PfSense DNS Problem
Hallo zusammen,
ich habe irgendwie ein Brett vorm Kopf...
Meine Subnetze haben keinen Internet Zugang
Folgendes Szenario:
Teststellung
PfSense befindet sich WAN seitig an einer fritzBox mit der IP (statisch) 192.168.0.30 mit default Gateway und eben auch DNS: 192.168.0.1
Es befindet sich pysikalisch ein Interface
Auf diese Interface befinden sich diverse VLAN´s
VLAN10 Client
VLAN20 Server
Das ganze geht per Trunk an ein Cisco 2950 was alles soweit funktioniert.
Jedes Subnetz hat seine eigene Gateway: 192.168.20.1 255.255.255.0 für die Server und 192.168.10.1 für die Clients ebenfalls 24er
Jetzt kapiere ich nicht warum die Rechner im jeweiligen Subnetz keinen Internet Zugriff besitzen.
Kein Internet Zugriff ist nicht ganz richtig, bei der Eingabe von IP Adressen geht das Internet schon nur können die Subnetze DNS nicht.
Was muss ich einstellen unter General - Settings - DNS damit alle Subnetze auflösen können?
Aktuell steht da nur 192.168.0.1 (fritzBox) use gateway none
Ist bestimmt total simpel
(Subnetze haben die any to any Rules aktiv)
Danke!
ich habe irgendwie ein Brett vorm Kopf...
Meine Subnetze haben keinen Internet Zugang
Folgendes Szenario:
Teststellung
PfSense befindet sich WAN seitig an einer fritzBox mit der IP (statisch) 192.168.0.30 mit default Gateway und eben auch DNS: 192.168.0.1
Es befindet sich pysikalisch ein Interface
Auf diese Interface befinden sich diverse VLAN´s
VLAN10 Client
VLAN20 Server
Das ganze geht per Trunk an ein Cisco 2950 was alles soweit funktioniert.
Jedes Subnetz hat seine eigene Gateway: 192.168.20.1 255.255.255.0 für die Server und 192.168.10.1 für die Clients ebenfalls 24er
Jetzt kapiere ich nicht warum die Rechner im jeweiligen Subnetz keinen Internet Zugriff besitzen.
Kein Internet Zugriff ist nicht ganz richtig, bei der Eingabe von IP Adressen geht das Internet schon nur können die Subnetze DNS nicht.
Was muss ich einstellen unter General - Settings - DNS damit alle Subnetze auflösen können?
Aktuell steht da nur 192.168.0.1 (fritzBox) use gateway none
Ist bestimmt total simpel
(Subnetze haben die any to any Rules aktiv)
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 253951
Url: https://administrator.de/forum/pfsense-dns-problem-253951.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
7 Kommentare
Neuester Kommentar
Du hast ja rein nur ein DNS Problem, das ist klar wenn du nackte IPs im Internet pingen kannst.
Wichtig ist für die pfSense WO du den DNS Server konfigurierst !
Den DNS Server richtest du unter System --> General Setup ein ! Dort gibst du bei statischer Adressierung die IP Adresse des DNS ein 192.168.0.1 und auch das dazu korrespondierende Gateway dahinter. Bei dir dann auch die 192.168.0.1.
Das ist erstmal Grundlage und kannst du unter Diagnostic --> DNS Lookup ja auch wasserdicht testen.
Klappt das arbeitet die pfSense sauber als DNS Proxy !
Die andere Fussfalle lauert bei den Firewall regeln der Ports !
Normal haben alle Interfaces auch die Subinterfaces deines Trunks bei einer Firewall eine deny any any Regel sie verbieten also ALLES und lassen nichts durch. Logischerweise auch keine DNS Requests (UDP und TCP 53) der Clients !
Sofern du also nicht eine "Scheunentor" Firewall Regel auf diesen Interfaces eingerichtet hast die generell alles durchlassen musst du dafür sorgen das UDP und TCP dort passieren können.
Das sind die einzigen Hürden die zu nehmen sind.
An deinem WAN Port zur FB solltest du natürlich noch darauf achten das dort unter Interfaces --> WAN unten der Haken bei "Block RFC 1918 networks" entfernt ist !
Das wars...
Wichtig ist für die pfSense WO du den DNS Server konfigurierst !
Den DNS Server richtest du unter System --> General Setup ein ! Dort gibst du bei statischer Adressierung die IP Adresse des DNS ein 192.168.0.1 und auch das dazu korrespondierende Gateway dahinter. Bei dir dann auch die 192.168.0.1.
Das ist erstmal Grundlage und kannst du unter Diagnostic --> DNS Lookup ja auch wasserdicht testen.
Klappt das arbeitet die pfSense sauber als DNS Proxy !
Die andere Fussfalle lauert bei den Firewall regeln der Ports !
Normal haben alle Interfaces auch die Subinterfaces deines Trunks bei einer Firewall eine deny any any Regel sie verbieten also ALLES und lassen nichts durch. Logischerweise auch keine DNS Requests (UDP und TCP 53) der Clients !
Sofern du also nicht eine "Scheunentor" Firewall Regel auf diesen Interfaces eingerichtet hast die generell alles durchlassen musst du dafür sorgen das UDP und TCP dort passieren können.
Das sind die einzigen Hürden die zu nehmen sind.
An deinem WAN Port zur FB solltest du natürlich noch darauf achten das dort unter Interfaces --> WAN unten der Haken bei "Block RFC 1918 networks" entfernt ist !
Das wars...
Weder IP noch DNS Adressen sind aufrufbar!
Zuerst schriebst Du, via IP sind die Adressen aufrufbar...?
Und du bist sicher, dass du auf dem WAn Interface unter IPv4 Upstream Gateway die fritzbox eingetragen hast?
Das vergesse ich immer wieder gerne...
Ansonsten: Nochmal auf Grundeinstellungen resetten, die Interfaces neu zuweisen etc. Wäre nicht die erste PfSense, die sich mal verschluckt hat...
Muss nicht, wenn man den DNS Forwarder nutzt auch 127.0.0.1 als DNS Server eingetragen sein?
Was sagt denn ein tracert www.google.de auf dem Client?
Gruß
Buc
Hacken und WAN
Hacken ??http://de.wikipedia.org/wiki/Ferse
oder
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
hab ich noch gar nicht entdeckt an der pfSense ??
Der Client kann sogar nslookup machen und richtig auflösen nur kommt er nicht in das Netz.
Aha, das zeigt ja dann schonmal das die Proxy DNS Funktion der pfSense sauber rennt. Damit ist es dann definitiv KEIN DNS Problem mehr.Es kann dann also nur noch ein Firewall Problem sein.
Wenn du vom Client eine nackte IP pingst wie z.B. 8.8.8.8 kannst du irgendwas in den Firewall Logs sehen (vorher löschen) was diesbezüglich gelöscht wird ?
Ansonsten nimm die Sniffer Funktion unter Diagnostic (oder einen externen Sniffer wie den Wireshark) und checke mal wo diese Pakete hängenbleiben.
Fakt ist das es natürlich definitiv nicht an der pfSense liegt. Da ist irgendwo ein Filter der da nicht hingehört !