5
OPNSense + Pi-hole + Dnsmasq Probleme mit der lokalen Namensauflösung
Guten Abend zusammen,
ich habe inzwischen 72542 verschiedene Anleitungen und Tutorials (u.a auch hier) zum Thema OPNSense und Pi-hole gelesen.
Vielleicht waren es auch ein paar weniger. Wie auch immer.
Meine Konfiguration schwächelt ein wenig und ich würde mich freuen, wenn ich den ein oder anderen Tipp bekommen würde.
Folgende Hardware und Konfiguration
OPNSense auf Proxmox auf Protectli
OPNSense WAN and Vigor 167
OPNSense LAN als DHCP konfiguriert.
192.168.20.1 mit Pool 100-200
Pi-Hole IP 192.168.20.2 (lief vor dem Wechsel von FritzBox auf OPNSense einige Jahre
Dnsmasq
System - Setting - General
Services - DHCP4 - LAN
Ins Internet komme ich 1A. Namensauflösung klappt sehr gut.
Okay ich hab in der Pi-hole Übersicht nur noch die OPNSense als Client, macht mir aber nicht.
Leider klappt aber die lokale Namensauflösung nicht mehr.
Ich kann meine vielen Netzwerkteilnehmer >50 nicht mehr über ihren hostnamen erreichen.
Hab ich mal wieder einen Denkfehler gemacht?
Oder habt ihr eine Empfehlung für eine bessere / andere Konfiguration?
Grüße
Timo
ich habe inzwischen 72542 verschiedene Anleitungen und Tutorials (u.a auch hier) zum Thema OPNSense und Pi-hole gelesen.
Vielleicht waren es auch ein paar weniger. Wie auch immer.
Meine Konfiguration schwächelt ein wenig und ich würde mich freuen, wenn ich den ein oder anderen Tipp bekommen würde.
Folgende Hardware und Konfiguration
OPNSense auf Proxmox auf Protectli
OPNSense WAN and Vigor 167
OPNSense LAN als DHCP konfiguriert.
192.168.20.1 mit Pool 100-200
Pi-Hole IP 192.168.20.2 (lief vor dem Wechsel von FritzBox auf OPNSense einige Jahre
Dnsmasq
System - Setting - General
Services - DHCP4 - LAN
Ins Internet komme ich 1A. Namensauflösung klappt sehr gut.
Okay ich hab in der Pi-hole Übersicht nur noch die OPNSense als Client, macht mir aber nicht.
Leider klappt aber die lokale Namensauflösung nicht mehr.
Ich kann meine vielen Netzwerkteilnehmer >50 nicht mehr über ihren hostnamen erreichen.
Hab ich mal wieder einen Denkfehler gemacht?
Oder habt ihr eine Empfehlung für eine bessere / andere Konfiguration?
Grüße
Timo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 32069343214
Url: https://administrator.de/contentid/32069343214
Printed on: May 3, 2024 at 10:05 o'clock
5 Comments
Latest comment
Hier noch die Pi-hole config
Moinsen,
ich nutze zwar keine opensense, hatte hier aber bis vor einiger Zeit die pfsense mit pihole (beides stand-alone) am Laufen.
IMHO hast du den Spieß ungünstig umgedreht:
zum einen funktioniert so Internet. Yuhu!
Zum anderen: pihole zeigt nur noch opensense in der Statistik (doof) und keine Auflösung deiner hostnames (auch doof).
Ich würde also das Konstrukt umdrehen:
die Clients erhalten via DHCP die IP vom Pihole. Dort wird dann unter upstream DNS Servers die IP von opensense eingetragen. Ich selber forwarde auf der *sense nix, da läuft dann unbound als resolver.
Vorteile:
Internet geht immer noch (yuhu)
Pihole zeigt die anfragenden Clients und die Statistik wird mit Leben gefüllt
Die opensense kann die hostnames auflösen.
Weil: client erfragt DNS > pihole als DNS via DHCP ---DNS Filter---- > Weiterreichen der Anfrage an opensense > resolves entweder lokale hostnames oder sendet Anfrage weiter an die autoritative Ebene.
Ist zumindest mein Ansatz als Hobbykelleradmin ;)
edit: du kannst natürlich auch alle hostnames in pihole eintragen...das ändert dann aber nichts an der Sache, dass nur opensense in der pihole Statistik auftaucht. Und ist doppelte Arbeit...
ich nutze zwar keine opensense, hatte hier aber bis vor einiger Zeit die pfsense mit pihole (beides stand-alone) am Laufen.
IMHO hast du den Spieß ungünstig umgedreht:
zum einen funktioniert so Internet. Yuhu!
Zum anderen: pihole zeigt nur noch opensense in der Statistik (doof) und keine Auflösung deiner hostnames (auch doof).
Ich würde also das Konstrukt umdrehen:
die Clients erhalten via DHCP die IP vom Pihole. Dort wird dann unter upstream DNS Servers die IP von opensense eingetragen. Ich selber forwarde auf der *sense nix, da läuft dann unbound als resolver.
Vorteile:
Internet geht immer noch (yuhu)
Pihole zeigt die anfragenden Clients und die Statistik wird mit Leben gefüllt
Die opensense kann die hostnames auflösen.
Weil: client erfragt DNS > pihole als DNS via DHCP ---DNS Filter---- > Weiterreichen der Anfrage an opensense > resolves entweder lokale hostnames oder sendet Anfrage weiter an die autoritative Ebene.
Ist zumindest mein Ansatz als Hobbykelleradmin ;)
edit: du kannst natürlich auch alle hostnames in pihole eintragen...das ändert dann aber nichts an der Sache, dass nur opensense in der pihole Statistik auftaucht. Und ist doppelte Arbeit...
1
Danke th30ther,
ich hab gedacht, dass bei meiner konfig zuerst OPNSense gefragt wird. Dort läuft ja dnsmasq (hatte gehofft das dort die Hostnamen zu den IP-Adressen aufgelöst werden den meine OPNSense macht ja auch DHCP).
Wenn die OPNSense keine Antwort hat, geht es weiter ans Pi-hole. Dort läuft unbound und raus damit zum Root Server.
Ich versteh nur nicht, wenn ich OPNSense als DNS Server angebe, warum er die Namen lokal nicht auflöst.
ich hab gedacht, dass bei meiner konfig zuerst OPNSense gefragt wird. Dort läuft ja dnsmasq (hatte gehofft das dort die Hostnamen zu den IP-Adressen aufgelöst werden den meine OPNSense macht ja auch DHCP).
Wenn die OPNSense keine Antwort hat, geht es weiter ans Pi-hole. Dort läuft unbound und raus damit zum Root Server.
Ich versteh nur nicht, wenn ich OPNSense als DNS Server angebe, warum er die Namen lokal nicht auflöst.
Moinsen,
ja, du schickst ja auch aktuell alles erst zur opensense, dann zum pihole, von da mit unbound ins Netz.
Auf der pfsense sind die hostnames einzutragen unter den host overrides im Menu zum DNS Resolver.
Wo das unter der opensense geht, keine Ahnung...oh, hab ich doch:
https://docs.opnsense.org/manual/unbound.html
Das sollte es doch dann sein?
Alternativ: in opensense stehen ja auch unbound und ein Ad Blocker zur Verfügung...
Wie gesagt, du kannst ja auch DNS ganz von der *sense aufs pihole verlegen, wenn du da eh unbound laufen hast. Wäre jetzt nicht mein Ansatz, aber das heißt ja nix. Wie ich damit über ein paar Jahre gefahren bin (ohne extra unbound auf dem pihole, das war VOR der pfsense mal der Fall) habe ich dir ja oben beschrieben...
Have fun!
ja, du schickst ja auch aktuell alles erst zur opensense, dann zum pihole, von da mit unbound ins Netz.
Auf der pfsense sind die hostnames einzutragen unter den host overrides im Menu zum DNS Resolver.
Wo das unter der opensense geht, keine Ahnung...oh, hab ich doch:
https://docs.opnsense.org/manual/unbound.html
Das sollte es doch dann sein?
Alternativ: in opensense stehen ja auch unbound und ein Ad Blocker zur Verfügung...
Wie gesagt, du kannst ja auch DNS ganz von der *sense aufs pihole verlegen, wenn du da eh unbound laufen hast. Wäre jetzt nicht mein Ansatz, aber das heißt ja nix. Wie ich damit über ein paar Jahre gefahren bin (ohne extra unbound auf dem pihole, das war VOR der pfsense mal der Fall) habe ich dir ja oben beschrieben...
Have fun!
Warum machst du es so kompliziert und verteilst im DHCP Server der OPNsense für die Endgeräte nicht schlicht und einfach gleich direkt die .20.2 ,sprich den PiHole, als DNS Server?!
Dann kannst du das ganze DNS Gefrickel auf der OPNsense bleiben lassen, bzw. die besser so lassen das sie vom Provider dynamisch dessen DNS via PPPoE lernt.
So hast du die OPNsense immer als Notnagel wenn der PiHole mal ausfällt und musst lediglich den aus dem DHCP entfernen oder am Endgerät temporär die OPNsense IP als DNS eingeben.
Hat den Vorteil das du dir den DNS "Durchlauferhitzer" Firewall dann sparen kannst und noch besser: du kannst weiterhin ALLE Endgeräte in der PiHole DNS Statistik sehen.
Wenn du den PiHole als DNS Weiterleitung von der OPNsense einrichtest, dann siehst du keinerlei Endgeräte Statistiken mehr. Logisch, denn dann ist ja immer nur die OPNsense der DNS Absender!
Falls du Weiterleitung dennoch vorziehst musst du sehen das die OPNsense dann auch als Forwarder definiert ist. Hier kannst du das am Beispiel der pfSense sehen.
Der DNS Server darf dann NICHT den Haken "DNS can be overridden by DHCP or PPP" aktiviert haben, was du oben aber schon richtig gemacht hast!
Deutlich besser ist übrigens ein Adguard Home:
https://blog.daniel.wydler.eu/2021/02/21/adguard-home-im-netzwerk-implem ...
Dann kannst du das ganze DNS Gefrickel auf der OPNsense bleiben lassen, bzw. die besser so lassen das sie vom Provider dynamisch dessen DNS via PPPoE lernt.
So hast du die OPNsense immer als Notnagel wenn der PiHole mal ausfällt und musst lediglich den aus dem DHCP entfernen oder am Endgerät temporär die OPNsense IP als DNS eingeben.
Hat den Vorteil das du dir den DNS "Durchlauferhitzer" Firewall dann sparen kannst und noch besser: du kannst weiterhin ALLE Endgeräte in der PiHole DNS Statistik sehen.
Wenn du den PiHole als DNS Weiterleitung von der OPNsense einrichtest, dann siehst du keinerlei Endgeräte Statistiken mehr. Logisch, denn dann ist ja immer nur die OPNsense der DNS Absender!
Falls du Weiterleitung dennoch vorziehst musst du sehen das die OPNsense dann auch als Forwarder definiert ist. Hier kannst du das am Beispiel der pfSense sehen.
Der DNS Server darf dann NICHT den Haken "DNS can be overridden by DHCP or PPP" aktiviert haben, was du oben aber schon richtig gemacht hast!
Deutlich besser ist übrigens ein Adguard Home:
https://blog.daniel.wydler.eu/2021/02/21/adguard-home-im-netzwerk-implem ...
