Probleme mit der DNS-Auflösung? So funktioniert das Setup von OPNSense hinter einer FritzBox!

Kennen Sie das? Sie haben mit OPNSense ein leistungsstarkes und flexibles Router-Betriebssystem installiert, um Ihr Heimnetzwerk auf das nächste Level zu heben. Doch anstatt reibungsloser Kontrolle stoßen Sie auf hartnäckige DNS-Auflösungsprobleme, besonders wenn die geliebte FritzBox weiterhin als Modem und erster Router in Ihrem Setup fungiert. Plötzlich laden Webseiten langsam, interne Dienste sind nicht erreichbar oder es gibt unerklärliche Ausfälle. Sie sind nicht allein! Viele Anwender stehen vor dieser Herausforderung. Dieser Artikel führt Sie Schritt für Schritt durch die Konfiguration, um Ihre DNS-Probleme ein für alle Mal zu lösen und ein stabiles, schnelles und sicheres Netzwerk zu genießen.

Warum OPNsense hinter einer FritzBox? Eine Einführung

Die FritzBox ist in vielen Haushalten der Standard-Internetzugangspunkt – zuverlässig, benutzerfreundlich und oft vom Provider gestellt. Ihre Stärken liegen in der einfachen Handhabung, Telefonie-Funktionen und integriertem WLAN. Doch für fortgeschrittene Netzwerkanforderungen, wie detaillierte Firewall-Regeln, VPN-Server, erweiterte Routing-Optionen oder spezifische DNS-Dienste wie Ad-Blocking auf Netzwerkebene, stößt sie schnell an ihre Grenzen.

Hier kommt OPNSense ins Spiel. Als Open-Source-Firewall und Router-Software bietet es eine Fülle von Funktionen, die weit über das hinausgehen, was eine Standard-FritzBox leisten kann. Von einem hochflexiblen Stateful Firewall über Intrusion Detection/Prevention Systeme (IDS/IPS) bis hin zu einem leistungsstarken DNS Resolver (Unbound) und VPN-Servern – OPNsense ist ein Schweizer Taschenmesser für Ihr Netzwerk.

Die Kombination aus FritzBox (als Modem und Telefonanlage) und OPNsense (als primärem Router und Firewall) ist daher eine beliebte Lösung. Doch genau diese Kombination birgt Fallstricke, insbesondere im Bereich der DNS-Auflösung.

Die Wurzel des Problems: Warum DNS-Auflösung scheitert

Die typischen DNS-Probleme in diesem Setup entstehen meist aus einer Verwechslung oder Fehlkonfiguration der Zuständigkeiten im Netzwerk:

1. Doppeltes NAT (Network Address Translation): Die FritzBox fungiert als Router und führt NAT durch, dann tut es OPNsense ebenfalls. Dies ist per se kein DNS-Problem, kann aber die Komplexität erhöhen und indirekt zu Verwirrung bei der DNS-Konfiguration führen.
2. FritzBox als DNS-Proxy: Standardmäßig agiert die FritzBox als DNS-Proxy für alle angeschlossenen Geräte. Sie nimmt DNS-Anfragen entgegen und leitet sie an die vom Provider erhaltenen DNS-Server weiter. Dies ist ein Problem, wenn OPNsense die primäre DNS-Autorität im Netz sein soll.
3. Falsche DNS-Server-Vergabe per DHCP: Wenn die FritzBox weiterhin DHCP-Server spielt, teilt sie ihre eigene IP-Adresse als DNS-Server mit. Geräte, die diese Information erhalten, werden die FritzBox anfragen, nicht OPNsense.
4. OPNSense’s WAN-Konfiguration: Wenn OPNsense selbst die FritzBox als DNS-Server über DHCP an der WAN-Schnittstelle bezieht, kann dies zu Schleifen oder unerwünschtem Verhalten führen, wenn OPNsense eigentlich öffentliche DNS-Server verwenden soll.
5. DNS Rebind Protection: Die FritzBox hat eine DNS Rebind Protection, die verhindert, dass private IP-Adressen (z.B. für interne Dienste) über öffentliche DNS-Anfragen aufgelöst werden. Dies kann Probleme verursachen, wenn OPNsense versucht, interne Hostnamen zu verwalten und die FritzBox diese Anfragen blockiert.

Unser Ziel ist es, OPNsense zur alleinigen Instanz für die DNS-Auflösung in Ihrem internen Netzwerk zu machen und gleichzeitig sicherzustellen, dass die Kommunikation zwischen OPNsense und dem Internet reibungslos funktioniert.

Die perfekte Konfiguration: Schritt für Schritt zum stabilen DNS

Dieser Leitfaden unterstellt, dass OPNsense bereits auf Ihrer Hardware installiert ist und zumindest die WAN- und LAN-Schnittstellen grundlegend konfiguriert sind. Ihre FritzBox ist typischerweise über ihre LAN-Ports mit dem WAN-Port von OPNsense verbunden.

Phase 1: Konfiguration der FritzBox

Melden Sie sich im Webinterface Ihrer FritzBox an (meistens unter http://fritz.box oder 192.168.178.1).

1. IP-Adresse des Heimnetzwerks (FritzBox):
   • Navigieren Sie zu Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4-Adressen.
   • Stellen Sie sicher, dass der IP-Bereich der FritzBox (z.B. 192.168.178.0/24) unterschiedlich ist von dem IP-Bereich, den Sie für Ihr OPNsense-LAN verwenden werden (z.B. 192.168.1.0/24). Dies ist absolut entscheidend, um Routing-Probleme zu vermeiden.
   • Wenn OPNsense die DHCP-Verwaltung für Ihr *gesamtes* internes Netzwerk übernehmen soll, müssen Sie den DHCP-Server der FritzBox nur für den „internen” Bereich der FritzBox (also den Bereich zwischen FritzBox und OPNsense WAN) aktiv lassen.
2. DHCP-Server der FritzBox:
   • Deaktivieren Sie den DHCP-Server der FritzBox für den Bereich, den OPNsense verwalten soll. Wenn OPNsense der einzige DHCP-Server für Ihr *gesamtes* Heimnetzwerk sein soll, deaktivieren Sie ihn unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4-Adressen vollständig.
   • WICHTIG: Wenn Sie die FritzBox weiterhin als WLAN-Access Point oder für andere Geräte nutzen, die nicht direkt an OPNsense angeschlossen sind, müssen Sie hier eine Entscheidung treffen. Ideal ist es, *alle* Geräte über OPNsense zu routen. Wenn das nicht geht, müssen Sie den DHCP-Server der FritzBox so konfigurieren, dass er als DNS-Server die LAN-IP-Adresse von OPNsense vergibt.
3. DNS-Server in der FritzBox ändern:
   • Navigieren Sie zu Internet > Zugangsdaten > DNS-Server.
   • Wählen Sie „Andere DNS-Server verwenden”.
   • Geben Sie unter „Bevorzugter DNSv4-Server” die LAN-IP-Adresse Ihres OPNsense-Systems ein (z.B. 192.168.1.1). Als „Alternativer DNSv4-Server” können Sie entweder ebenfalls die OPNsense-IP eintragen (wenn OPNsense eine Failover-IP hat, was in einem einfachen Setup unwahrscheinlich ist) oder einen öffentlichen, vertrauenswürdigen DNS-Server wie 1.1.1.1 (Cloudflare) oder 8.8.8.8 (Google) angeben. Dies ist primär für die FritzBox selbst relevant, damit sie ihre eigene Namensauflösung über OPNsense abwickelt.
   • Speichern Sie die Einstellungen.
4. Exposed Host / DMZ (Optional, aber empfohlen):
   • Navigieren Sie zu Internet > Freigaben > Portfreigaben.
   • Erstellen Sie eine neue Portfreigabe für „Exposed Host” oder „DMZ” (die genaue Bezeichnung variiert).
   • Wählen Sie hier die WAN-IP-Adresse Ihres OPNsense-Systems aus der Liste der Geräte. Dies leitet *alle* eingehenden Verbindungen (außer denen, die bereits von der FritzBox selbst genutzt werden, z.B. Port 80/443 für das Webinterface) an OPNsense weiter, sodass OPNsense als „echter” Router mit direkter Internetverbindung agieren kann. Dies ist besonders nützlich, wenn Sie später Dienste von außen erreichen möchten, die OPNsense hostet.
   • Vorsicht: Dies kann Sicherheitsrisiken bergen, wenn OPNsense nicht korrekt konfiguriert ist. Verlassen Sie sich auf die Firewall von OPNsense!

Phase 2: Konfiguration von OPNsense

Melden Sie sich im Webinterface Ihres OPNsense-Systems an (üblicherweise die LAN-IP-Adresse, z.B. https://192.168.1.1).

1. Allgemeine Einstellungen (System > Einstellungen > Allgemein)

• DNS Server: Tragen Sie hier keine IP-Adressen ein, wenn Sie den Unbound DNS Resolver (siehe unten) im Modus „Resolver” oder „Forwarder” nutzen möchten, da OPNsense dann diese öffentlichen DNS-Server direkt anfragt. Wenn Sie sie dennoch eintragen, stellen Sie sicher, dass es sich um öffentliche, vertrauenswürdige Server handelt (z.B. 1.1.1.1, 9.9.9.9) und nicht die IP der FritzBox.
• Deaktivieren Sie „Allow DNS server list to be overridden by DHCP/PPP on WAN” (unter System > Einstellungen > Allgemein), um zu verhindern, dass OPNsense die DNS-Server von der FritzBox über DHCP bezieht.

2. Schnittstellen-Konfiguration (Schnittstellen > [WAN-Schnittstelle])

• Ihre WAN-Schnittstelle sollte so konfiguriert sein, dass sie eine IP-Adresse von der FritzBox per DHCP erhält.
• Deaktivieren Sie unter Schnittstellen > [WAN-Schnittstelle] > Private Netzwerke blockieren und Bogus Netzwerke blockieren, da Ihre WAN-Schnittstelle sich im privaten IP-Bereich der FritzBox befindet.

3. DHCP-Server (Dienste > DHCPv4 > [LAN-Schnittstelle])

Hier konfigurieren Sie OPNsense so, dass es Ihren Clients die korrekten DNS-Server-Informationen mitteilt.

• Aktivieren Sie den DHCP-Server für Ihre LAN-Schnittstelle.
• Konfigurieren Sie den IP-Bereich für Ihre Clients (z.B. von 192.168.1.100 bis 192.168.1.200).
• Ganz wichtig: Unter DNS-Server tragen Sie die LAN-IP-Adresse Ihres OPNsense-Systems ein (z.B. 192.168.1.1). Dies stellt sicher, dass alle Clients, die eine IP-Adresse von OPNsense beziehen, OPNsense als ihren primären DNS-Server verwenden.
• Speichern Sie die Einstellungen und wenden Sie sie an.

4. DNS-Resolver (Unbound) (Dienste > Unbound DNS > Allgemein)

Dies ist das Herzstück Ihrer DNS-Lösung. OPNsense verwendet standardmäßig Unbound.

• DNS-Resolver aktivieren: Stellen Sie sicher, dass das Kästchen „DNS-Resolver aktivieren” angehakt ist.
• Netzwerkschnittstellen: Wählen Sie hier Alle oder spezifisch Ihre LAN-Schnittstelle aus, damit Clients im LAN Unbound erreichen können.
• Ausgehende Netzwerkschnittstellen: Wählen Sie hier Ihre WAN-Schnittstelle aus.
• Modus:
  • Resolver-Modus (Empfohlen): Unbound kontaktiert die autoritativen DNS-Server direkt und löst Namen rekursiv auf. Dies bietet maximale Kontrolle und Privatsphäre, da keine vorgelagerten DNS-Server (außer den Root-Servern) involviert sind. Hierfür müssen keine DNS-Server unter System > Einstellungen > Allgemein eingetragen sein, da Unbound selbstständig arbeitet.
  • Forwarder-Modus: Wenn Sie bevorzugen, dass Unbound Anfragen an bestimmte, vertrauenswürdige öffentliche DNS-Server (z.B. Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9) weiterleitet, können Sie dies unter Dienste > Unbound DNS > Weiterleitung konfigurieren. Auch hier niemals die FritzBox-IP als Forwarder eintragen. Dieser Modus ist einfacher zu konfigurieren, bietet aber etwas weniger Privatsphäre als der Resolver-Modus.
• DNS Rebind Protection: Unter Dienste > Unbound DNS > Allgemein > Erweiterte Einstellungen können Sie die „DNS Rebind Protection” aktivieren. Dies ist wichtig, wenn Sie interne Hostnamen verwenden, die auf private IP-Adressen zeigen sollen.
• Host-Overrides (Dienste > Unbound DNS > Host-Overrides): Wenn Sie Hostnamen für interne Geräte oder Dienste definieren möchten (z.B. mein-nas.local zu 192.168.1.50), können Sie dies hier tun.
• Speichern und Anwenden.

5. Firewall-Regeln (Firewall > Regeln > LAN)

Standardmäßig erlaubt OPNsense ausgehende Verbindungen vom LAN zum WAN. Stellen Sie sicher, dass keine Regel DNS-Anfragen blockiert. Im Normalfall sind keine zusätzlichen Regeln erforderlich, damit LAN-Clients OPNsense für DNS nutzen können.

Wenn Sie allerdings den Transparente Proxy (z.B. für Ad-Blocking) oder andere DNS-spezifische Features nutzen möchten, die alle DNS-Anfragen auf OPNsense umleiten, stellen Sie sicher, dass die entsprechenden Regeln korrekt konfiguriert sind.

Phase 3: Testen und Fehlerbehebung

Nachdem Sie die Konfigurationen vorgenommen haben, ist es Zeit für Tests:

1. Client neu starten: Starten Sie einen Client in Ihrem Netzwerk neu, damit er eine neue IP-Adresse und die korrekten DNS-Server-Informationen von OPNsense erhält. Alternativ können Sie manuell ipconfig /renew (Windows) oder sudo dhclient -r && sudo dhclient (Linux) ausführen.
2. DNS-Server des Clients überprüfen: Öffnen Sie eine Befehlszeile/Terminal auf Ihrem Client und überprüfen Sie den zugewiesenen DNS-Server. Es sollte die LAN-IP-Adresse Ihres OPNsense-Systems sein (z.B. 192.168.1.1).
   • Windows: ipconfig /all
   • Linux/macOS: cat /etc/resolv.conf oder scutil --dns
3. DNS-Auflösung testen:
   • Verwenden Sie nslookup google.de oder dig google.de. Die Antwort sollte von Ihrer OPNsense-IP kommen.
   • Testen Sie die Auflösung eines internen Hostnamens, den Sie unter Host-Overrides konfiguriert haben.
4. OPNSense-Logs prüfen: Unter System > Logdateien > Allgemeine und Dienste > Unbound DNS > Logdatei finden Sie wertvolle Hinweise, falls etwas nicht funktioniert.

Häufige Fehler und Lösungen:

• „Webseiten laden nicht”: Überprüfen Sie, ob Clients die OPNsense-IP als DNS-Server nutzen. Prüfen Sie Firewall-Regeln auf OPNsense. Ist der Unbound Dienst aktiv?
• „Interne Hostnamen funktionieren nicht”: Haben Sie Host-Overrides in Unbound korrekt konfiguriert? Ist die DNS Rebind Protection aktiviert oder ist sie das Problem? (In diesem Setup sollte OPNsense die Rebind Protection übernehmen, nicht die FritzBox für Clients in OPNsense’s LAN).
• „FritzBox bekommt keine Uhrzeit/aktualisiert sich nicht”: Stellen Sie sicher, dass die FritzBox ihre DNS-Anfragen ebenfalls an OPNsense sendet oder dass sie alternative, öffentliche DNS-Server für sich selbst konfiguriert hat.

Erweiterte Tipps für Ihr DNS-Setup

• DNS over TLS/HTTPS (DoT/DoH): Um Ihre DNS-Anfragen zusätzlich zu verschlüsseln und die Privatsphäre zu erhöhen, können Sie in OPNsense (Unbound) DoT/DoH-Forwarder konfigurieren, die Anfragen an entsprechende öffentliche Server senden (z.B. Cloudflare, Quad9).
• Ad-Blocking mit OPNsense: Integrieren Sie eine Ad-Blocking-Lösung wie AdGuard Home (als Plugin oder auf einem separaten System) oder nutzen Sie die integrierten Funktionen von OPNsense (z.B. Blocklisten im Unbound-Resolver oder Zenarmor).
• Lokale Hostnamen via DHCP-Leases: Unter Dienste > DHCPv4 > [LAN-Schnittstelle] > Statische Zuordnungen können Sie statische IP-Adressen vergeben und den Hostnamen direkt an Unbound übergeben, sodass diese automatisch auflösbar sind.
• FritzBox im Bridgemode: Falls Ihr Internetanbieter es erlaubt, können Sie die FritzBox in den Bridge-Modus versetzen, sodass OPNsense direkt die öffentliche IP-Adresse erhält. Dies eliminiert das doppelte NAT und vereinfacht das Routing erheblich. Allerdings verlieren Sie dann die Telefoniefunktion der FritzBox (oder müssen eine separate SIP-Anlage betreiben).

Fazit

Das Einrichten von OPNSense hinter einer FritzBox erfordert ein klares Verständnis der DNS-Hierarchie und der Zuständigkeiten in Ihrem Netzwerk. Mit der hier beschriebenen Konfiguration stellen Sie sicher, dass OPNsense die alleinige und maßgebliche Instanz für die DNS-Auflösung ist, was nicht nur DNS-Probleme behebt, sondern auch die Grundlage für ein flexibleres, sichereres und leistungsfähigeres Heimnetzwerk legt. Nehmen Sie sich die Zeit, jeden Schritt sorgfältig zu überprüfen, und genießen Sie die volle Kontrolle über Ihr Netzwerk!