Opnsense 업데이트 후 DNS 쿼리가 안될때

24 Oct 2025 • 4 min read

25.1에서 25.7로 업그레이드하고 핑 등은 잘 나가는데 자꾸 DNS 쿼리가 안되서 보니 이게 활성화 되있었네요

일단 비활성화하고 해결해놨습니다

Unbound DNS는 가볍고(lightweight), 빠르며, 보안성이 뛰어난 DNS 서버 소프트웨어입니다. OPNsense나 pfSense 같은 방화벽에서 기본 DNS 리졸버(Resolver)로 널리 사용됩니다.

가장 큰 특징은 '단순 전달자(Forwarder)'가 아니라 **'재귀적 확인자(Recursive Resolver)'**라는 점입니다.

이해하기 쉬운 비유를 들어보겠습니다.

단순 전달자 (Forwarder) 🦝 (예: 일반 공유기, 통신사 DNS)
- 당신: "https://www.google.com/url?sa=E&source=gmail&q=google.com 주소 알려줘."
- 공유기: "잠깐만, (KT/SKT/Google 등) 외부 DNS 서버에 물어볼게."
- 공유기: (응답을 받아서) "알려줄게. 주소는 142.250.207.110 이야."
- 특징: 모든 질문을 외부의 신뢰할 수 있는 서버에 전달하고 답을 받아옵니다.
Unbound (Recursive Resolver) 🦉 (재귀적 확인자)
- 당신: "https://www.google.com/url?sa=E&source=gmail&q=google.com 주소 알려줘."
- Unbound: "알았어. 내가 직접 찾아볼게."
- (Unbound의 행동):
  1. 인터넷의 루트(Root) DNS 서버에게 감: "'.com'은 누가 관리해?"
  2. .com 서버에게 감: "'https://www.google.com/url?sa=E&source=gmail&q=google.com'은 누가 관리해?"
  3. https://www.google.com/url?sa=E&source=gmail&q=google.com 서버에게 감: "https://www.google.com/url?sa=E&source=gmail&q=google.com의 IP 주소가 뭐야?"
  4. (응답을 받아서) "찾아왔어. 주소는 142.250.207.110 이야."
- 특징: 외부 서버에 의존하지 않고, 직접 최상위(루트)부터 주소를 끝까지 추적하여 알아냅니다.

Unbound DNS에 대한 기능인데 좀 설정하고 써야되겠네요

Unbound DNS의 핵심 기능

위의 비유처럼, Unbound는 ISP(통신사)나 Google 같은 외부 DNS 서비스에 의존하지 않고 직접 DNS 계층 구조를 따라가며 도메인 주소를 찾습니다.

장점:
- 개인정보 보호: 나의 모든 DNS 질의 기록이 통신사나 제3자 DNS 제공자에게 넘어가지 않습니다.
- 독립성: 외부 DNS 서비스가 다운되어도 인터넷 주소를 찾는 데 문제가 없습니다.

한번 찾아온 DNS 주소(예: google.com)는 일정 시간 동안 Unbound 서버 자체에 저장(캐시)합니다.

장점:
- 속도 향상: 두 번째 요청부터는 루트 서버까지 갈 필요 없이 즉시 저장된 값을 응답합니다. 내부 네트워크(LAN)에서의 응답 속도가 매우 빨라집니다.

Unbound의 핵심 보안 기능입니다. DNS 응답이 중간에 해커에 의해 위조되지 않았는지 암호학적으로 검증합니다.

장점:
- 보안 강화: 사용자를 가짜 은행 사이트로 유도하는 등의 'DNS 스푸핑' 또는 '파밍(Pharming)' 공격을 원천적으로 방어할 수 있습니다.

DNS-over-TLS (DoT) 또는 DNS-over-HTTPS (DoH) 같은 암호화 기술을 지원합니다.

장점:
- 쿼리 암호화: DNS 질의 자체를 암호화하여, 인터넷 회선을 감청(도청)하더라도 "어떤 사이트에 접속하려고 하는지"조차 알 수 없게 만듭니다. (Unbound를 DoT/DoH 전달자로 설정할 경우)

OPNsense에서 Unbound를 기본으로 사용하는 이유는 보안, 개인정보 보호, 속도, 제어라는 네 마리 토끼를 모두 잡기 위해서입니다.