch, um das für mich funktionierend hinzubekommen. Fürs erste hab ich mir nun beholfen, indem ich die Windowsclients doch manuell auf den richtigen DNSv6 konfiguriert habe.

Wenn noch jemand eine Idee hat oder mir helfen mag, gerne. Danke

 

[addicted]

Lass DHCPv6 aus und setz einfach nur den DNS-Server?

 

[__QT__]

Ja, die Option hab ich auch schon angedacht. Allerdings arbeite ich viel per VPN Verbindungen zu verschiedenen Zielnetzwerken und oft verbiegen deren VPN Clients das IPv4 Routing derart, dass nach VPN Aktivierung im IPv4 Bereich LAN-seitig nix mehr geht. Da erreiche ich nicht mal mehr meinen IPv4 DNS Server und demnach geht kein DNS Lookup mehr. Ledliglich das VPN läuft. Da hat das parallel vorhandene IPv6 einen prima Job erledigt und mich so wenigstens noch netzwerktechnisch weiterhin jenseits des VPN angebunden. Daher hab ich mich nun fürs erste zum festen Konfigurieren des DNSv6 in den WIndowsclients entscheiden. Auch wenn das panne ist, denn falls man mal die Laptops in ein anderes (W)LAN bringt, so sind Probleme vorprogrammiert.

Habe noch Hoffnung, dass sonstwer mit OPNsense hier aufschlägt und das schonmal eingerichtet hat. Im Zweifel surfen die WIndowsclients halt am Pi-Hole vorbei, wobei gerade dort der Nutzen hoch wäre.

 

[addicted]

Ja, die Option hab ich auch schon angedacht.

Nicht "Lass IPv6 aus". Lass "DHCPv6" aus (auf dem Screenshot ganz oben der Haken). DNS-Server kann man auch per RA verteilen. Ob OPNsense das kann ist halt die Frage.

Gut, ich gebe zu, ich habe keine Ahnung, was ein Windows-Client so erwartet ...