OPNsense Forum
International Forums => German - Deutsch => Topic started by: mossi2000 on May 24, 2020, 11:51:48 am
-
Hi,
seit gestern habe ich eine frisch aufgesetzte opnSense 20.1.7 Installation mit Import der Konfiguration von 17.7.x (Update Funktion war schon länger tot)
Ich habe seit 2018(??) DNS-over-TLS in Unbound konfiguriert und heute morgen dies von General Options nach Miscellaneous verschoben. Klappt anscheinend auch.
Ich habe nur WAN (192.168.10.x) und LAN (19.168.100.x) konfiguriert. OpnSense ist jeweils die .3 .
Ich habe einen raspi mit pi-hole laufen. 192.168.100.13 DNS zeigt auf 192.168.100.3 (opnSense)
Der DHCP server in opnSense liefert diesen .13 auch als DNS Server aus.
Das funzt auch. Clients mit diesem DNS per DHCP werden über pi-hole geschützt/geblockt.
So jetzt will ich erzwingen, daß man NUR über den pi-hole DNS aufloesen kann.
Also in LAN_100 DNS 53 con pi-hole an OpnSense erlauben und von allen anderen blocken.
2 Rules, 1 Pass, 1 block.
Soweit die Theorie.
Stelle ich bei meiner Workstation den DNS manuell auf 8.8.8.8 geht die Anfrage auf eigentlich geblockte Seiten aber durch.... :-(
Wo ist mein Denkfehler, bzw. was mache ich falsch?
In den Rules is PIHOLE ein Host-Alias
Axel
-
Ich mag mich irren, aber ich denke die Floating Regel ist überflüssig, Verkehr von localhost/der Firewall selbst sollte eh bereits erlaubt sein. Mag mich aber täuschen dass sich das irgendwann geändert hat.
Die Regel auf dem WAN verstehe ich ebenfalls nicht bzw. macht keinen Sinn. Per default blockt die Sense eh alles, da musst du auch nicht eingehend DNS blockieren IMHO. Zudem blockst du nur TCP/53, DNS läuft primär aber über UDP/53.
Ansonsten wäre noch interessant was sich hinter PIHOLE dem Alias verbirgt und du solltest testweise mal das Logging der beiden DNS Regeln auf dem LAN aktivieren, damit man im Log sieht, wenn dein PC via 8.8.8.8 auflöst und wegen welcher Regel das erlaubt ist. Laut deinem Regelset dürfte das nicht gehen - außer du hast den PiHOle Alias falsch angelegt und der ist aus Versehen ggf. das ganze Netz statt die eine IP (/24 statt /32 angegeben?)
Grüße
-
Hi,
Danke für die Hinweise.
Ich hab' jetzt mal die Rules entrümpelt.
WAN hat noch einen Eintrag für die Fritzbox, die nur Telefonieserver macht.
Floating ist leer (bis auf die generierten Einträge)
LAN_100 ist auch einfacher geworden.
Mit IPv4 TCP/UDP Source: ! (not) PIHOLE (192.168.100.13) Port 53 (DNS) VOR der z.Zt. noch noetigen "Default allow LAN to ANY Rule" klappt auch das Blockieren von DNS Anfragen die sonst nach draußen gingen...
Also Problem erstmal geloest! Merci.
Dann kann ich mich ja dranmachen mein Netzwerk / Firewalling zu planen.
(WLAN über den Ubiquity AP in eigenes Subnetz/VLAN, ein SubNetz über VPN nach draußen, manche Devices per Default in dieses Subnetz, ) Ich denke ich werde da wahrscheinlich noch ein paar Dinge hier erfragen müssen... :-)
-
> Dann kann ich mich ja dranmachen mein Netzwerk / Firewalling zu planen.
> (WLAN über den Ubiquity AP in eigenes Subnetz/VLAN, ein SubNetz über VPN nach draußen, manche Devices per Default in dieses Subnetz, ) Ich denke ich werde da wahrscheinlich noch ein paar Dinge hier erfragen müssen... :-)
Nicht schlimm. Eventuell gibt dir das hier (https://forum.netgate.com/topic/146555/infotainment-netzwerk-neubau-mit-pfsense-und-unifi) einen kleinen Anstoß an Ideen, was man anstellen kann (letztes Bild ist in relativ letztem Post hinter Spoiler Tag weil so groß). Kann man so mit ein zwei kleinen Abwandlungen natürlich auch mit OPNsense bauen (wofür mir noch ein Aufkleber fehlt - muss mal fragen wo es welche gibt).