jackred
Goto Top

Pi-hole, Opnsense und Fritzbox 6490 wer sollte DNS Master sein?

Guten Morgen,

aktuell Tüftle ich an meinem Netzwerk und Probiere vieles aus.

Aktuell läuft es bei mir so :
Fritzbox 6490 KDG DHCP / DNS alles aus DNS läuft dann wohl als Proxy 172.16.0.1/24

HyperV Blech : 172.16.10.2

VM1 Opnsense Zuständig für DHCP, VLAN, VPN, DNS Weiterleitung
WAN: 172.16.0.2/24 GW:172.16.0.1

VLAN11 FesteClients 172.16.11.1
VLAN13 GastWlan 172.16.13.1
LAN 172.16.5.1
VLAN14 Labor 172.16.14.1
VLAN10 Management 172.16.10.1
VLAN12 WlanClients 172.16.12.1

Alle DHCP´s bekommen den DNS des Pi-hole mit 172.16.10.10

VM 2 Debian mit Pi-hole 172.16.10.10/24
Pi-hole nutzt den Custom DNS der opnsense 172.16.5.1

dns pi-holel

Die Opnsense hat unter System -> Allgemein den DNS der Fritzbox 172.16.0.1 drin.

Das heißt ein Client fragt die Pi-hole die blockt Werbung und Co dann fragt die die opnsene und die dann die Fritzbox?


Problem ist das wenn ich das so mache ich intern keine Clients auflösen kann.

nslookup


Hier mal ein Wireshark Auszug wenn ich nslookup opnsense abfrage

wireshark

Content-Key: 650779

Url: https://administrator.de/contentid/650779

Ausgedruckt am: 29.03.2024 um 12:03 Uhr

Mitglied: aqui
aqui 11.02.2021 um 10:53:56 Uhr
Goto Top
Die Opnsense hat unter System -> Allgemein den DNS der Fritzbox 172.16.0.1 drin.
Da sollte natürlich der PiHole rein und der hat dann wiederume iene Weiterleitung entweder auf einen der Provider Cloudflare, Quad 9 usw. oder besser...auf die IP der FritzBox.
Fertisch...
Das DNS Setup Resolver/Forwarder sollte natürlich entsprechend richtig eingerichtet sein:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Regelwerk für UDP/TCP 53 um den PiHole aus den weiteren Firewall Segmenten zu erreichen ebenso.
Eigentlich doch kein Hexenwerk... face-wink
Mitglied: SlainteMhath
SlainteMhath 11.02.2021 aktualisiert um 11:15:03 Uhr
Goto Top
Moin,

ich würde die DNS "Kaskade" so aufbauen

Clients -> PiHole -> Fritte -> ISP
pfSense -> Fritte -> ISP

oder mein Favorit

Direkt die RootServer von pfSense/RasPi aus anfragen

Google, Quad9, Cloudflare und alle anderen die den DNS Traffic auswerten würde ich rauslassen.

/EDIT: wg. deiner Internen Namensauflösung. Versuch doch mal die FQDN anzufragen. evtl. fehtl bei dir nur das search suffix

lg,
Slainte
Mitglied: Xerebus
Xerebus 11.02.2021 um 11:31:56 Uhr
Goto Top
Clients -> PiHole -> Fritte -> ISP
Dann müssen die Internen Clients aber beim Pihole eingetragen werden.
Mitglied: Jackred
Jackred 11.02.2021 um 11:45:20 Uhr
Goto Top
Besteht denn die Möglichkeit das die Clients automatisch eingetragen werden? Also ins DNS?
Mitglied: 117471
117471 11.02.2021 um 12:17:41 Uhr
Goto Top
Mitglied: SlainteMhath
SlainteMhath 11.02.2021 um 12:27:24 Uhr
Goto Top
Das geht in der aktuellen PiHole Version (endlich!!) im Web Interface.
Mitglied: 117471
117471 11.02.2021 um 12:37:29 Uhr
Goto Top
Hallo,

inklusive reverser Auflösung und der damit verbundenen, zwingend erforderlichen Aufhebung der Rebind-Protection?

Gruß,
Jörg
Mitglied: Jackred
Jackred 11.02.2021 um 15:59:11 Uhr
Goto Top
Oder doch lieber anders lösen mit dem DNS ? pfblockerng gibt es ja nur für Pfsense und nicht für Opnsense.

Oder bringt Opnsense auch was mit ? Dienste: Unbound DNS: Black List