christian.k
Goto Top

PfSense, intern (Switch usw.) und extern (OpenVPN) genutzte .net Domain und DNS über Pi-hole gewährleisten

Hallo zusammen,

ich habe aktuell den Pi-hole im DHCP Server der pfSense eingetragen. Es ist auch zu sehen, dass Anfragen über den Pi-hole laufen.

Lässt sich ohne Einschränkungen sicherstellen, dass alle DNS Anfragen über den Pi-hole laufen?

Ich könnte natürlich mit Firewallregeln arbeiten aber was passiert mit den blockierten Anfragen?

Einfach alle Port 53 und 853 an den Pi-hole umleiten?

Amazon Echo haben z.B. irgendwie die 8.8.8.8 vorgebeben und ignorieren DNS Server über DHCP.

Wie sieht es mit DNS intern aus? Ich habe z.B. eine .net Domain und die pfSense mit "Let’s Encrypt Free SSL Wildcard Certificate" ausgestattet und nutze intern .net Subdomain's, die von außen nicht alle erreichbar sind.

Fragen über Fragen face-smile

LG Christian

Content-ID: 569490

Url: https://administrator.de/forum/pfsense-intern-switch-usw-und-extern-openvpn-genutzte-net-domain-und-dns-ueber-pi-hole-gewaehrleisten-569490.html

Ausgedruckt am: 24.12.2024 um 17:12 Uhr

SlainteMhath
SlainteMhath 05.05.2020 um 09:08:40 Uhr
Goto Top
Moin,

Lässt sich ohne Einschränkungen sicherstellen, dass alle DNS Anfragen über den Pi-hole laufen?
der Standardweg ist Ports 53/853 ausgehend für alle Geräte ausser dem Pihole zu sperren.

was passiert mit den blockierten Anfragen?
Die bekommen dann ein Timeout

Amazon Echo haben z.B. irgendwie die 8.8.8.8 vorgebeben und ignorieren DNS Server über DHCP.
Sicher? Dann schmeis die Wanze raus .)

Ich habe z.B. eine .net Domain und die pfSense mit "Let’s Encrypt Free SSL Wildcard Certificate" ausgestattet und nutze intern .net Subdomain's, die von außen nicht alle erreichbar sind.
Solange die Domain per DNS auflösbar ist, läuft alles wie bisher.

lg,
Slainte
the.other
the.other 05.05.2020 um 10:43:12 Uhr
Goto Top
Moinsen,
kurz nachgefragt: könnte nicht einfach in der pfsense unter System > General Setup unter DNS-Server Settings die IP des PiHole eingetragen werden? Dann sollten doch auch alle darüber gehen für DNS...oder hab ich hier mal wieder nen kapitalen Denkfehler? Zusätzlich dann ggf den Block, dann fummelt keiner im Client eine eigene DNS-Angabe rein...

Grüßle
th30ther
aqui
aqui 05.05.2020 aktualisiert um 11:43:19 Uhr
Goto Top
Lässt sich ohne Einschränkungen sicherstellen, dass alle DNS Anfragen über den Pi-hole laufen?
Ja, aber nur wenn du zentral für alle lokalen LANs immer nur den PiHole als DNS Server an die Clients gibst.
Alternativ kannst du die Firewall immer als Proxy DNS laufen lassen und gibst ihr dann zentral den PiHole als Uplink DNS Server. Das geht auch
Ich könnte natürlich mit Firewallregeln arbeiten aber was passiert mit den blockierten Anfragen?
Die blockt ja der PiHole zentral. Mit den obigen beiden Optionen gehen ja so ALLE DNS Anfragen immer zentral auf den PiHole. In der den Endgeräten oder der Firewall warf KEIN anderer DNS Server definiert sein !!
Amazon Echo haben z.B. irgendwie die 8.8.8.8 vorgebeben und ignorieren DNS Server über DHCP.
Wie gruselig wenn das wirklich stimmen sollte !!!
8.8.8.8 ist natürlich ein absolutes NoGo, der Grund ist klar.
Um das zu unterbinden solltest du in den Firewall Regeln UDP/TCP 53 rein nur auf die IP Adresse des PiHole erlauben. Damit unterbindest du dann strikt alle Fremd DNS Anfragen.

Das die 8.8.8.8 hart gecodet ist in den Endgeräten ist sicher falsch (hoffentlich ?!). Stell dir mal vor Google würde diese IP ändern oder sie wäre lokal irgendwo geblockt, dann müsste man Millionen dieser Echo Schnüffelwanzen entsorgen. Das wäre Blödsinn und ein massives Risiko für Amazon. Die wollen ja nur deine Sprachdaten und darüber dein Verhalten und Konsumverhalten ausschnüffeln und verwerten. Alles andere ist für sie uninteressant. Deshalb werden sie ganz sicher immer den vom DHCP Server vorgegebene DNS IP Adresse verwenden. Alles andere wäre Unsinn.
Um da sicher zu gehen solltest du immer einen Wireshark zur Hand nehmen und dir den DNS Traffic solcher Geräte ansehen. Vermutlich wird dir dann aber auch gleich schlecht wenn du dann siehst was diese Wanzen alles nach Hause telefonieren ! face-wink
Wer sich sowas freiwillig ins Haus stellt dem ist sicher so oder so nicht mehr zu helfen.
Intelligente Menschen deren Privatsphäre etwas wert ist machen sowas immer mit einem Offline System:
https://www.heise.de/make/meldung/Arduino-Sprachsteuerung-ohne-Cloud-bau ...
Aber anderes Thema...