DNS in AD und pfSense - pfBlockerNG Listen werden nicht beruecksichtigt

Moin,

ich bin der Peter und hab mich hier nun doch angemeldet. Ich habe mit IT ueberhaupt nix zu tun, ausser das ich zu Hause mein kleines Netwerk aufgebaut habe. Leider hab ich dazu mom kein Diagramm, versuche es aber trotzdem mal. Auch wenn hier manchmal ganz schoen ruede umgegangen wird. Aber ich habe keine Wahl, denn ich kenne mich mit DNS ueberhaupt nicht aus. So siehts bei mir zu Hause aus und das habe ich gerade noch alles so hinbekommen:

LAN - Interface (VLAN1)
Router (pfSense - IP 10.10.0.254)
Switch (Cisco SG200-24 - 10.10.0.10) - Layer 2

GNOPS - Interface (VLAN10 / Gateway 10.10.10.1)
ADDC + DNS Server1 (WS2019 - IP 10.10.10.10) - physisch
DC + DNS Server2 (WS2019 - IP 10.10.10.20) - virtuell
VM + Files Server (Proxmox + FreeNAS - IP 10.10.10.30 + 40)
Laptops + Workstations (Win10 + Linux - IP range 10.10.10.50-10.10.10.99)

INT - Interface (VLAN20 / Gateway 10.10.20.1)
Handys + iPad (IP - Range 10.10.20.50-99)

EXT - Interface (VLAN40 / Gateway 10.10.40.1)
Handys von Gaesten (IP - Range 10.10.40.50-99)

CAM - Interface (VLAN60 / Gateway 10.10.60.1)
Ueberwachungskameras (IP - Range 10.10.60.50-59)

VIP - Interface (VLAN80 / Gateway 10.10.80.1)
3CX (IP - Range 10.10.80.50)

MGMT - Interface (VLAN100 / Gateway 10.10.100.1)
IPMI der Server (IP Range - 10.10.100.50-60)

Jetzt habe ich aber das Problem das ich mir auf der pfSense den pfBlockerNG eingerichtet habe und dazu Block-Listen pflegen wollte. Die Einrichtung hat auch wunderbar geklappt. Allerdings werden die Block-Listen nicht beruecksichtigt. Der DC1 IP 10.10.10.10 ist ja auch DNS Server und so ist es auch hinterlegt > 10.10.10.10 und 10.10.10.20 (DC2). Guckt also auf sich selbst und auf 10.10.10.20. Die W10 und Linux Clients gehen ueber beide IP's als DNS. In der pfSense ist DNS angegeben aus 127.0.0.1, 9.9.9.9 und 1.1.1.3.

Wie kann ich DC1 und DC2 dazu bringen die hinterlegten Block-Listen in der pfSense (10.10.0.254) zu beruecksichtigen? Muesste ich dann einen DNS-Forwarder mit Domain Override unter pfSense einrichten?

Ich lann leider momentan nicht grossartig testen, da meine Frau quasi 24/7 auf dem 3CX erreichbar sein muss und meine Kinder Ihre Seminare teilweise online absolvieren muessen. Kann mir da jemand helfen? Was fuer Info's braucht Ihr sonst noch so? Jeder 'ordentliche' Kommentar ist hilfreich.

Vielen Dank im Voraus.

Peter

Content-Key: 615631

Url: https://administrator.de/contentid/615631

Ausgedruckt am: 21.06.2021 um 05:06 Uhr

7 Kommentare
Mitglied: SlainteMhath
Moin,

du auf den DNS Server am DC eine Forwarder einrichten, der auf dei pfSense zeigt und das wars.

Clients fragen AD-DNS, der frägt pfSense, die block oder frägt "draußen"

lg,
Slainte
Mitglied: aqui
Dieser Anleitung:
https://www.computing-competence.de/2018/06/11/mit-pfsense-werbung-und-p ...
Bist du genau gefolgt ??
Die ist eigentlich wasserdicht und führt immer zum Erfolg !
Mit an Sicherheit grenzender Wahrscheinlichkeit hast du einen falschen oder fehlerhaften oder gar keinen DNS Forwarder (DNS Weiterleitung) und den Winblows DNS eingerichtet ?!
Dieser muss natürlich zwingend bei beiden auf die lokale IP der pfSense zeigen wie Kollege @SlainteMhath oben schon richtig sagt. Sollte sie auf eine andere Forwarder IP zeigen umgehst du ja logischerweise dann quasi total die Filterliste im pgBlockerNG und hebelst diese dann aus.
Auch solltest du darauf achten den DNS Resolver in der pfSense richtig einzustellen:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Mitglied: DerDummePeter
Oh, das ging aber schnell. Vielen Dank Euch beiden. Nein ich habe gar keinen Forwarder eingerichtet. Muss ich mir mal anschauen. Dann muesste ich ja auch von der 10.10.10.10 und 10.10.10.20 auf die 10.10.0.254 kommen. Kann die aber nicht pingen. Also auch da noch verbinden.

Vielen Dank erstmal. Wenn ich das loesen konnte, markiere ich Euch zwei als Loesungsgeber.

Ansonsten muss ich nochmal zurueckkommen und fragen.

Danke Super.

Peter
Mitglied: DerDummePeter
Ich schaetze mal irgendetwas muss bei mir falsch sein ...

Ich habe folgende FW-Regeln. Der Master (10.10.10.50) ist mein PC von dem aus ich auf alles und jeden zugreifen kann. Damit der DC1 (10.10.10.10) die pfSense (10.10.0.254) ueberhaupt sieht, wollte ich nun die gleiche FW-Regel fuer den DC1 anwenden wie fuer den Master. Vom Master aus kann ich die pfSense anpingen und die auch aus dem Browser administrieren. Mit der gleichen Regel geht das aber mit dem DC1 nicht. Da fehlt mir jetzt der Lichtblick.

psfense_fw_regeln1 - Klicke auf das Bild, um es zu vergrößern

Warum sieht der DC1 (10.10.10.10) die 10.10.0.254 nicht, wenn der Master (10.10.10.50) mit der gleichen Regel es kann? FW im DC1 abgeschaltet, gleiches Ergebnis.

Gibt viel zu Lernen.
Mitglied: aqui
Ich habe folgende FW-Regeln.
Die letzte Regel ist Blödsinn und kannst du löschen. Lokaler Traffic läuft logischerweise niemals über die Firewall weil der ja nicht über sie geroutet wird. Den "sieht" die FW gar nicht, folglich ist die Regel auch unsinnig. Der lokale Traffic geht von Host zu Host direkt.
Die ersten 3 sind soweit korrekt
  • 1.) Der Host DC1GNOPS darf alles und überall hin
  • 2.) Der Host Master darf alles und überall hin
  • 3.) Niemand das aus dem GNOPS Netzwerk Segment auf irgendwelche privaten RFC1918 IPs aber sonst überallhin.
Dann muesste ich ja auch von der 10.10.10.10 und 10.10.10.20 auf die 10.10.0.254 kommen.
Nein !
Jedenfalls nicht wenn du 24 Bit Prefixe benutzt im Subnetting und die .10 und .20 nicht die Hosts DC1GNOPS oder Master sind. Nur diese dürfen ja laut Regelwerk überall hin. Die restlichen Hosts im 10.10.10er Netz nicht. 24 Bit Prefix vorausgesetzt ?!)
Leider machst du keinerlei Angaben über deine verwendeten Masken und zwingst uns so zum raten. :-( face-sad
Mit der gleichen Regel geht das aber mit dem DC1 nicht.
Leider hast du das Regelwerk nicht gepostet sondern nur das eines Interfaces. DC1 und Master stehen ja dann in verschiedenen IP Netzwerksegmenten an der Firewall, oder ?
Da man deine Netz Segmentierung nicht kennt muss man wild raten und kann die Frage nicht zielführend beantworten. Wir drehen uns also sinnfrei im Kreis.
Ggf. checkst du das erstmal mit einer "Scheunentor" Regel (alles erlauben) das die Host Connectivity sauber klappt und machst danach dann die Schotten dicht. Klappt was nicht weisst du dann immer sicher das es an deinen Firewall regeln liegt. ;-) face-wink Strategisch vorgehen...!
Nein ich habe gar keinen Forwarder eingerichtet.
Wie oben schon mehrfach gesagt. Dann kann das niemals funktionieren. Deine internen Clients werden ja vermutlich ALLE den lokalen DNS verwenden. Wenn diese keinen DNS Forwarder auf die lokale pfSense IP wird das logischerweise scheitern. Das ist dir ja oben schon mehrfach gesagt worden.
https://www.edvler-blog.de/windows-server-2012-dns-weiterleitung-forward ...
Dann muesste ich ja auch von der 10.10.10.10 und 10.10.10.20 auf die 10.10.0.254 kommen.

Mitglied: DerDummePeter
Ok, ich sehe Du hast da was verwechselt.

Also alle VLANSxx haben entsprechende Subnets:

VLAN10 >> 10.10.10.0/24 >> Gateway ist immer die jeweilige x.x.x.1
VLAN20 >> 10.10.20.0/24
:
VLAN100 > 10.10.100.0/24

Wie ich oben geschieben habe, sind die DCxGNOPS die Domain Controller/DNS die alle im VLAN10 haengen. Der DC1GNOPS ist der physische DC/DNS mit der 10.10.10.10. Der DC2GNOPS ist der virtuelle DC/DNS mit der 10.10.10.20. Der von mir oben schon angesprochene Master-PC ist die 10.10.10.50.

Oben habe ich erwaehnt das ich mit den FW-Regeln von dem Master (10.10.10.50) auf die pfSense pingen kann. Das geht. Von dem DC1GNOPS (10.10.10.10) kann ich mit der selben Regel aber nicht auf die pfSense. Beide im gleichen VLAN10, beide im gleichen Subnetz 10.10.10.0/24. Da ich die pfSense vom DC1/DNS noch nichtmal anpingen kann, hab ich auch noch keinen DNS-Forwarder gesetzt. DC1GNOPS und Master sind somit im selben (!!) Segment/Subnet. Die Clients, wie zum Beispiel der Master (10.10.10.50) benuzten als DNS alle den DC1GNOPS (10.10.10.10) oder eben DC2GNOPS (10.10.10.20).

Hier sind beide Regelwerke fuer DC1GNOPS:
gnops_fw_role_dc1 - Klicke auf das Bild, um es zu vergrößern

... und Master
gnops_fw_role_master - Klicke auf das Bild, um es zu vergrößern

Wie man sieht sind es die gleichen Roles nur der entsprechende Host ist anders.

Das GNOPS (VLAN10) Interface hab ich auch nochmal dargestellt. Wenn Ihr andere Info's braucht, einfach meckern und sagen.
gnops_interface_gnops - Klicke auf das Bild, um es zu vergrößern

VG Peter

EDIT: OK, ping geht jetzt von DC1GNOPS (10.10.10.10) und DC2 (10.10.10.20).
EDIT: Frage, dann muss ich aber den DNS-Forwarder auf beiden DC's mit DNS Role einrichten? Korrekt?
Mitglied: aqui
sind die DCxGNOPS die Domain Controller/DNS die alle im VLAN10 haengen.
OK, dann können die ja schon mal problemlos untereinander kommunizieren, denn das geht logischerweise immer direkt ganz ohne Firewall wie oben schon gesagt.
das ich mit den FW-Regeln von dem Master (10.10.10.50) auf die pfSense pingen kann.
Das ist auch klar, denn der Maste hat ja eine Scheinentor Regel das er alles darf.
Von dem DC1GNOPS (10.10.10.10) kann ich mit der selben Regel aber nicht auf die pfSense
Was dann natürlich ganz sicher nicht am Regelwerk liegen kann wenns mit dem Master geht. Der DC1GNOPS (10.10.10.10) hat ja eine völlig identische Scheunentor Regel wie der Master.
Vermutlich ist dann hier wie üblich die lokale Winblows Firewall schuld, denn die blockt im Default das ICMP Protokoll (Ping): https://www.windowspro.de/wolfgang-sommergut/ping-windows-10-erlauben-gu ...
Da ich die pfSense vom DC1/DNS noch nichtmal anpingen kann, hab ich auch noch keinen DNS-Forwarder gesetzt.
Wäre soweit auch verständlich es betrifft aber vermurlich rein nur das ICMP Protokoll und nichts anderes. Das hättest du sehr leicht verifizieren können indem du vom DC1GNOPS (10.10.10.10) mal mit dem Browser auf das Web Konfig GUI der pfSense zugegriffen hättest. Durch die Scheunentor Regel muss das funktionieren und dann kann man auch davon ausgehen das TCP/UDP 53 (DNS) klappt. Warum bist du auf diesen einfachen Test nicht mal selber gekommen ??!
Fakt ist das DC1GNOPS (10.10.10.10) und auch DC2GNOPS (10.10.10.20) ein DNS Forwarding auf die pfSense IP 10.10.10.1 machen müssen.
Die pfSense selber muss den Forwarder deaktiviert haben und den Resolver aktiv und dort den Forwarding Mode aktiv, der dann final auf den DNS Server des Providers zeigt ! Siehe hier:
https://administrator.de/tutorial/ipsec-vpn-mobile-benutzer-pfsense-opns ...
Hier sind beide Regelwerke fuer DC1GNOPS:
Zielführend und hilfreich wäre hier noch die Gesamtübersicht des Regelwerkes am Interface gewesen, denn du weisst ja: Es gilt hier immer "First match wins !". Nach dem ersten positiven Hit im Regelwerk wird der Rest nicht mehr abgearbeitet. Die Reihenfolge des Regelwerkes am Interface ist hier also ebenso entscheidend !!
Frage, dann muss ich aber den DNS-Forwarder auf beiden DC's mit DNS Role einrichten? Korrekt?
Das ist richtig...siehe oben !
Heiß diskutierte Beiträge
Netzwerke
Kassen freezen ohne ersichtlichen Grund
Ronic1Vor 1 TagFrageNetzwerke13 Kommentare

Hallo Zusammen, ich schreibe heute zum ersten Mal in diesem Forum. Also weißt mich bitte auf etwaige Fehler meinerseits hin. Wie ich in anderen Beiträgen ...

Router & Routing
Deutsche Glasfaser. NT direkt an pfSense möglich oder besser Kaskade?
fnbaluVor 1 TagFrageRouter & Routing23 Kommentare

Hallo zusammen, am kommenden Mittwoch wird bei mir der Deutsche Glasfaser Anschluss aktiviert. Anfangs wird darüber kein Telefon laufen, aber vielleicht später. Mir stellt sich ...

Notebook & Zubehör
Alt-Laptop Vergleichsmeinungen
winlinVor 21 StundenFrageNotebook & Zubehör14 Kommentare

Hallo zusammen Habe zwei Laptops und einen mini pc und würde gerne wissen was ihr zu den beiden Laptops sagt??? Was dürfte ich Max an ...

Batch & Shell
Problem mit einer Batchdatei
stevie72Vor 1 TagFrageBatch & Shell11 Kommentare

Guten Abend zusammen! Ich habe ein problem eine Batch ans laufen zu bekommen. Folgende Problem Stellung: Wir haben etwa 20 Rechner in der Bibliothek. Darauf ...

TK-Netze & Geräte
Starface mit NGN verliert Gateway
FabezzVor 1 TagFrageTK-Netze & Geräte9 Kommentare

Guten Morgen zusammen, ich hoffe dass ich das richtige Thema getroffen habe. In unserer Firma wurde beschlossen dass die in die Tage gekommene Openscape ausgetauscht ...

Firewall
OpenVPN-Problem
gelöst ingorosVor 15 StundenFrageFirewall19 Kommentare

Hallo, habe gestern mit ipfire einen OpenVPN-Server aufgesetzt. Der läuft auch wunderbar. Sowohl Win7, wie auch Win10pro können sich problemlos anmelden. Ein Laptop mit Win10 ...

Windows 10
Remotedesktopzugang mit Openvpn sicher?
LegofrauVor 1 TagFrageWindows 106 Kommentare

Guten Morgen, wie sicher ist es wenn man Remotedesktopzugang durch einen Openvpn Tunnel betreibt? Der Openvpn Tunnel ist mit aktuellen Zertifikaten abgesichert. Der Pc hat ...

Virtualisierung
Adobe Flash Player für Zugriff auf VMWare Horizon
Moenchengladbacher-ITVor 1 TagFrageVirtualisierung5 Kommentare

Liebes Support Team, unser Kunde verwendet eine "VMWare Horizon" Applikation, von dem aus Anwendungen/Browser/etc in einer virtuellen Sandbox gestartet werden. Alle Clients haben kein Zugriff ...