8
Pi-hole, Opnsense und Fritzbox 6490 wer sollte DNS Master sein?
Guten Morgen,
aktuell Tüftle ich an meinem Netzwerk und Probiere vieles aus.
Aktuell läuft es bei mir so :
Fritzbox 6490 KDG DHCP / DNS alles aus DNS läuft dann wohl als Proxy 172.16.0.1/24
HyperV Blech : 172.16.10.2
VM1 Opnsense Zuständig für DHCP, VLAN, VPN, DNS Weiterleitung
WAN: 172.16.0.2/24 GW:172.16.0.1
VLAN11 FesteClients 172.16.11.1
VLAN13 GastWlan 172.16.13.1
LAN 172.16.5.1
VLAN14 Labor 172.16.14.1
VLAN10 Management 172.16.10.1
VLAN12 WlanClients 172.16.12.1
Alle DHCP´s bekommen den DNS des Pi-hole mit 172.16.10.10
VM 2 Debian mit Pi-hole 172.16.10.10/24
Pi-hole nutzt den Custom DNS der opnsense 172.16.5.1
Die Opnsense hat unter System -> Allgemein den DNS der Fritzbox 172.16.0.1 drin.
Das heißt ein Client fragt die Pi-hole die blockt Werbung und Co dann fragt die die opnsene und die dann die Fritzbox?
Problem ist das wenn ich das so mache ich intern keine Clients auflösen kann.
Hier mal ein Wireshark Auszug wenn ich nslookup opnsense abfrage
aktuell Tüftle ich an meinem Netzwerk und Probiere vieles aus.
Aktuell läuft es bei mir so :
Fritzbox 6490 KDG DHCP / DNS alles aus DNS läuft dann wohl als Proxy 172.16.0.1/24
HyperV Blech : 172.16.10.2
VM1 Opnsense Zuständig für DHCP, VLAN, VPN, DNS Weiterleitung
WAN: 172.16.0.2/24 GW:172.16.0.1
VLAN11 FesteClients 172.16.11.1
VLAN13 GastWlan 172.16.13.1
LAN 172.16.5.1
VLAN14 Labor 172.16.14.1
VLAN10 Management 172.16.10.1
VLAN12 WlanClients 172.16.12.1
Alle DHCP´s bekommen den DNS des Pi-hole mit 172.16.10.10
VM 2 Debian mit Pi-hole 172.16.10.10/24
Pi-hole nutzt den Custom DNS der opnsense 172.16.5.1
Die Opnsense hat unter System -> Allgemein den DNS der Fritzbox 172.16.0.1 drin.
Das heißt ein Client fragt die Pi-hole die blockt Werbung und Co dann fragt die die opnsene und die dann die Fritzbox?
Problem ist das wenn ich das so mache ich intern keine Clients auflösen kann.
Hier mal ein Wireshark Auszug wenn ich nslookup opnsense abfrage
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 650779
Url: https://administrator.de/contentid/650779
Printed on: April 16, 2024 at 15:04 o'clock
8 Comments
Latest comment
Die Opnsense hat unter System -> Allgemein den DNS der Fritzbox 172.16.0.1 drin.
Da sollte natürlich der PiHole rein und der hat dann wiederume iene Weiterleitung entweder auf einen der Provider Cloudflare, Quad 9 usw. oder besser...auf die IP der FritzBox.Fertisch...
Das DNS Setup Resolver/Forwarder sollte natürlich entsprechend richtig eingerichtet sein:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Regelwerk für UDP/TCP 53 um den PiHole aus den weiteren Firewall Segmenten zu erreichen ebenso.
Eigentlich doch kein Hexenwerk...
Moin,
ich würde die DNS "Kaskade" so aufbauen
Clients -> PiHole -> Fritte -> ISP
pfSense -> Fritte -> ISP
oder mein Favorit
Direkt die RootServer von pfSense/RasPi aus anfragen
Google, Quad9, Cloudflare und alle anderen die den DNS Traffic auswerten würde ich rauslassen.
/EDIT: wg. deiner Internen Namensauflösung. Versuch doch mal die FQDN anzufragen. evtl. fehtl bei dir nur das search suffix
lg,
Slainte
ich würde die DNS "Kaskade" so aufbauen
Clients -> PiHole -> Fritte -> ISP
pfSense -> Fritte -> ISP
oder mein Favorit
Direkt die RootServer von pfSense/RasPi aus anfragen
Google, Quad9, Cloudflare und alle anderen die den DNS Traffic auswerten würde ich rauslassen.
/EDIT: wg. deiner Internen Namensauflösung. Versuch doch mal die FQDN anzufragen. evtl. fehtl bei dir nur das search suffix
lg,
Slainte
Clients -> PiHole -> Fritte -> ISP
Besteht denn die Möglichkeit das die Clients automatisch eingetragen werden? Also ins DNS?
Das geht in der aktuellen PiHole Version (endlich!!) im Web Interface.
Hallo,
inklusive reverser Auflösung und der damit verbundenen, zwingend erforderlichen Aufhebung der Rebind-Protection?
Gruß,
Jörg
inklusive reverser Auflösung und der damit verbundenen, zwingend erforderlichen Aufhebung der Rebind-Protection?
Gruß,
Jörg
Oder doch lieber anders lösen mit dem DNS ? pfblockerng gibt es ja nur für Pfsense und nicht für Opnsense.
Oder bringt Opnsense auch was mit ? Dienste: Unbound DNS: Black List
Oder bringt Opnsense auch was mit ? Dienste: Unbound DNS: Black List