DNS in AD und pfSense - pfBlockerNG Listen werden nicht beruecksichtigt

Mitglied: DerDummePeter

DerDummePeter (Level 1) - Jetzt verbinden

23.10.2020, aktualisiert 14:55 Uhr, 798 Aufrufe, 7 Kommentare

Moin,

ich bin der Peter und hab mich hier nun doch angemeldet. Ich habe mit IT ueberhaupt nix zu tun, ausser das ich zu Hause mein kleines Netwerk aufgebaut habe. Leider hab ich dazu mom kein Diagramm, versuche es aber trotzdem mal. Auch wenn hier manchmal ganz schoen ruede umgegangen wird. Aber ich habe keine Wahl, denn ich kenne mich mit DNS ueberhaupt nicht aus. So siehts bei mir zu Hause aus und das habe ich gerade noch alles so hinbekommen:

LAN - Interface (VLAN1)
Router (pfSense - IP 10.10.0.254)
Switch (Cisco SG200-24 - 10.10.0.10) - Layer 2

GNOPS - Interface (VLAN10 / Gateway 10.10.10.1)
ADDC + DNS Server1 (WS2019 - IP 10.10.10.10) - physisch
DC + DNS Server2 (WS2019 - IP 10.10.10.20) - virtuell
VM + Files Server (Proxmox + FreeNAS - IP 10.10.10.30 + 40)
Laptops + Workstations (Win10 + Linux - IP range 10.10.10.50-10.10.10.99)

INT - Interface (VLAN20 / Gateway 10.10.20.1)
Handys + iPad (IP - Range 10.10.20.50-99)

EXT - Interface (VLAN40 / Gateway 10.10.40.1)
Handys von Gaesten (IP - Range 10.10.40.50-99)

CAM - Interface (VLAN60 / Gateway 10.10.60.1)
Ueberwachungskameras (IP - Range 10.10.60.50-59)

VIP - Interface (VLAN80 / Gateway 10.10.80.1)
3CX (IP - Range 10.10.80.50)

MGMT - Interface (VLAN100 / Gateway 10.10.100.1)
IPMI der Server (IP Range - 10.10.100.50-60)

Jetzt habe ich aber das Problem das ich mir auf der pfSense den pfBlockerNG eingerichtet habe und dazu Block-Listen pflegen wollte. Die Einrichtung hat auch wunderbar geklappt. Allerdings werden die Block-Listen nicht beruecksichtigt. Der DC1 IP 10.10.10.10 ist ja auch DNS Server und so ist es auch hinterlegt > 10.10.10.10 und 10.10.10.20 (DC2). Guckt also auf sich selbst und auf 10.10.10.20. Die W10 und Linux Clients gehen ueber beide IP's als DNS. In der pfSense ist DNS angegeben aus 127.0.0.1, 9.9.9.9 und 1.1.1.3.

Wie kann ich DC1 und DC2 dazu bringen die hinterlegten Block-Listen in der pfSense (10.10.0.254) zu beruecksichtigen? Muesste ich dann einen DNS-Forwarder mit Domain Override unter pfSense einrichten?

Ich lann leider momentan nicht grossartig testen, da meine Frau quasi 24/7 auf dem 3CX erreichbar sein muss und meine Kinder Ihre Seminare teilweise online absolvieren muessen. Kann mir da jemand helfen? Was fuer Info's braucht Ihr sonst noch so? Jeder 'ordentliche' Kommentar ist hilfreich.

Vielen Dank im Voraus.

Peter
Mitglied: SlainteMhath
23.10.2020 um 15:03 Uhr
Moin,

du auf den DNS Server am DC eine Forwarder einrichten, der auf dei pfSense zeigt und das wars.

Clients fragen AD-DNS, der frägt pfSense, die block oder frägt "draußen"

lg,
Slainte
Bitte warten ..
Mitglied: aqui
23.10.2020, aktualisiert um 15:16 Uhr
Dieser Anleitung:
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Bist du genau gefolgt ??
Die ist eigentlich wasserdicht und führt immer zum Erfolg !
Mit an Sicherheit grenzender Wahrscheinlichkeit hast du einen falschen oder fehlerhaften oder gar keinen DNS Forwarder (DNS Weiterleitung) und den Winblows DNS eingerichtet ?!
Dieser muss natürlich zwingend bei beiden auf die lokale IP der pfSense zeigen wie Kollege @SlainteMhath oben schon richtig sagt. Sollte sie auf eine andere Forwarder IP zeigen umgehst du ja logischerweise dann quasi total die Filterliste im pgBlockerNG und hebelst diese dann aus.
Auch solltest du darauf achten den DNS Resolver in der pfSense richtig einzustellen:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Bitte warten ..
Mitglied: DerDummePeter
23.10.2020 um 15:45 Uhr
Oh, das ging aber schnell. Vielen Dank Euch beiden. Nein ich habe gar keinen Forwarder eingerichtet. Muss ich mir mal anschauen. Dann muesste ich ja auch von der 10.10.10.10 und 10.10.10.20 auf die 10.10.0.254 kommen. Kann die aber nicht pingen. Also auch da noch verbinden.

Vielen Dank erstmal. Wenn ich das loesen konnte, markiere ich Euch zwei als Loesungsgeber.

Ansonsten muss ich nochmal zurueckkommen und fragen.

Danke Super.

Peter
Bitte warten ..
Mitglied: DerDummePeter
23.10.2020, aktualisiert um 17:02 Uhr
Ich schaetze mal irgendetwas muss bei mir falsch sein ...

Ich habe folgende FW-Regeln. Der Master (10.10.10.50) ist mein PC von dem aus ich auf alles und jeden zugreifen kann. Damit der DC1 (10.10.10.10) die pfSense (10.10.0.254) ueberhaupt sieht, wollte ich nun die gleiche FW-Regel fuer den DC1 anwenden wie fuer den Master. Vom Master aus kann ich die pfSense anpingen und die auch aus dem Browser administrieren. Mit der gleichen Regel geht das aber mit dem DC1 nicht. Da fehlt mir jetzt der Lichtblick.

psfense_fw_regeln1 - Klicke auf das Bild, um es zu vergrößern

Warum sieht der DC1 (10.10.10.10) die 10.10.0.254 nicht, wenn der Master (10.10.10.50) mit der gleichen Regel es kann? FW im DC1 abgeschaltet, gleiches Ergebnis.

Gibt viel zu Lernen.
Bitte warten ..
Mitglied: aqui
23.10.2020, aktualisiert um 18:02 Uhr
Ich habe folgende FW-Regeln.
Die letzte Regel ist Blödsinn und kannst du löschen. Lokaler Traffic läuft logischerweise niemals über die Firewall weil der ja nicht über sie geroutet wird. Den "sieht" die FW gar nicht, folglich ist die Regel auch unsinnig. Der lokale Traffic geht von Host zu Host direkt.
Die ersten 3 sind soweit korrekt
  • 1.) Der Host DC1GNOPS darf alles und überall hin
  • 2.) Der Host Master darf alles und überall hin
  • 3.) Niemand das aus dem GNOPS Netzwerk Segment auf irgendwelche privaten RFC1918 IPs aber sonst überallhin.
Dann muesste ich ja auch von der 10.10.10.10 und 10.10.10.20 auf die 10.10.0.254 kommen.
Nein !
Jedenfalls nicht wenn du 24 Bit Prefixe benutzt im Subnetting und die .10 und .20 nicht die Hosts DC1GNOPS oder Master sind. Nur diese dürfen ja laut Regelwerk überall hin. Die restlichen Hosts im 10.10.10er Netz nicht. 24 Bit Prefix vorausgesetzt ?!)
Leider machst du keinerlei Angaben über deine verwendeten Masken und zwingst uns so zum raten.
Mit der gleichen Regel geht das aber mit dem DC1 nicht.
Leider hast du das Regelwerk nicht gepostet sondern nur das eines Interfaces. DC1 und Master stehen ja dann in verschiedenen IP Netzwerksegmenten an der Firewall, oder ?
Da man deine Netz Segmentierung nicht kennt muss man wild raten und kann die Frage nicht zielführend beantworten. Wir drehen uns also sinnfrei im Kreis.
Ggf. checkst du das erstmal mit einer "Scheunentor" Regel (alles erlauben) das die Host Connectivity sauber klappt und machst danach dann die Schotten dicht. Klappt was nicht weisst du dann immer sicher das es an deinen Firewall regeln liegt. Strategisch vorgehen...!
Nein ich habe gar keinen Forwarder eingerichtet.
Wie oben schon mehrfach gesagt. Dann kann das niemals funktionieren. Deine internen Clients werden ja vermutlich ALLE den lokalen DNS verwenden. Wenn diese keinen DNS Forwarder auf die lokale pfSense IP wird das logischerweise scheitern. Das ist dir ja oben schon mehrfach gesagt worden.
https://www.edvler-blog.de/windows-server-2012-dns-weiterleitung-forward ...
Dann muesste ich ja auch von der 10.10.10.10 und 10.10.10.20 auf die 10.10.0.254 kommen.
Bitte warten ..
Mitglied: DerDummePeter
23.10.2020, aktualisiert um 21:06 Uhr
Ok, ich sehe Du hast da was verwechselt.

Also alle VLANSxx haben entsprechende Subnets:

VLAN10 >> 10.10.10.0/24 >> Gateway ist immer die jeweilige x.x.x.1
VLAN20 >> 10.10.20.0/24
:
VLAN100 > 10.10.100.0/24

Wie ich oben geschieben habe, sind die DCxGNOPS die Domain Controller/DNS die alle im VLAN10 haengen. Der DC1GNOPS ist der physische DC/DNS mit der 10.10.10.10. Der DC2GNOPS ist der virtuelle DC/DNS mit der 10.10.10.20. Der von mir oben schon angesprochene Master-PC ist die 10.10.10.50.

Oben habe ich erwaehnt das ich mit den FW-Regeln von dem Master (10.10.10.50) auf die pfSense pingen kann. Das geht. Von dem DC1GNOPS (10.10.10.10) kann ich mit der selben Regel aber nicht auf die pfSense. Beide im gleichen VLAN10, beide im gleichen Subnetz 10.10.10.0/24. Da ich die pfSense vom DC1/DNS noch nichtmal anpingen kann, hab ich auch noch keinen DNS-Forwarder gesetzt. DC1GNOPS und Master sind somit im selben (!!) Segment/Subnet. Die Clients, wie zum Beispiel der Master (10.10.10.50) benuzten als DNS alle den DC1GNOPS (10.10.10.10) oder eben DC2GNOPS (10.10.10.20).

Hier sind beide Regelwerke fuer DC1GNOPS:
gnops_fw_role_dc1 - Klicke auf das Bild, um es zu vergrößern

... und Master
gnops_fw_role_master - Klicke auf das Bild, um es zu vergrößern

Wie man sieht sind es die gleichen Roles nur der entsprechende Host ist anders.

Das GNOPS (VLAN10) Interface hab ich auch nochmal dargestellt. Wenn Ihr andere Info's braucht, einfach meckern und sagen.
gnops_interface_gnops - Klicke auf das Bild, um es zu vergrößern

VG Peter

EDIT: OK, ping geht jetzt von DC1GNOPS (10.10.10.10) und DC2 (10.10.10.20).
EDIT: Frage, dann muss ich aber den DNS-Forwarder auf beiden DC's mit DNS Role einrichten? Korrekt?
Bitte warten ..
Mitglied: aqui
24.10.2020, aktualisiert um 11:32 Uhr
sind die DCxGNOPS die Domain Controller/DNS die alle im VLAN10 haengen.
OK, dann können die ja schon mal problemlos untereinander kommunizieren, denn das geht logischerweise immer direkt ganz ohne Firewall wie oben schon gesagt.
das ich mit den FW-Regeln von dem Master (10.10.10.50) auf die pfSense pingen kann.
Das ist auch klar, denn der Maste hat ja eine Scheinentor Regel das er alles darf.
Von dem DC1GNOPS (10.10.10.10) kann ich mit der selben Regel aber nicht auf die pfSense
Was dann natürlich ganz sicher nicht am Regelwerk liegen kann wenns mit dem Master geht. Der DC1GNOPS (10.10.10.10) hat ja eine völlig identische Scheunentor Regel wie der Master.
Vermutlich ist dann hier wie üblich die lokale Winblows Firewall schuld, denn die blockt im Default das ICMP Protokoll (Ping): https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Da ich die pfSense vom DC1/DNS noch nichtmal anpingen kann, hab ich auch noch keinen DNS-Forwarder gesetzt.
Wäre soweit auch verständlich es betrifft aber vermurlich rein nur das ICMP Protokoll und nichts anderes. Das hättest du sehr leicht verifizieren können indem du vom DC1GNOPS (10.10.10.10) mal mit dem Browser auf das Web Konfig GUI der pfSense zugegriffen hättest. Durch die Scheunentor Regel muss das funktionieren und dann kann man auch davon ausgehen das TCP/UDP 53 (DNS) klappt. Warum bist du auf diesen einfachen Test nicht mal selber gekommen ??!
Fakt ist das DC1GNOPS (10.10.10.10) und auch DC2GNOPS (10.10.10.20) ein DNS Forwarding auf die pfSense IP 10.10.10.1 machen müssen.
Die pfSense selber muss den Forwarder deaktiviert haben und den Resolver aktiv und dort den Forwarding Mode aktiv, der dann final auf den DNS Server des Providers zeigt ! Siehe hier:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Hier sind beide Regelwerke fuer DC1GNOPS:
Zielführend und hilfreich wäre hier noch die Gesamtübersicht des Regelwerkes am Interface gewesen, denn du weisst ja: Es gilt hier immer "First match wins !". Nach dem ersten positiven Hit im Regelwerk wird der Rest nicht mehr abgearbeitet. Die Reihenfolge des Regelwerkes am Interface ist hier also ebenso entscheidend !!
Frage, dann muss ich aber den DNS-Forwarder auf beiden DC's mit DNS Role einrichten? Korrekt?
Das ist richtig...siehe oben !
Bitte warten ..
Heiß diskutierte Inhalte
Hardware
Schwarmwissen gefragt: Rätselstunde am Samstag Abend - LWL Verkabelung
gelöst Xaero1982FrageHardware31 Kommentare

Nabend Zusammen, heute Abend gibt es ein kleines Rätsel für euch was es zu lösen gilt. Die Lösung werde ...

Netzwerke
Aufbau Praxisnetzwerk mit Fragen (TI, Switch, Firewall, VoIP, Netzwerkdesign)
razorrFrageNetzwerke21 Kommentare

Hallo, ich bin neu hier, aber habe hier schon sehr lange im Forum mitgelesen bzw. mich schlau gemacht und ...

Vmware
ESXi für Raspberry Pi
sabinesInformationVmware17 Kommentare

VMware hat den ESXi für den Raspberry Pi (zu Testzwecken) vorgestellt, läuft 180 Tage auf dem Pi 4 mit ...

Backup
Veeam Backup-Server aus der Domäne nehmen
redhorseFrageBackup15 Kommentare

Guten Morgen, da in unserer Backupumgebung ein Hardwaretausch ansteht, konzipiere ich gerade Möglichkeiten die Sicherheit zu erhöhen. Konkret geht ...

Microsoft Office
Office 2016 auf Server 2019
gelöst EmptymanFrageMicrosoft Office11 Kommentare

Hallo zusammen, ich bin gerade dabei für mein Unternehmen eine neue Terminalserver-Umgebung auf Basis Server 2019 zu bauen. Im ...

Windows Server
Server mit AMD EPYC 7F52 (1Socket) wird als 2 Socket Server angezeigt
LordXearoFrageWindows Server11 Kommentare

Hallo Zusammen, ich komme mit meinem Problem nicht so recht weiter und hoffe aufjemanden der noch weitere Ideen hat. ...

Ähnliche Inhalte
Firewall
PFsens Open VPN Verbindung
OSelbeckFrageFirewall4 Kommentare

Ich richte gerade eine Open VPN Peer to Peer ein. Der VPN tunnel wird aufgebaut, dann kann ich pingen, ...

Firewall
Pfsense MaxMind GeoIP pfblockerng
horstvogelFrageFirewall2 Kommentare

Hallo, nach dem Update des pfblockerng ist der neue Punkt MaxMInd GeoIP Settings aufgetaucht. Nun sieht es für mich ...

Windows Server
DNS 1 und DNS 2 in einem AD
johnjonesFrageWindows Server2 Kommentare

Ich habe eine AD-Umgebung mit DC1 und DC2. Ich habe mal gelesen, es wäre besser, wenn DC1 nun DC2 ...

LAN, WAN, Wireless
IPv6 - AD - DNS - RA + DHCPv6
SebMausFrageLAN, WAN, Wireless1 Kommentar

Ich habe eine Frage zum Grundsätzlichen Umgang mit IPv6 in Umgebungen in denen nicht nur Client und der Router ...

Windows Server

WS2016 AD DNS, keine Internetverbindung mehr bzw. DNS-Problem

gelöst TheMannekenFrageWindows Server5 Kommentare

Hallo! In meiner Testumgebung habe ich derzeit ein Problem, was nach meiner Vermutung auf den DNS zurückzuführen ist, aber ...

Windows Server

Zweiten DNS Server ins AD integrieren

AkcentFrageWindows Server24 Kommentare

Hallo, ich habe hier zwei Window 2008R2 DC mit DNS. Derjenige der den 2.DC installiert hat, hat, warum auch ...

Neue Fragen
Administrator Magazin
11 | 2020 Virtualisierung ist aus der IT nicht mehr wegzudenken. In der November-Ausgabe des IT-Administrator Magazins dreht sich der Schwerpunkt um das Thema "Server- und Storage-Virtualisierung". Darin erfahren Sie, wie sich die Virtualisierungstechnologie entwickelt hat, welche Varianten es im Bereich Server und Speicher gibt und wie ...
Neue Beiträge
Neue Jobangebote
Server- und Storage-VirtualisierungServer- und Storage-VirtualisierungBerechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid Cloud