theonlyone
Goto Top

PfSense DNS Problem

Hallo zusammen,

ich habe irgendwie ein Brett vorm Kopf...

Meine Subnetze haben keinen Internet Zugang

Folgendes Szenario:

Teststellung

PfSense befindet sich WAN seitig an einer fritzBox mit der IP (statisch) 192.168.0.30 mit default Gateway und eben auch DNS: 192.168.0.1

Es befindet sich pysikalisch ein Interface
Auf diese Interface befinden sich diverse VLAN´s
VLAN10 Client
VLAN20 Server

Das ganze geht per Trunk an ein Cisco 2950 was alles soweit funktioniert.

Jedes Subnetz hat seine eigene Gateway: 192.168.20.1 255.255.255.0 für die Server und 192.168.10.1 für die Clients ebenfalls 24er

Jetzt kapiere ich nicht warum die Rechner im jeweiligen Subnetz keinen Internet Zugriff besitzen.
Kein Internet Zugriff ist nicht ganz richtig, bei der Eingabe von IP Adressen geht das Internet schon nur können die Subnetze DNS nicht.

Was muss ich einstellen unter General - Settings - DNS damit alle Subnetze auflösen können?

Aktuell steht da nur 192.168.0.1 (fritzBox) use gateway none

Ist bestimmt total simpel

(Subnetze haben die any to any Rules aktiv)

Danke!

Content-ID: 253951

Url: https://administrator.de/forum/pfsense-dns-problem-253951.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

the-buccaneer
the-buccaneer 06.11.2014 um 00:45:17 Uhr
Goto Top
Moin OnlyOne!

Was steht denn bei deinen nichtauflösenden Clients für ein DNS Eintrag?
Ist da die PfSense eingetragen?
Geht die Aulösung auf der PfSense selber? (Diagnostics --> DNS Lookup)

Gruß
Buc
TheOnlyOne
TheOnlyOne 06.11.2014 um 06:55:13 Uhr
Goto Top
Moin,
bei den Clients steht 192.168.20.1 als DNS Server was auch die gateway des jeweiligen Subnetzes ist.

Auflösung geht von der Pfsense aus ohne Probleme.

Ging zuerst nicht, nach abschalten der IPv6 Adresse auf der fritzBox ging es ohne Probleme....
aqui
aqui 06.11.2014 um 09:28:31 Uhr
Goto Top
Du hast ja rein nur ein DNS Problem, das ist klar wenn du nackte IPs im Internet pingen kannst.
Wichtig ist für die pfSense WO du den DNS Server konfigurierst !
Den DNS Server richtest du unter System --> General Setup ein ! Dort gibst du bei statischer Adressierung die IP Adresse des DNS ein 192.168.0.1 und auch das dazu korrespondierende Gateway dahinter. Bei dir dann auch die 192.168.0.1.
Das ist erstmal Grundlage und kannst du unter Diagnostic --> DNS Lookup ja auch wasserdicht testen.
Klappt das arbeitet die pfSense sauber als DNS Proxy !

Die andere Fussfalle lauert bei den Firewall regeln der Ports !
Normal haben alle Interfaces auch die Subinterfaces deines Trunks bei einer Firewall eine deny any any Regel sie verbieten also ALLES und lassen nichts durch. Logischerweise auch keine DNS Requests (UDP und TCP 53) der Clients !
Sofern du also nicht eine "Scheunentor" Firewall Regel auf diesen Interfaces eingerichtet hast die generell alles durchlassen musst du dafür sorgen das UDP und TCP dort passieren können.
Das sind die einzigen Hürden die zu nehmen sind.
An deinem WAN Port zur FB solltest du natürlich noch darauf achten das dort unter Interfaces --> WAN unten der Haken bei "Block RFC 1918 networks" entfernt ist !
Das wars...
TheOnlyOne
TheOnlyOne 06.11.2014 um 10:01:49 Uhr
Goto Top
hallo aqui,

danke für deine Hilfe
Was bringt mir dann unter General Setup die Funktion den DNS Server einer Gateway zuzuweisen?

Unter Diagnostic -> DNS Lookup kann ich sauber auflösen.

In den Subnetzen ist eine any to any Rule definiert, egal welches Protokoll und welcher Port alles ist auf * gesetzt.

Auf dem Rechner im Subnetz habe ich als DNS Server die Gateway des einzelnen Subnetztes eingetragen.

Hacken und WAN und allen anderen Interfaces sind deaktiviert "Block RFC 1918 networks"
TheOnlyOne
TheOnlyOne 06.11.2014 um 20:04:43 Uhr
Goto Top
Habe jetzt wirklich alles nachgeschaut was geht.

Der Client kann sogar nslookup machen und richtig auflösen nur kommt er nicht in das Netz.

Weder IP noch DNS Adressen sind aufrufbar!

Der Port 80 und 443 sind zu hundert prozent offen auf dem Interface der Clients
the-buccaneer
the-buccaneer 06.11.2014 um 23:37:27 Uhr
Goto Top
Weder IP noch DNS Adressen sind aufrufbar!

Zuerst schriebst Du, via IP sind die Adressen aufrufbar...?

Und du bist sicher, dass du auf dem WAn Interface unter IPv4 Upstream Gateway die fritzbox eingetragen hast?

Das vergesse ich immer wieder gerne...

Ansonsten: Nochmal auf Grundeinstellungen resetten, die Interfaces neu zuweisen etc. Wäre nicht die erste PfSense, die sich mal verschluckt hat...

Muss nicht, wenn man den DNS Forwarder nutzt auch 127.0.0.1 als DNS Server eingetragen sein?

Was sagt denn ein tracert www.google.de auf dem Client?

Gruß
Buc
aqui
aqui 07.11.2014 um 09:06:11 Uhr
Goto Top
Hacken und WAN
Hacken ??
http://de.wikipedia.org/wiki/Ferse
oder
http://de.wikipedia.org/wiki/Hacke_(Werkzeug)
hab ich noch gar nicht entdeckt an der pfSense ??

Der Client kann sogar nslookup machen und richtig auflösen nur kommt er nicht in das Netz.
Aha, das zeigt ja dann schonmal das die Proxy DNS Funktion der pfSense sauber rennt. Damit ist es dann definitiv KEIN DNS Problem mehr.
Es kann dann also nur noch ein Firewall Problem sein.
Wenn du vom Client eine nackte IP pingst wie z.B. 8.8.8.8 kannst du irgendwas in den Firewall Logs sehen (vorher löschen) was diesbezüglich gelöscht wird ?
Ansonsten nimm die Sniffer Funktion unter Diagnostic (oder einen externen Sniffer wie den Wireshark) und checke mal wo diese Pakete hängenbleiben.
Fakt ist das es natürlich definitiv nicht an der pfSense liegt. Da ist irgendwo ein Filter der da nicht hingehört !