OPNsense Forum
International Forums => German - Deutsch => Topic started by: oJonathan on December 27, 2021, 12:37:57 am
-
Hi,
ich würde gerne PiHole in meinem OpnSense Subnet als DNS Server von dem Router ausgeben lassen. Damit das DNS Lookup noch funktioniert muss ich ja beim Conditional Forwarding den DHCP Server (also die OpnSense) angeben. Auf dem Router ist dementsprechend DNSmasq aktiviert.
Mein Problem ist das lokale Anfragen von meinem Router und meinem PiHole ständig hin und wieder zurück geschickt werden.
Das sieht dann so aus das von der OpnSense 10.000 Anfragen ankommen die an sie weitergeleitet werden, bis halt das Limit von 10000 Anfragen pro Minute erreicht ist.
Am Besten wäre es wenn man die Weiterleitung von DNSmasq irgendwie abstellen könnte, aber ich hab dazu nichts gefunden. Vielleicht hab ich auch einfach etwas flasch konfiguriert, daswegen hänge ich mal meine Konfiguration an :)
Die Alternative wäre OpnSense als DNS Server zu verwenden, der an PiHole weiterleitet. Dann müsste ich das Forwarding nicht aktivieren, aber ich bekomme in den Statistiken nur die OpnSense angezeigt.
Vielleicht könnt ihr mir ja helfen ... würde mich auf jeden Fall freuen :)
-
hier noch die Pihole Konfiguration (war zu groß)
-
Ich habe das selbe Problem aktuell noch in meiner jetzigen Netzwerkumgebung.
DHCP-Server ( und Router ) ist aktuell noch eine Unifi DreamMachinePro, die aber so schnell wie möglich von der OPNSense ersetzt werden soll.
Ich habe mir aktuell damit geholfen, die IP/Hostnamen der lokalen Geräte alle im PiHole einzutragen, zumindest für die, welche eh eine DHCP-Reservierung haben.
Schön ist die Lösung nicht, ich hoffe, das die mit der OPNSense besser wird.
-
Ich verwende auch PiHole und ich sehe bei der Einstellungen eine Fehler: die ersten beiden Checkboxen sind bei mir abgewählt (Never forward non-FQND, Never forward reverse lookups). So bekommt Pihole die richtigen Namen von der Opnsense. Bei meinem Setup verwende ich Unbound als DNS-Forwarder. Bei Unbound die folgenden beiden Optionen anwählen: DHCP Leases registrieren und Statische DHCP Zuordnungen registrieren). DHCP kommt bei mir von der Opnsense - dort sind meine zwei Piholes als DNS eingetragen.
Hier noch eine schöne Anleitung, die mir selbst sehr geholfen hat:https://homenetworkguy.com/how-to/configure-dns-opnsense-pihole/
-
Pi-hole and OPNsense
Auch interessant,
https://pi-hole.net/2021/09/30/pi-hole-and-opnsense/#page-content
MfG k0ns0l3 8)
-
Außerdem wichtig auf dem PiHole: unter Settings/DNS musst du allen trafic auf der Netzwerkschnittstelle zu lassen. Sonnst blockt der PiHole die Anfragen von nicht bekannten Adressen (also alles außerhalb seines eigenen Sub-Net).
VG
-
Ich hab meine beiden PiHoles als Linux-Container in einem VLan mit je eigenem IP-Range laufen und die beantworten Anfragen aus allen VLan-Netzen, obwohl nur eth0 aktiviert ist.
Das mit den Schnittstellen und nur wichtig, wenn der PiHole-Server mehrere Netzwerkkarten hat, ansonsten reagiert der nur auf die erste LAN-Karte.
Wichtiger ist auf der selben Seite unten das LAN / Subnetz einzutragen und eben die lokale Domain + DHCP-Server.
-
> https://pi-hole.net/2021/09/30/pi-hole-and-opnsense/#page-content
Solche Setups sehe ich auch häufiger, finde ich aber kontraproduktiv. Man hängt damit den DNS Resolver/Forwarder der Sense hinter den PiHole, was rein Architektur-technisch ziemlich Banane ist: Du bist das Gerät, das am Direktesten am Internet steht, sollst aber statt Verbindung direkt nach draußen aufzumachen statt dessen wieder den Request nach drinnen zum PiHole schicken, der dann durch dich und an dir vorbei den Request raus macht. Also raus, rein, raus, was für ein Ping-Pong.
Zudem: läuft der PiHole nicht, kann die OPNsense selbst auch nichts mehr auflösen wenn man dem einfachen Setup folgt. Man baut sich also externe Abhängigkeiten an den Fuß die man eigentlich nicht haben will.
Ich habe das bspw. laufen ähnlich wie Tuxtom007:
* 2x PiHoles in Containern - die brauchen eh kaum Saft
* Beide PiHoles laufen als Cluster - man braucht also nur einen Administrieren, der andere bekommt Block/Allowlisten etc. immer gesynct. Läuft toll so
* Beide PiHoles haben als #1 Forwarder die Sense drin und als Fallback #2 einen externen PiHole mit privacy Regeln
* Die Sense selbst macht DNS Resolver (unbound) und kennt daher durch DHCP und Co alle internen Namen die sie kennen muss für die "lokale Domain". Selbst die PiHoles kennen somit ohne schräge Konfiguration die Namen aller Clients die bei Ihnen anfragen, weil sie selbst es an die Sense weitergeben können.
* Die Sense selbst macht für ihre eigenen Abfragen (Updates etc.) und die Requests der PiHoles ganz normales DNS Resolving - spricht also mit allen DNS Servern direkt. Wenn man auf Zentralisierung steht könnte man die Abfragen jetzt auch über irgendwelche geschwurbelten Tunnel zu selbstgehosteten PIs draußen schieben. Aber warum - das verlagert nur das Problem.
Wenn man Pis und Sense komplett trennen möchte, kann man auch nur die eigene Domain (home.arpa o.ä.) via Sense auflösen und alles andere mit der eigenen Forwarder Einstellung irgendwo hinschicken. Ginge auch. Ich habe dazu via Ansible ein Rezept, mit dem ich spezifische Domains einer Liste hinzufügen kann, die dann auf die PiHoles ausgerollt wird und deren DNSmasq dann verklickert, dass diese Domains der Liste bitte an diesen spezifischen DNS Server geforwarded werden sollen. Das hilft, wenn man bspw. Firmen VPN noch am Start hat und die internen Firmen-Domains sonst nicht auflösen könnte.
Beide Pis stehen in einem Infrastruktur VLAN wie NAS und NTP und Co auch, also alles, was von verschiedenen Clients aus gebraucht wird und ist darüber zugreifbar :)
Funktioniert so prächtig, man kann problemlos einen PiHole nach dem anderen Updaten ohne DNS Ausfall und wenn der DNS der Sense mal wegsterben sollte gehen die immer noch als Fallback über den remote-Pi raus. Die PiHoles cachen aber auch so gut, dass es nicht auffällt wenn man der DNS kurzzeitig nicht geht.
Cheers
-
Beide PiHoles laufen als Cluster - man braucht also nur einen Administrieren, der andere bekommt Block/Allowlisten etc. immer gesynct. Läuft toll so
Was nutzt du zum syncen ?
Ich nutze gravity-Sync, das funktioniert super gut und ist flexible konfigurierbar.
-
> Ich nutze gravity-Sync, das funktioniert super gut und ist flexible konfigurierbar.
Dito, bisher läuft das sehr problemlos :)
-
Hallo,
ich werfe mal AdGuardHome ins Rennen, den kann man auf der OPNSense mit installieren - habe gerade ein YT-Video dazu gesehen.
Finde ich eine geschmeidige Lösung, da auch unbound der OPNSense weiter genutzt werden kann.
Mit PiHole ist eine Installation nicht möglich, weil dieser nicht unter FreeBSD läuft.
Ich wollte mir AdGuardHome eh mal ansehen als Pihole-Alternative.
-
Hallo,
ich werfe mal AdGuardHome ins Rennen, den kann man auf der OPNSense mit installieren - habe gerade ein YT-Video dazu gesehen.
Finde ich eine geschmeidige Lösung, da auch unbound der OPNSense weiter genutzt werden kann.
Mit PiHole ist eine Installation nicht möglich, weil dieser nicht unter FreeBSD läuft.
Ich wollte mir AdGuardHome eh mal ansehen als Pihole-Alternative.
Läuft bei mir mit Adguard Home aus der mimugmail REPO.
AdGuard läuft auf 53 und Unbound DNS der Sense auf 5353.
Auf AdGuard sind dann Upstream-DNS-Server und Private inverse DNS-Server jeweils 127.0.0.1:5353
So können auch lokale Clients aufgelöst werden und jeder Client stellt die Anfragen selbst an AdGuard und kann so auch eigenständig mit Regeln belegt werden.
Forwarde ich alles immer von der FW hab ich natürlich auch nur die FW im Log stehen.
Regeln dann
Lan 53 -> AdGuard 53 allow
Lan 53 -> !AdGuard 53 block
-
Hi,
warum will man eigentlich AdGuard installieren, wenn man doch in OPNsense direkt DNSBL haben kann?
Siehe z.B.: https://www.routerperformance.net/opnsense/using-pfblocker-features-in-opnsense/
Oder verstehe ich etwas falsch (kann gut sein, da ich mehr oder weniger OPNsense newbie bin).
Bisher nutze ich ne fritz.box mit einem RaspberryPi Pi-Hole inkl. Unbound.
Verspreche mir durch die OPNsense das einsparen des Pi-Hole (wg. DNSBL und direkt Unbound in OPNsense).
-
Hi,
warum will man eigentlich AdGuard installieren, wenn man doch in OPNsense direkt DNSBL haben kann?
Siehe z.B.: https://www.routerperformance.net/opnsense/using-pfblocker-features-in-opnsense/
Oder verstehe ich etwas falsch (kann gut sein, da ich mehr oder weniger OPNsense newbie bin).
Bisher nutze ich ne fritz.box mit einem RaspberryPi Pi-Hole inkl. Unbound.
Verspreche mir durch die OPNsense das einsparen des Pi-Hole (wg. DNSBL und direkt Unbound in OPNsense).
Das DNS lässt sich in meinen Augen dort besser steuern. Ich kann für jedes Gerät wenn ich Lust habe eigene Listen hinterlegen die dort gelten. Oder auch die Kids besser "ärgern" indem ich für die Clients der Kinder sage ich force safesearch und sperre jugendgefährdende Webseiten sowie APPs.
Diese Einstellungen bekomme ich persönlich über unbound DNS so einfach erstmal nicht hin.
Vielleicht bei YT einfach mal n Video über AdGuard Home angucken und die Einstellungsmöglichkeiten mit denen von unbound vergleichen.
-
...
Das DNS lässt sich in meinen Augen dort besser steuern...
Diese Einstellungen bekomme ich persönlich über unbound DNS so einfach erstmal nicht hin.
Danke Dir für die Infos.
Also nutzt Du Unbound in der OPNsense als DNS und hinzu dann AdGuard der sich um den Rest kümmert wie Blocking-Listen usw.?
Wollte halt durch den Wechsel auf OPNsense mir einen weiteren "Park" and Raspis ersparen.
-
...
Das DNS lässt sich in meinen Augen dort besser steuern...
Diese Einstellungen bekomme ich persönlich über unbound DNS so einfach erstmal nicht hin.
Danke Dir für die Infos.
Also nutzt Du Unbound in der OPNsense als DNS und hinzu dann AdGuard der sich um den Rest kümmert wie Blocking-Listen usw.?
Wollte halt durch den Wechsel auf OPNsense mir einen weiteren "Park" and Raspis ersparen.
DNS Anfrage Clients Port 53 -> AdGuard Home -> DNS Weiterleitung auf Server auf Port 5353 -> Unbound OPNsense