8
Pi-hole, Opnsense und Fritzbox 6490 wer sollte DNS Master sein?
Guten Morgen,
aktuell Tüftle ich an meinem Netzwerk und Probiere vieles aus.
Aktuell läuft es bei mir so :
Fritzbox 6490 KDG DHCP / DNS alles aus DNS läuft dann wohl als Proxy 172.16.0.1/24
HyperV Blech : 172.16.10.2
VM1 Opnsense Zuständig für DHCP, VLAN, VPN, DNS Weiterleitung
WAN: 172.16.0.2/24 GW:172.16.0.1
VLAN11 FesteClients 172.16.11.1
VLAN13 GastWlan 172.16.13.1
LAN 172.16.5.1
VLAN14 Labor 172.16.14.1
VLAN10 Management 172.16.10.1
VLAN12 WlanClients 172.16.12.1
Alle DHCP´s bekommen den DNS des Pi-hole mit 172.16.10.10
VM 2 Debian mit Pi-hole 172.16.10.10/24
Pi-hole nutzt den Custom DNS der opnsense 172.16.5.1
Die Opnsense hat unter System -> Allgemein den DNS der Fritzbox 172.16.0.1 drin.
Das heißt ein Client fragt die Pi-hole die blockt Werbung und Co dann fragt die die opnsene und die dann die Fritzbox?
Problem ist das wenn ich das so mache ich intern keine Clients auflösen kann.
Hier mal ein Wireshark Auszug wenn ich nslookup opnsense abfrage
aktuell Tüftle ich an meinem Netzwerk und Probiere vieles aus.
Aktuell läuft es bei mir so :
Fritzbox 6490 KDG DHCP / DNS alles aus DNS läuft dann wohl als Proxy 172.16.0.1/24
HyperV Blech : 172.16.10.2
VM1 Opnsense Zuständig für DHCP, VLAN, VPN, DNS Weiterleitung
WAN: 172.16.0.2/24 GW:172.16.0.1
VLAN11 FesteClients 172.16.11.1
VLAN13 GastWlan 172.16.13.1
LAN 172.16.5.1
VLAN14 Labor 172.16.14.1
VLAN10 Management 172.16.10.1
VLAN12 WlanClients 172.16.12.1
Alle DHCP´s bekommen den DNS des Pi-hole mit 172.16.10.10
VM 2 Debian mit Pi-hole 172.16.10.10/24
Pi-hole nutzt den Custom DNS der opnsense 172.16.5.1
Die Opnsense hat unter System -> Allgemein den DNS der Fritzbox 172.16.0.1 drin.
Das heißt ein Client fragt die Pi-hole die blockt Werbung und Co dann fragt die die opnsene und die dann die Fritzbox?
Problem ist das wenn ich das so mache ich intern keine Clients auflösen kann.
Hier mal ein Wireshark Auszug wenn ich nslookup opnsense abfrage
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 650779
Url: https://administrator.de/contentid/650779
Ausgedruckt am: 22.11.2024 um 11:11 Uhr
8 Kommentare
Neuester Kommentar
Die Opnsense hat unter System -> Allgemein den DNS der Fritzbox 172.16.0.1 drin.
Da sollte natürlich der PiHole rein und der hat dann wiederume iene Weiterleitung entweder auf einen der Provider Cloudflare, Quad 9 usw. oder besser...auf die IP der FritzBox.Fertisch...
Das DNS Setup Resolver/Forwarder sollte natürlich entsprechend richtig eingerichtet sein:
PfSense - web.de wird trotz aktiver "Scheunentor-Regel" blockiert
Regelwerk für UDP/TCP 53 um den PiHole aus den weiteren Firewall Segmenten zu erreichen ebenso.
Eigentlich doch kein Hexenwerk...
Moin,
ich würde die DNS "Kaskade" so aufbauen
Clients -> PiHole -> Fritte -> ISP
pfSense -> Fritte -> ISP
oder mein Favorit
Direkt die RootServer von pfSense/RasPi aus anfragen
Google, Quad9, Cloudflare und alle anderen die den DNS Traffic auswerten würde ich rauslassen.
/EDIT: wg. deiner Internen Namensauflösung. Versuch doch mal die FQDN anzufragen. evtl. fehtl bei dir nur das search suffix
lg,
Slainte
ich würde die DNS "Kaskade" so aufbauen
Clients -> PiHole -> Fritte -> ISP
pfSense -> Fritte -> ISP
oder mein Favorit
Direkt die RootServer von pfSense/RasPi aus anfragen
Google, Quad9, Cloudflare und alle anderen die den DNS Traffic auswerten würde ich rauslassen.
/EDIT: wg. deiner Internen Namensauflösung. Versuch doch mal die FQDN anzufragen. evtl. fehtl bei dir nur das search suffix
lg,
Slainte
Clients -> PiHole -> Fritte -> ISP
Besteht denn die Möglichkeit das die Clients automatisch eingetragen werden? Also ins DNS?
Das geht in der aktuellen PiHole Version (endlich!!) im Web Interface.
Hallo,
inklusive reverser Auflösung und der damit verbundenen, zwingend erforderlichen Aufhebung der Rebind-Protection?
Gruß,
Jörg
inklusive reverser Auflösung und der damit verbundenen, zwingend erforderlichen Aufhebung der Rebind-Protection?
Gruß,
Jörg
Oder doch lieber anders lösen mit dem DNS ? pfblockerng gibt es ja nur für Pfsense und nicht für Opnsense.
Oder bringt Opnsense auch was mit ? Dienste: Unbound DNS: Black List
Oder bringt Opnsense auch was mit ? Dienste: Unbound DNS: Black List
