OPNsense Forum
International Forums => German - Deutsch => Topic started by: dsecure on August 19, 2019, 06:07:04 am
-
Moin,
bin ziemlich neu hier und leider noch rel. unerfahren mit OPNsense, finde das Projekt schon länger sehr interessant und spannend :)
Mein Router (APU4C4) wurde mit OPNsense 19.7.2 aufgesetzt, bisher arbeite ich noch an einer sicheren und zuverlässigen DNS konfiguration. Mit Unbound hatte ich so meine Schwierigkeiten, deshalb wurde zu dnsmasq gewechselt, das läuft prima soweit. Meine Server im LAN wurde overwritten und können ebenfalls aufgelöst werden.
Zu meiner Frage, als DNS Server sind die beiden Pi-Holes eingetragen, um den DNS Traffic zusätzlich zu filtern und etwas einzudämmen. Jetzt habe ich aber festgestellt, dass von meiner WAN Schnittstelle DNS Anfragen an 8.8.8.8 und 8.8.4.4 raus gehen. Verstehe nicht warum die FW das macht, ein Google DNS Service wurde von mir in keinster Weise konfiguriert.
Meine Idee ist zunächst, den gesamten DNS Traffic über die FW zu leiten und die Requests an die Pi holes weiter zu geben.
Wäre mein Vorhaben so machbar? -> https://forum.opnsense.org/index.php?topic=9245.msg41626#msg41626
Würde mich über eine Antwort freuen!
Gruß
-
Hallo dsecure,
Ich bin ebenfalls Anfänger, aber Dein Problem mit den festgelegen DNS-Adressen hört sich so an, als wenn diese Einträge in System/Allgemein unter DNS festgelegt sind.
Viele Grüße
Andreas
-
Hey Andi,
in den Sys/Allgemein Einstellungen sind die beiden IP Adressen der zwei DNS Server (Pi-Hole) eingetragen, den Google DNS verwende ich prinzipell nicht, zumindestens bewusst ;). Ich dachte evtl. das ein DNS Leak dass Problem sein könnte aber warum ist dann die Source IP = 192.168.1.1 (WAN Schnitstelle).
Kurze Info zum konfigurierten Netzwerk:
2 Subnetze
-> 192.168.1.0/24
-> 192.168.0.0/24
FW-OPNsense (NAT mit GW=192.168.1.12 ins 192.168.1.0/24)
Intern: 192.168.0.12/24
Extern: 192.168.1.1/24
Eingetragener GW=192.168.1.12
Service: DNS(forwarder)
Fritzbox (Gateway ins Internet):
192.168.1.12/24
PI Hole's (DNS forwarder/cache nutzen beide Cloudflare als resolver)
192.168.1.8/24
192.168.1.9/24
Alle Rechner und Server im internen LAN haben die OPNsense als DNS Server eingetragen, also die 192.168.0.12.
Die Fritzbox nutzt als DNS ebenfalls die beiden PI-Hole's und dient zudem als DNS forwarder(resolver) im 192.168.1.0/24 Netz.
Eine Skizze bzw. Netzwerkplan werde ich demnächst anfertigen. Gibt es bei OPNsense sonst noch DNS Einstellungen, bei denen standartmäßig 8.8.8.8 und 8.8.4.4 eingetragen sind?
VG
-
ne aber checke doch mal deine Clients - einer hat es wohl eingetragen.
-
ne aber checke doch mal deine Clients - einer hat es wohl eingetragen.
In welcher Log kann ich das überprüfen, gerade wurden alle Clients überprüft und tatsächlich ein 'Übeltäter' ausgemacht. Jetzt sind auf allen Clients die richtigen DNS-Server konfiguriert, dennoch bekomme ich immer noch anfragen auf 8.8.8.8, ich vermute ein zusätzlich es Leak. Entweder von irgendeiner Software oder eines der drei Android Smartphones(wäre sogar plausibel google<->android).
-
Oke jetzt gehts so wie ich es mir vorgestellt hatte, habe das hier https://forum.opnsense.org/index.php?topic=9245.msg41626#msg41626 umgesetzt und et voila, alles supi 8)
Habe auch versucht via dig xyz.com @8.8.8.8 die domains abzufragen, geht brav über's pi hole, also wurde in den query logs des holes verifiziert und in den Firewall log's tauchen keine 8.8.8.8 mehr auf.
Jedenfalls vielen Dank für die Hilfe und bis zum nächsten mal, achja wie kann man den Thread auf 'solved' setzen?
VG
-
ne aber checke doch mal deine Clients - einer hat es wohl eingetragen.
... ich vermute ein zusätzlich es Leak. Entweder von irgendeiner Software oder eines der drei Android Smartphones(wäre sogar plausibel google<->android).
Naja, ein Leak ist das nicht. Android nutzt bevorzugt seine Google DNS-Server. Hast ja danach alles richtig gemacht. :)
-
Hast ja danach alles richtig gemacht. :)
Danke dir, bin jetzt auch total happy das die Blockrate vom Pi Hole ordentlich rauf gegangen ist, von 20% auf knapp 40% :)