OPNsense Forum
International Forums => German - Deutsch => Topic started by: emmitt on April 06, 2021, 10:02:48 am
-
Hallo,
ich habe meinen Raspberry Pi mit Pi-hole bestückt und möchte ihn nun systemweit als DNS-Server einbinden.
Welche Schritte muss ich genau vornehmen, damit es funktioniert und ich mich nicht aussperre?
Ich habe folgende Konstellation:
OPNsense: 192.168.178.1
WLAN-Gast: 192.168.188.x
LAN-Gast: 192.168.198.x
Ich möchte nun sämtliche DNS-Anfragen über die Pi-hole laufen lassen.
Meine Vorgehensweise wäre die, dass ich Pi-hole als DNS-Server in den DHCP-Einstellungen eintrage und unter "System - settings - General" dann beispielsweise die IP-Adressen eines sicheren DNS-Anbieters? Genügt das?
Vermutlich nicht oder?
Die Pi-hole soll ja netzübergreifend arbeiten und ich weiß auch nicht ob wirklich alle Geräte (IoT etc.) sich auf den DNS-Server einlassen... Au0ßerdem bleibt das Problem DNS over TLS.
Fragen über Fragen - hoffentlich nicht zu viele... Mir genügen auch Teilantworten. ;)
Danke für Eure Ratschläge!
Emmitt
-
Meine Vorgehensweise wäre die, dass ich Pi-hole als DNS-Server in den DHCP-Einstellungen eintrage und unter "System - settings - General" dann beispielsweise die IP-Adressen eines sicheren DNS-Anbieters? Genügt das?
Du müstest zumindest zusätzlich via Firewall-Rules dafür sorgen, dass der Pi-Hole DNS aus den Gastnetzen erreichbar ist, der unter "System->General" eingetragene "sichere DNS Anbieter" würde nur von der OPNSense selbst verwendet.
Einfacher gehts vielleicht so:
Es sollte reichen, die Pi-Hole IP unter "System -> General" als einzigen DNS Server einzutragen, der Haken bei "Allow DNS server list to be overridden by DHCP/PPP on WAN" muss raus.
In der Unbound Konfiguration wird unter "General" "Enable Forwarding" aktiviert.
Damit sollten alle Clients und die OPNSense ohne weitere Maßnahmen Pi-Hole "indirekt" via Unbound als DNS Server verwenden. Sicheres DNS via DoT oder DoH wäre dann Pi-Hole seitig zu konfigurieren.
Alternativ dazu bietet OPNSense in der Unbound Konfiguration unter "Blacklists" die Möglichkeit, Pi-Hole im wesentlichen überflüssig zu machen :)
-
Hallo,
ich habe das bei mir so gelöst, dass ich unter System-Settings-General nur PiHole als DNS-Server eingetragen habe, Haken raus bei "Allow DNS server list to be overridden by DHCP/PPP on WAN" und Haken rein bei "Do not use the local DNS service as a nameserver for this system". Bei den DHCPv4 Services habe ich bezüglich DNS nichts eingetragen.
Um zu verhindern, dass Clients ihre eingenen DNS-Server verwenden, habe ich unter Firewall-NAT-PortForward eine Weiterleitung von Port 53 auf Pihole eingerichtet (Regel: Alles was NICHT von PiHole stammt und als Destination Port 53 hat -> Weiterleitung auf PiHole). Dazu noch in der Firewall drei Regeln, nämlich dass DNS aus dem Lan zu PiHole zulässig ist, DNS von Pihole nach überall zulässig ist und dass ansonsten jeglicher DNS-Verkehr verboten ist.
Unbound oder so verwende ich auf Opnsense überhaupt nicht.
-
Hier steht, wie ich es grundsätzlich eingerichtet habe: https://forum.opnsense.org/index.php?topic=21196.0
Damit ist der DNS auf allen Clients, die ihre IP Adresse über sense beziehen, gesetzt. Ausnahmen: Manuel gesetzter DNS oder in IoT Geräten manchmal fest verdrahteter DNS (meist 8.8.8.8 oder so).
-
Vielen Dank für Eure Antworten!
Ich schau mal wie ich vorgehe.
Aktuell habe ich mich tatsächlich erst einmal mit Unbound DNS und den damit verbundenen DNSBL's beschäftigt. Das funktioniert eigentlich recht gut - wobei die visuelle Protokollierung unter Pi-hole natürlich schon nett ist.