20.04.2020

9094

Pfsense als DNS Server aber keine Auflösung im Netzwerk

Hallo Leute,

Ich hab bei mir zuhause mal mein Netzwerk umgebaut. Und Aktuell habe ich es so gestrickt.

Kabel Fritzbox 192.168.178.1/24 --->Pfsene WAN 192.168.178.2/24 ----> Pfsene LAN 192.168.110.1/24.
Die Pfsene Vergibt per DHCP die IP an die Clients : z.b. IP 192.168.110.20 SM: 255.255.255.0 GW: 192.168.110.1 DNS: 192.168.110.1

Aber ich kein gerät per Namen ansprechen . Wo liegt hier das Problem?
DNS Resolver ist aktiv

In der Pfsense habe ich unter Allgemein als DNS Server 1.1.1.1 gesetzt

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 566189

Url: https://administrator.de/contentid/566189

Ausgedruckt am: 22.11.2024 um 06:11 Uhr

27 Kommentare

Neuester Kommentar

Servus. Woher soll der 1.1.1.1 wissen, was Du zu Hause treibst ? Du muss schon einen lokalen DNS für sowas haben.

Henere

Ich habe unter Allgemein jetzt nur noch die ip der Pfsens drin aber keine Veränderung.

C:\Users\Motte>nslookup sdhserv
Server:  pfSense.heimnetz.werk
Address:  192.168.110.1

DNS request timed out.
    timeout was 2 seconds.
DNS request timed out.
    timeout was 2 seconds.
*** Zeitüberschreitung bei Anforderung an pfSense.heimnetz.werk.

Leider teilst du uns nicht mit WIE die FW zu ihrer DNS IP kommt. Statisch oder nutzt du DHCP von der FB ? So sollte das aussehen:

Wenn du ihn statisch definiert hast solltest du den Override Haken entfernen !
Wie sieht dein lokaler DHCP Server auf der FW aus ??
Dort darf KEIN DHCP Server eingetragen sein !!

Nur dann übergibt der FW DHCP Server die global konfigurierte DNS IP auch an die DHCP Clients im lokalen LAN.
Hast du hier den Fehler gemacht und dort einen Eintrag hinterlegt, sprich die LAN IP, dann kann das nicht klappen weil die DNS Forwarder Funktion im Default deaktiviert ist.
https://docs.netgate.com/pfsense/en/latest/dns/dns-forwarder.html

Zitat von @Henere:

Servus. Woher soll der 1.1.1.1 wissen, was Du zu Hause treibst ? Du muss schon einen lokalen DNS für sowas haben.

Henere

Moin,

seine Konfig ist ja erstmal soweit okay. Die local Clients sollten ja auch von der Sense aufgelöst werden.
Erstmal ist interessant ob die Clients auch mit Hostname im ARP-table stehen. Ist dies nicht der Fall, so sollte im Resolver "DHCP Registration" aktiviert werden. Alle Clients die dann dort eine Adresse per DHCP erhalten, sind dann per Hostname + ggf. Domain name der Sense erreichbar.
Beispiel: "hostname.local".

Für die Auflösung von Statischen Clients muss tatsächlich eine manueller Eintrag im Resolver angelegt werden.

Gruß
Spirit

Zitat von @Henere:

Servus. Woher soll der 1.1.1.1 wissen, was Du zu Hause treibst ? Du muss schon einen lokalen DNS für sowas haben.

Ooch. Cloudflare weiß schon einiges, seitdem Browser direkt mit denen reden statt mit dem lokalen DNS.

.

@Motte990: melden sich denn Deine lokalen Geräte bei Deiner pfsense oder hast Du diese da manuell eingetragen oder läuft uberhaupt ein lokale DNS.Server auf der pfsense?

Anonsten wird nämlich alles bei cloudflare nachgefragt und die werden nciht zugeben, was sie über Deine Geräte wissen.

lks

PS: Ich (und viele andere) raten davon ab, solche Datensammler wie z.B. cloudflare (1.1.1.1), google (8.8.8.8) oder andere aus anderen Gründen als zum Testen zu nutzen. Dann doch lieber den DNS des Providers, wenn man nicht selbst einen aufsetzen will.

Beispiel: "hostname.local".

Besser nicht wegen fester mDNS Reservierung !

https://de.wikipedia.org/wiki/Zeroconf#Multicast_DNS
siehe auch:
https://tools.ietf.org/html/rfc2606

Also 1.

In der Fritzbox ist DHCP komplett aus somit hat die FW eine feste IP . In der Sense ist DHCP an Siehe Bilder.

Meine Clients habe ich in die Tabell eingetragen ( DHCP Static Mappings for this Interface)

2.So sehen die DNS Einstellungen aus.
Bild

Also wenn ich unter generell die ip der FB ein trage kann ich keine seiten mehr aufrufen.... Habe jetzt die beiden dns server von KabelDE eingetragen.

Jetzt scheint es auch mit der auflösung intern zu klappen

C:\Users\Motte>nslookup sdhserv
Server:  pfSense.heimnetz.werk
Address:  192.168.110.1

Name:    sdhserv.heimnetz.werk
Address:  192.168.110.2

C:\Users\Motte>nslookup 192.168.110.2
Server:  pfSense.heimnetz.werk
Address:  192.168.110.1

Name:    SDHSERV.heimnetz.werk
Address:  192.168.110.2

Also wenn ich unter generell die ip der FB ein trage kann ich keine seiten mehr aufrufen...

Das würde im Umkehrschluss dann bedeuten das die FB dann kein Proxy DNS ist. Sehr ungewöhnlich aber kann natürlich sein.
Wenn die FB kein Proxy DNS zum Provider ist, dann scheitert natürlich unweigerlich auch die pfSense wenn sie die FB dann als DNS eingetragen hat, das ist klar.
Möglich aber auch das die mit dem DNSSEC nicht klarkommt, was wohl eher wahrscheinlicher ist.

Und was Schlägst du mir vor was ich machen kann bzw was die beste Möglichkeit ist?

Hallo.

Bei der Firtzbox stehen die DNS Einstellungen wahrscheinlich auf Standard, korrekt?

Gibt es noch eine weitere Box vor der Fritzbox oder ist diese direkt mit der Internetleitung verbunden und kümmert sich um die Einwahl?

Am Interface WAN (Static IPv4) in der PFSense ist die Fritzbox als Gateway konfiguriert?

Was ist denn das für eine "Box" für die PFSense und welche Anzahl an NICs sind verbaut (z.B. Apu Board, ProtectLi, etc.)?

Gruß
Radiogugu

Bei der Firtzbox stehen die DNS Einstellungen wahrscheinlich auf Standard, korrekt?

Kann ja nicht der Fall sein wenn sie keine DNS Auflösung macht wie der TO es beschreibt. Im Default ist die FB ja immer DNS Proxy. Bei ihm aber wohl scheinbar nicht, denn sonst könnte die pfSense ja auch auflösen.
Das die pfSense in einer Kaskade so mit einer FritzBox betrieben wird ist ja tausendfacher Standard und funktioniert im Gegensatz zum TO immer wasserdicht.
Legt man das zugrunde hat er irgendwo einen gravierenden Konfig Fehler begangen...
Ein Wireshark Trace zwischen pfSense und FB würde das sofort in 5 Minuten zeigen aber dazu hat es ja bis jetzt noch nicht gereicht...

Hallo,

Auf Deinen Screenshots ist nicht zu sehen, welchen DNS-Server die pfsense nutzt. Welche DNS Server unter General Setup eingestellt?

Grüße

lcer

Zitat des TO oben:
"In der Pfsense habe ich unter Allgemein als DNS Server 1.1.1.1 gesetzt"
Er hat ihn also statisch in den General Settings auf den Cloudflare DNS gesetzt. Mit dem klappt natürlich auch DNSSEC.

Kenne mich mit WS nicht so aus was muss da gestellt werden das du siehst was zwischen der PF und FB läuft?

Installiere Dir Wireshark und starte mal eine Aufzeichnung. Im Anschluss versuche im Windows Explorer per DNS Name auf eine Ressource im Netzwerk zuzugreifen.

Anschließend kannst Du die Aufzeichnung stoppen und gibst in die Suchleiste DNS ein. Dann werden alle DNS Einträge gefiltert angezeigt.

Eventuell kommst Du so auf den Trichter.

Gibt es denn nun noch eine weitere "Box" vor der Fritzbox, welche als Modem oder gar Router agiert?

Gruß
Radiogugu

Hausanschluss im Keller dann Kabel zur Fritzbox 6490 und von da in die Pfsense. In der FB läuft nur noch das WLAN rest macht alles die PFsens.

Die FB läuft zwar als Router da es eine Mietbox ist kann ich dort nix weiter abschalten wie bei der Freien Firmware .Dort kann man ja wählen box sei jetzt nur noch ein modem....Geht aber bei KDG nicht.

Ich habe auch alle Clients in die DHCP Static Mappings for this Interface LAN eingetragen das jedes gerät seine gleiche ip hat aber automatisch bekommt.

Aktuell klappt auch die Auflösung ....

ist es normal das unter service---- DNS Resolver----- DNS Resolver Infrastructure Cache Speed so viele server drin stehen?

Unter allgemein stehen jetzt die DNS Server von KDG drin also diese die die FB bekommt.

Hallo,

Deine Fritzbox liegt laut wireshark in einem anderen Subnetz. Da dürfte auf der Fritzbox eine Route fehlen.

Grüße

lcer

Richtig

FB 192.168.178.1/24
WAN Pfsense 192.168.178.2/24
LAN Netz der Pfsense 192.168.110.0/24

und welche?

Zitat von @Motte990:

Richtig

FB 192.168.178.1/24
WAN Pfsense 192.168.178.2/24
LAN Netz der Pfsense 192.168.110.0/24

und welche?

Na die nach 192.168.110.0/24

Ich weiß aber nicht, ob Du das auf der Fritzbox einstellen kannst.

Grüße

lcer

Zitat von @lcer00:

Zitat von @Motte990:

Richtig

FB 192.168.178.1/24
WAN Pfsense 192.168.178.2/24
LAN Netz der Pfsense 192.168.110.0/24

und welche?

Na die nach 192.168.110.0/24

Ich weiß aber nicht, ob Du das auf der Fritzbox einstellen kannst.

Grüße

lcer

Oder ist auf dem WAN Interface der pfsense NAT aktiviert?

Grüße

lcer

Da dürfte auf der Fritzbox eine Route fehlen.

Nein, das ist falsch wenn die pfSense im Standard NAT (IP Adress Translation) auf dem WAN Port macht.
Dann setzt sie ja sämtlichen Traffic aller ihrer lokalen LAN IP Netze um auf ihre WAN Port IP Adresse 192.168.178.2 !
Die FritzBox kann so niemals IP Adressen der lokalen pfSense IP Netze "sehen", denn alles kommt ja von der pfSense "übersetzt" (NAT) mit der 192.168.178.2 als Absender IP bei ihr an. Sie "denkt" somit das die 192.168.178.2 eine lokale Endgeräte IP Adresse bei ihr ist und benötigt so logischerweise dann keinerlei statische Routen.
Vergiss das also wenn die pfSense NAT am WAN Port macht.

Gut wenn nun alles DNS seitig geht ist der Fall ja auch gelöst.
Man fragt sich nur was du da an der Default Konfig verschlimmbessert oder verfummelt hast ? Normal funktioniert das DNS auf der pfSense so "out of the box" in der Default Konfig ohne das man dort irgendwelche speziellen Settings machen muss fehlerlos.
Irgendwo hast du da also irgendwas "verkonfiguriert". Aber nundenn, wenn's nun geht ist der Case ja geschlossen jetzt.

Eigentlich habe ich nix geändert^^

Hier mal meine einstellungen:

Kannst Du zur Vollständigkeit halber noch einen Screenshot des WAN Interface nachschieben?

Habe bei meinem Konstrukt (PFSense mit DNS Resolver) keinerlei Probleme diesbezüglich. Ich habe aber auch keine Fritzbox oder einen anderen Router mehr vor meinem Glasfaser ONT, welche da durch doppeltes NAT irgendetwas verhageln könnte.

Gruß
Radiogugu

Hier bitte.

Vllt noch zu erwähnen Pfsense läuft als VM auf Proxmox auf einem Lenovo M93p

Hab extra mal eine andere VM aufgesetzt mit pfsense und die einstellungen sind genau gleich

Zitat von @Motte990:

Vllt noch zu erwähnen Pfsense läuft als VM auf Proxmox auf einem Lenovo M93p

Nicht unwichtig die Info.

Wie sieht denn die Konfig des VSwitch des Proxmox und der VM aus?

Eventuell liegt in der Virtualisierung der Hase im Pfeffer.

Gruß
Radiogugu

Interface:

auto lo
iface lo inet loopback

iface eno1 inet manual

auto vmbr0
iface vmbr0 inet static
	address 192.168.110.200
	netmask 255.255.255.0
	gateway 192.168.110.1
	bridge_ports eno1
	bridge_stp off
	bridge_fd 0

Hosts

127.0.0.1 localhost.localdomain localhost
192.168.110.200 vhost.SDHSERV1 vhost

# The following lines are desirable for IPv6 capable hosts

::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

resolv.conf

search SDHSERV1
nameserver 192.168.110.1

ifconfig

root@vhost:~# ifconfig
eno1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 00:23:24:61:f2:c1  txqueuelen 1000  (Ethernet)
        RX packets 5874744  bytes 5394227508 (5.0 GiB)
        RX errors 0  dropped 93  overruns 0  frame 0
        TX packets 5793383  bytes 5379516006 (5.0 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
        device interrupt 20  memory 0xf7c00000-f7c20000

fwbr100i0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether aa:5b:02:0c:e4:fd  txqueuelen 1000  (Ethernet)
        RX packets 96364  bytes 6668323 (6.3 MiB)
        RX errors 0  dropped 69186  overruns 0  frame 0
        TX packets 2  bytes 108 (108.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

fwbr100i1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 22:62:63:77:91:52  txqueuelen 1000  (Ethernet)
        RX packets 96361  bytes 6668191 (6.3 MiB)
        RX errors 0  dropped 69186  overruns 0  frame 0
        TX packets 2  bytes 108 (108.0 B)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

fwln100i0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether aa:5b:02:0c:e4:fd  txqueuelen 1000  (Ethernet)
        RX packets 2039999  bytes 4849830109 (4.5 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1763896  bytes 362259339 (345.4 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

fwln100i1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 22:62:63:77:91:52  txqueuelen 1000  (Ethernet)
        RX packets 1676137  bytes 365395651 (348.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 3907715  bytes 4888018801 (4.5 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

fwpr100p0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether ee:36:b5:e5:47:0e  txqueuelen 1000  (Ethernet)
        RX packets 1763896  bytes 362259339 (345.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 2039999  bytes 4849830109 (4.5 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

fwpr100p1: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        ether 42:45:90:3b:46:69  txqueuelen 1000  (Ethernet)
        RX packets 3907715  bytes 4888018801 (4.5 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1676137  bytes 365395651 (348.4 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
        inet 127.0.0.1  netmask 255.0.0.0
        inet6 ::1  prefixlen 128  scopeid 0x10<host>
        loop  txqueuelen 1000  (Local Loopback)
        RX packets 105789  bytes 90510315 (86.3 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 105789  bytes 90510315 (86.3 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tap100i0: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        ether 22:38:13:a2:13:22  txqueuelen 1000  (Ethernet)
        RX packets 1763895  bytes 362259285 (345.4 MiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 4156203  bytes 4986599113 (4.6 GiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tap100i1: flags=4419<UP,BROADCAST,RUNNING,PROMISC,MULTICAST>  mtu 1500
        ether aa:02:8a:12:b0:ae  txqueuelen 1000  (Ethernet)
        RX packets 3907714  bytes 4888018747 (4.5 GiB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 1737135  bytes 368724207 (351.6 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

vmbr0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 192.168.110.200  netmask 255.255.255.0  broadcast 192.168.110.255
        inet6 2a02:810a:1240:d9c:223:24ff:fe61:f2c1  prefixlen 64  scopeid 0x0<global>
        inet6 fe80::223:24ff:fe61:f2c1  prefixlen 64  scopeid 0x20<link>
        ether 00:23:24:61:f2:c1  txqueuelen 1000  (Ethernet)
        RX packets 175931  bytes 20022339 (19.0 MiB)
        RX errors 0  dropped 69198  overruns 0  frame 0
        TX packets 70583  bytes 97277666 (92.7 MiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

root@vhost:~#

Frage Netzwerke DNS

Mehr von Motte990

Sporadische Timeouts im HTTP-SMotte990 - 12 Kommentare

Passende Energie Sparende CPU und Board für kurzes 19zoll GehäuseMotte990 - 1 Kommentar

Planung: Komplette Wlan Lösung für Eigenheim gesuchtMotte990 - 17 Kommentare

Mit neruer IP 172. läuft nix mehr richtig?Motte990 - 32 Kommentare

Heiß diskutiert