OPNsense Forum
International Forums => German - Deutsch => Topic started by: PiMas on December 16, 2019, 05:49:25 pm
-
Hallo allerseits
Ich brauche eure Hilfe:
Ich verteile im VLAN10 via DHCP den DNS Server (pi-hole) welcher sich aber im VLAN20 befindet.
Zugriff auf Port UDP 53 ist als Regel definiert.
Das Problem: Eine DNS Abfrage aus VLAN10 funktioniert nicht, obwohl ich im pi-hole QueryLog die Abfrage sehen kann.
Im Firewall Live View kann ich kein Problem feststellen.
Abfragen von Clients im VLAN20 auf den pi-hole funktionieren einwandfrei.
Wo könnte es klemmen?
lg
-
Ist der Dienst auch auf dem VLAN10 Interface gebunden?
-
Meinst du Unbound DNS? Dieser ist an alle aktive VLAN gebunden.
Der pi-hole, mit welchem ich das Problem habe, ist ein von der OPNsense unabhängiger DNS.
-
Hat dein pi-hole eine Rückroute oder auch die OPNsense als Default-GW?
Es könnte an fehlerhaftem Routing liegen.
Das findest Du am besten mit einem tcpdump auf dem pi-hole raus. Ich vermute du bekommst die Pakete ankommend, aber der pi-hole findet keine Rückroute in das VLAN10.
-
der pi-hole hat als Default Gateway die OPNsense, keine weiteren Routen.
Braucht er den sowas? Wenn ich einen öffentlichen DNS Server verwende braucht dieser ja auch keine besondere Konfiguration um meine Anfrage zu beantworten.
-
Habe eben noch ein tcpdump erstellt und kann nicht auffälliges erkennen. Worauf müsste ich achten?
-
Schau auf der Firewall mit Package Capture mal ob du Traffic in beide Richtungen siehst und ob SRC und DST Adressen richtig sind.
Auf dem pi-hole müsstest du sehen, wohin er die Antworten schickt. Tut er das in Richtung Default-GW (wenn das nicht deine OS für den pi-hole ist) oder Richtung OPNsense.
-
tcpdump von pi-hole:
Anfrage: src=Client -> dst=pi-hole
Antwort: src=pi-hole -> dst=Client
packet capture OPNsense:
Anfrage: src=Client -> dst=pi-hole
Antwort: src=pi-hole -> dst=Client
Sieht eigentlich alles ok aus.
-
Habe jetzt mal testweise eine FW Regel für den Zugriff aus VLAN10 aufs Web-IF vom pi-hole (VLAN20) erstellt.
Auch dieser Zugriff ist nicht möglich, das geht nur aus VLAN20 :-[
-
* VLAN10 und VLAN20 sind sauber auf der Sense aufgelegt?
* Regeln existieren korrekt?
* Pi-Hole kann selbst überhaupt sauber DNS Abfragen machen?
Bitte dann mal Screenshot vom Client bei DNS Fehler (Konsole/Cmdline mit nslookup mal testen), den Pi-Hole ebenfalls testen und mal Screenshot von Regeln etc. machen und posten? Alles hier in Textform zu machen ohne was zu sehen ist einfach zu viel Hellseherei :)
-
* VLAN10 & 20 funktionieren mit anderen Clients und Services einwandfrei
* Regel sind korrekt (habe auch schon mit grosszügigeren Regeln getestet)
* Pi-hole löst wie erwartet auf
Pi-hole:
läuft auf Ubuntu Server 18.04.3 LTS, Firewall ist inaktiv
Netz ist VLAN20 mit 192.168.1.0/24, IP=192.168.1.18
-
Habe diveres Tests gemacht: Das Problem ist nicht nur DNS. Es ist kein Zugriff von einem anderen Subnetz auf den pi-hole möglich, egal ob https, ssh, dns,....
Aber: Die selben Zugriff aus dem gleichen Subnetz vom pi-hole, funktionieren einwandfrei.
lg
-
Konnte das Problem lösen :D
Die Ursache war der Default Gateway.
In /etc/network/interfaces war der Gateway zwar richtig konfiguriert.
Eine Abfrage mit route hat jedoch etwas anderes ergeben: Hier war mein altes Gateway fw01 zufinden:
admin@ubuntuserver01:~$ route
Kernel-IP-Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
default fw01.local 0.0.0.0 UG 202 0 0 ens160
192.168.1.0 0.0.0.0 255.255.255.0 U 202 0 0 ens160
Die richtige Konfiguration muss auf dem pi-hole Server hier gemacht werden: /etc/dhcpcd.conf
Danke für eure Hinweise.
lg