derdummepeter
Goto Top

DNS in AD und pfSense - pfBlockerNG Listen werden nicht beruecksichtigt

Moin,

ich bin der Peter und hab mich hier nun doch angemeldet. Ich habe mit IT ueberhaupt nix zu tun, ausser das ich zu Hause mein kleines Netwerk aufgebaut habe. Leider hab ich dazu mom kein Diagramm, versuche es aber trotzdem mal. Auch wenn hier manchmal ganz schoen ruede umgegangen wird. Aber ich habe keine Wahl, denn ich kenne mich mit DNS ueberhaupt nicht aus. So siehts bei mir zu Hause aus und das habe ich gerade noch alles so hinbekommen:

LAN - Interface (VLAN1)
Router (pfSense - IP 10.10.0.254)
Switch (Cisco SG200-24 - 10.10.0.10) - Layer 2

GNOPS - Interface (VLAN10 / Gateway 10.10.10.1)
ADDC + DNS Server1 (WS2019 - IP 10.10.10.10) - physisch
DC + DNS Server2 (WS2019 - IP 10.10.10.20) - virtuell
VM + Files Server (Proxmox + FreeNAS - IP 10.10.10.30 + 40)
Laptops + Workstations (Win10 + Linux - IP range 10.10.10.50-10.10.10.99)

INT - Interface (VLAN20 / Gateway 10.10.20.1)
Handys + iPad (IP - Range 10.10.20.50-99)

EXT - Interface (VLAN40 / Gateway 10.10.40.1)
Handys von Gaesten (IP - Range 10.10.40.50-99)

CAM - Interface (VLAN60 / Gateway 10.10.60.1)
Ueberwachungskameras (IP - Range 10.10.60.50-59)

VIP - Interface (VLAN80 / Gateway 10.10.80.1)
3CX (IP - Range 10.10.80.50)

MGMT - Interface (VLAN100 / Gateway 10.10.100.1)
IPMI der Server (IP Range - 10.10.100.50-60)

Jetzt habe ich aber das Problem das ich mir auf der pfSense den pfBlockerNG eingerichtet habe und dazu Block-Listen pflegen wollte. Die Einrichtung hat auch wunderbar geklappt. Allerdings werden die Block-Listen nicht beruecksichtigt. Der DC1 IP 10.10.10.10 ist ja auch DNS Server und so ist es auch hinterlegt > 10.10.10.10 und 10.10.10.20 (DC2). Guckt also auf sich selbst und auf 10.10.10.20. Die W10 und Linux Clients gehen ueber beide IP's als DNS. In der pfSense ist DNS angegeben aus 127.0.0.1, 9.9.9.9 und 1.1.1.3.

Wie kann ich DC1 und DC2 dazu bringen die hinterlegten Block-Listen in der pfSense (10.10.0.254) zu beruecksichtigen? Muesste ich dann einen DNS-Forwarder mit Domain Override unter pfSense einrichten?

Ich lann leider momentan nicht grossartig testen, da meine Frau quasi 24/7 auf dem 3CX erreichbar sein muss und meine Kinder Ihre Seminare teilweise online absolvieren muessen. Kann mir da jemand helfen? Was fuer Info's braucht Ihr sonst noch so? Jeder 'ordentliche' Kommentar ist hilfreich.

Vielen Dank im Voraus.

Peter

Content-Key: 615631

Url: https://administrator.de/contentid/615631

Ausgedruckt am: 19.03.2024 um 08:03 Uhr

Mitglied: SlainteMhath
SlainteMhath 23.10.2020 um 15:03:53 Uhr
Goto Top
Moin,

du auf den DNS Server am DC eine Forwarder einrichten, der auf dei pfSense zeigt und das wars.

Clients fragen AD-DNS, der frägt pfSense, die block oder frägt "draußen"

lg,
Slainte
Mitglied: aqui
aqui 23.10.2020 aktualisiert um 15:16:08 Uhr
Goto Top
Dieser Anleitung:
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Bist du genau gefolgt ??
Die ist eigentlich wasserdicht und führt immer zum Erfolg !
Mit an Sicherheit grenzender Wahrscheinlichkeit hast du einen falschen oder fehlerhaften oder gar keinen DNS Forwarder (DNS Weiterleitung) und den Winblows DNS eingerichtet ?!
Dieser muss natürlich zwingend bei beiden auf die lokale IP der pfSense zeigen wie Kollege @SlainteMhath oben schon richtig sagt. Sollte sie auf eine andere Forwarder IP zeigen umgehst du ja logischerweise dann quasi total die Filterliste im pgBlockerNG und hebelst diese dann aus.
Auch solltest du darauf achten den DNS Resolver in der pfSense richtig einzustellen:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mitglied: DerDummePeter
DerDummePeter 23.10.2020 um 15:45:18 Uhr
Goto Top
Oh, das ging aber schnell. Vielen Dank Euch beiden. Nein ich habe gar keinen Forwarder eingerichtet. Muss ich mir mal anschauen. Dann muesste ich ja auch von der 10.10.10.10 und 10.10.10.20 auf die 10.10.0.254 kommen. Kann die aber nicht pingen. Also auch da noch verbinden.

Vielen Dank erstmal. Wenn ich das loesen konnte, markiere ich Euch zwei als Loesungsgeber.

Ansonsten muss ich nochmal zurueckkommen und fragen.

Danke Super.

Peter
Mitglied: DerDummePeter
DerDummePeter 23.10.2020 aktualisiert um 17:02:14 Uhr
Goto Top
Ich schaetze mal irgendetwas muss bei mir falsch sein ...

Ich habe folgende FW-Regeln. Der Master (10.10.10.50) ist mein PC von dem aus ich auf alles und jeden zugreifen kann. Damit der DC1 (10.10.10.10) die pfSense (10.10.0.254) ueberhaupt sieht, wollte ich nun die gleiche FW-Regel fuer den DC1 anwenden wie fuer den Master. Vom Master aus kann ich die pfSense anpingen und die auch aus dem Browser administrieren. Mit der gleichen Regel geht das aber mit dem DC1 nicht. Da fehlt mir jetzt der Lichtblick.

psfense_fw_regeln1

Warum sieht der DC1 (10.10.10.10) die 10.10.0.254 nicht, wenn der Master (10.10.10.50) mit der gleichen Regel es kann? FW im DC1 abgeschaltet, gleiches Ergebnis.

Gibt viel zu Lernen.
Mitglied: aqui
aqui 23.10.2020 aktualisiert um 18:02:13 Uhr
Goto Top
Ich habe folgende FW-Regeln.
Die letzte Regel ist Blödsinn und kannst du löschen. Lokaler Traffic läuft logischerweise niemals über die Firewall weil der ja nicht über sie geroutet wird. Den "sieht" die FW gar nicht, folglich ist die Regel auch unsinnig. Der lokale Traffic geht von Host zu Host direkt.
Die ersten 3 sind soweit korrekt
  • 1.) Der Host DC1GNOPS darf alles und überall hin
  • 2.) Der Host Master darf alles und überall hin
  • 3.) Niemand das aus dem GNOPS Netzwerk Segment auf irgendwelche privaten RFC1918 IPs aber sonst überallhin.
Dann muesste ich ja auch von der 10.10.10.10 und 10.10.10.20 auf die 10.10.0.254 kommen.
Nein !
Jedenfalls nicht wenn du 24 Bit Prefixe benutzt im Subnetting und die .10 und .20 nicht die Hosts DC1GNOPS oder Master sind. Nur diese dürfen ja laut Regelwerk überall hin. Die restlichen Hosts im 10.10.10er Netz nicht. 24 Bit Prefix vorausgesetzt ?!)
Leider machst du keinerlei Angaben über deine verwendeten Masken und zwingst uns so zum raten. face-sad
Mit der gleichen Regel geht das aber mit dem DC1 nicht.
Leider hast du das Regelwerk nicht gepostet sondern nur das eines Interfaces. DC1 und Master stehen ja dann in verschiedenen IP Netzwerksegmenten an der Firewall, oder ?
Da man deine Netz Segmentierung nicht kennt muss man wild raten und kann die Frage nicht zielführend beantworten. Wir drehen uns also sinnfrei im Kreis.
Ggf. checkst du das erstmal mit einer "Scheunentor" Regel (alles erlauben) das die Host Connectivity sauber klappt und machst danach dann die Schotten dicht. Klappt was nicht weisst du dann immer sicher das es an deinen Firewall regeln liegt. face-wink Strategisch vorgehen...!
Nein ich habe gar keinen Forwarder eingerichtet.
Wie oben schon mehrfach gesagt. Dann kann das niemals funktionieren. Deine internen Clients werden ja vermutlich ALLE den lokalen DNS verwenden. Wenn diese keinen DNS Forwarder auf die lokale pfSense IP wird das logischerweise scheitern. Das ist dir ja oben schon mehrfach gesagt worden.
https://www.edvler-blog.de/windows-server-2012-dns-weiterleitung-forward ...
Dann muesste ich ja auch von der 10.10.10.10 und 10.10.10.20 auf die 10.10.0.254 kommen.
Mitglied: DerDummePeter
DerDummePeter 23.10.2020 aktualisiert um 21:06:55 Uhr
Goto Top
Ok, ich sehe Du hast da was verwechselt.

Also alle VLANSxx haben entsprechende Subnets:

VLAN10 >> 10.10.10.0/24 >> Gateway ist immer die jeweilige x.x.x.1
VLAN20 >> 10.10.20.0/24
:
VLAN100 > 10.10.100.0/24

Wie ich oben geschieben habe, sind die DCxGNOPS die Domain Controller/DNS die alle im VLAN10 haengen. Der DC1GNOPS ist der physische DC/DNS mit der 10.10.10.10. Der DC2GNOPS ist der virtuelle DC/DNS mit der 10.10.10.20. Der von mir oben schon angesprochene Master-PC ist die 10.10.10.50.

Oben habe ich erwaehnt das ich mit den FW-Regeln von dem Master (10.10.10.50) auf die pfSense pingen kann. Das geht. Von dem DC1GNOPS (10.10.10.10) kann ich mit der selben Regel aber nicht auf die pfSense. Beide im gleichen VLAN10, beide im gleichen Subnetz 10.10.10.0/24. Da ich die pfSense vom DC1/DNS noch nichtmal anpingen kann, hab ich auch noch keinen DNS-Forwarder gesetzt. DC1GNOPS und Master sind somit im selben (!!) Segment/Subnet. Die Clients, wie zum Beispiel der Master (10.10.10.50) benuzten als DNS alle den DC1GNOPS (10.10.10.10) oder eben DC2GNOPS (10.10.10.20).

Hier sind beide Regelwerke fuer DC1GNOPS:
gnops_fw_role_dc1

... und Master
gnops_fw_role_master

Wie man sieht sind es die gleichen Roles nur der entsprechende Host ist anders.

Das GNOPS (VLAN10) Interface hab ich auch nochmal dargestellt. Wenn Ihr andere Info's braucht, einfach meckern und sagen.
gnops_interface_gnops

VG Peter

EDIT: OK, ping geht jetzt von DC1GNOPS (10.10.10.10) und DC2 (10.10.10.20).
EDIT: Frage, dann muss ich aber den DNS-Forwarder auf beiden DC's mit DNS Role einrichten? Korrekt?
Mitglied: aqui
aqui 24.10.2020 aktualisiert um 11:32:37 Uhr
Goto Top
sind die DCxGNOPS die Domain Controller/DNS die alle im VLAN10 haengen.
OK, dann können die ja schon mal problemlos untereinander kommunizieren, denn das geht logischerweise immer direkt ganz ohne Firewall wie oben schon gesagt.
das ich mit den FW-Regeln von dem Master (10.10.10.50) auf die pfSense pingen kann.
Das ist auch klar, denn der Maste hat ja eine Scheinentor Regel das er alles darf.
Von dem DC1GNOPS (10.10.10.10) kann ich mit der selben Regel aber nicht auf die pfSense
Was dann natürlich ganz sicher nicht am Regelwerk liegen kann wenns mit dem Master geht. Der DC1GNOPS (10.10.10.10) hat ja eine völlig identische Scheunentor Regel wie der Master.
Vermutlich ist dann hier wie üblich die lokale Winblows Firewall schuld, denn die blockt im Default das ICMP Protokoll (Ping): https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Da ich die pfSense vom DC1/DNS noch nichtmal anpingen kann, hab ich auch noch keinen DNS-Forwarder gesetzt.
Wäre soweit auch verständlich es betrifft aber vermurlich rein nur das ICMP Protokoll und nichts anderes. Das hättest du sehr leicht verifizieren können indem du vom DC1GNOPS (10.10.10.10) mal mit dem Browser auf das Web Konfig GUI der pfSense zugegriffen hättest. Durch die Scheunentor Regel muss das funktionieren und dann kann man auch davon ausgehen das TCP/UDP 53 (DNS) klappt. Warum bist du auf diesen einfachen Test nicht mal selber gekommen ??!
Fakt ist das DC1GNOPS (10.10.10.10) und auch DC2GNOPS (10.10.10.20) ein DNS Forwarding auf die pfSense IP 10.10.10.1 machen müssen.
Die pfSense selber muss den Forwarder deaktiviert haben und den Resolver aktiv und dort den Forwarding Mode aktiv, der dann final auf den DNS Server des Providers zeigt ! Siehe hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Hier sind beide Regelwerke fuer DC1GNOPS:
Zielführend und hilfreich wäre hier noch die Gesamtübersicht des Regelwerkes am Interface gewesen, denn du weisst ja: Es gilt hier immer "First match wins !". Nach dem ersten positiven Hit im Regelwerk wird der Rest nicht mehr abgearbeitet. Die Reihenfolge des Regelwerkes am Interface ist hier also ebenso entscheidend !!
Frage, dann muss ich aber den DNS-Forwarder auf beiden DC's mit DNS Role einrichten? Korrekt?
Das ist richtig...siehe oben !