OPNsense Unbound DNS:

Veröffentlicht am Februar 12, 2026 von Gerd Feiner

Warum die Whitelist nicht funktioniert (und wie man es richtig macht)

Wer in OPNsense die Unbound-DNS-Blocklisten nutzt (z. B. Steven Black oder YoYo), kennt vermutlich das Problem: Man trägt eine Domain in die Whitelist ein — und sie wird trotzdem geblockt. Was auf den ersten Blick wie ein Bug aussieht, hat zwei konkrete Ursachen.

Das Problem: Einfache Domain-Einträge reichen nicht

Angenommen, man möchte beispiel-domain.com freigeben und trägt sie brav in das Feld Whitelist Domains unter Services → Unbound DNS → Blocklist ein. Das Ergebnis: Die Hauptdomain wird vielleicht durchgelassen, aber Subdomains wie track.beispiel-domain.com oder click.beispiel-domain.com bleiben weiterhin geblockt.

Ursache 1: CNAME-Bug

Es gibt einen bekannten Bug in der DNSBL-Implementierung: Wenn eine freigegebene Domain ein CNAME-Record ist, der auf eine geblockte Domain zeigt, wird sie trotzdem geblockt. Man müsste also zusätzlich die Zieldomain des CNAME-Records whitelisten — was mühsam und fehleranfällig ist.

Ursache 2: Subdomains werden nicht erfasst

Ein einfacher Eintrag wie beispiel-domain.com matcht eben nur genau diese Domain. Subdomains sind nicht automatisch eingeschlossen.

Die Lösung: Regex in der Whitelist

Was viele nicht wissen: Das Whitelist-Feld unterstützt reguläre Ausdrücke. Damit lässt sich eine Domain inklusive aller Subdomains auf einen Schlag freigeben.

Das Pattern dafür sieht so aus:

(.*)?(\.)?beispiel-domain.com

Dieser Ausdruck matcht sowohl beispiel-domain.com selbst als auch beliebige Subdomains wie track.beispiel-domain.com, click.beispiel-domain.com usw.

Wo wird das eingetragen?

Ganz normal im Feld Whitelist Domains unter Services → Unbound DNS → Blocklist. Pro Zeile ein Eintrag — entweder eine einfache Domain oder eben ein Regex-Pattern.

Fehlerdiagnose

Wenn ein Regex-Ausdruck ungültig ist, erscheint im Log unter /var/log/resolver/latest.log eine Meldung wie:

blocklist download : skip invalid whitelist exclude pattern "custom_pattern_1" (*\.example.net)

Der Stern allein (*\.example.net) ist kein gültiger Regex — man braucht das vollständige Pattern mit (.*)?(\.)?.

Fazit

Wer Domains in der OPNsense-Unbound-Blocklist zuverlässig whitelisten will, sollte immer das Regex-Pattern (.*)?(\.)?domain.com verwenden. Der einfache Domain-Eintrag ohne Regex funktioniert in vielen Fällen schlicht nicht — insbesondere bei Subdomains und CNAME-Auflösungen.

Quelle: OPNsense Forum – White Listed Domains not working in Unbound DNS: Blocklist

-GF

Der OPNsense-Praktiker: Enterprise-Firewalls mit Open Source
Der OPNsense-Praktiker: Enterprise-Firewalls mit Open Source
  • Einfache Paketfilter waren gestern
  • Selbst im Open-Source-Bereich haben Next-Generation Firewalls Einzug gehalten
  • Und OPNsense ist ganz vorne dabei, wenn es um Einbruchserkennung, Applikationskontrolle, Web-Filter oder Antivirus geht
  • Denn kein Netz ist zu unbedeutend, um nicht angegriffen zu werden
  • Auch Heimnetze, Armbanduhren und Lichtschalter sind bedroht und erwarten eine sichere Umgebung
23,74 EUR Amazon Prime
Bei Amazon kaufen
Mini PC Core i3 N300 Firewall Appliance, OPNsense Mini Computer mit 6 Port i226-V 2.5GbE LAN, F5 Fanless Micro PC ohne RAM/SSD/OS, USB Type-C, 4K 3-Display, TF, AES-NI N300 6LAN NO RAM NO SSD
Mini PC Core i3 N300 Firewall Appliance, OPNsense Mini Computer mit 6 Port i226-V 2.5GbE LAN, F5 Fanless Micro PC ohne RAM/SSD/OS, USB Type-C, 4K 3-Display, TF, AES-NI N300 6LAN NO RAM NO SSD
  • Energiesparender Hochleistungs-N300-Prozessor: Das CWWK F5 Mini PC verfügt über den energieeffizienten Core i3-N300 Prozessor mit 8 Kernen und 8 Threads, bis zu 3,8 GHz und 6 MB Cache. Mit einem Basis-TDP von nur 7W ist er ideal für den 24/7-Dauerbetrieb. Die hochfrequente 8-Kern-Leistung bewältigt anspruchsvolle Aufgaben effizient und eignet sich sowohl für energiesparende Firewall-Gateways als auch für leistungsstarke Virtualisierungsaufgaben
  • DDR5 und Dual NVMe Slot: 1 x DDR5 SO-DIMM 4800MHz RAM-Slot, bis zu 32GB. Mit 2 x M.2 Slots (PCIe3.0 x1) für 2280 große NVMe SSDs bietet es auch 1 x SATA3.0 Ports für SATA SSD/HDD-Installation, die extern über ein Kabel verbunden werden können. Wenn ein Wi-Fi/BT-Modul benötigt wird, kann der NVME2 Slot über einen M.2 M-Key zu M.2 E-Key Adapter in einen M.2 Wi-Fi Slot konvertiert werden
  • 6 x 2.5Gb Hochgeschwindigkeits LAN: Ausgestattet mit 6 x i226-V 2.5Gigabit Ethernet Controllern, die an 100M/1000M/2.5G LAN angepasst werden können. Es ist mit verschiedenen gängigen Open-Source-Soft-Router- oder Virtualisierungsplattformen wie OPNsense oder PVE kompatibel, ideal zum Aufbau von Netzwerksicherheitsfirewalls oder All-In-One-Virtualisierung
  • Verschiedene externe I/O-Schnittstellen: Die UHD-Grafik unterstützt hardwarebeschleunigte 4K Videoausgabe. Ausgestattet mit HD + DP + USB Typ-C, unterstützt dreifaches Bildschirm-Display, bis zu 4K@60Hz. 1 x USB3.0, 4 x USB2.0, 1 x MicroSD Slot für Datenspeicherung oder Systemstart, unterstützt das Umschalten der Auto-Power-On-Funktion über einen Kippschalter
  • Fanless Passive Cooling Design: Um eine effiziente Wärmeableitung zu gewährleisten, besteht das gesamte Gehäuse aus Aluminiumlegierung, mit einer wissenschaftlich gestalteten Kühlstruktur an der Ober- und Seitenfläche. Es ist speziell für den 24/7 Dauerbetrieb und energieeffizienten Betrieb konzipiert. Bitte beachten Sie, dass das Benutzerhandbuch und die FAQ-Anleitung vor dem Versand bereitgestellt werden
296,20 EUR
Bei Amazon kaufen
Dieser Beitrag wurde unter DNS, Firewall, OPNsense, unbound veröffentlicht. Setze ein Lesezeichen auf den Permalink.