OPNsense Forum

International Forums => German - Deutsch => Topic started by: OPNPeta on October 09, 2017, 10:24:16 am

Title: Pi-hole als DNS Server verwenden
Post by: OPNPeta on October 09, 2017, 10:24:16 am

Hallo,

bei mir läuft OPNsense 17.7.5 mit DHCP-Server und DNS-Resolver. Ich möchte nun gerne systemweit Pi-hole als DNS Server verwenden und hab dessen IP als DNS Server beim OPNsense DHCP-Dienst eingetragen. Das funktioniert soweit auch, alle Clients im LAN/WLAN bekommen per DHCP als DNS die IP des Pi-hole zugewiesen. Der zweite DNS Eintrag beim DHCP-Dienst ist leer.

Wenn nun Pi-hole nicht erreichbar ist funktioniert das DNS nach kurzer Zeit nicht mehr. Ich war der meinung, dass dann der OPNsense DNS-Resolver automatisch als Alternative benutzt wird. Nur passiert das nicht.

Als work around hab ich nun beim DHCP-Dienst die OPNsense IP als zweiten DNS-Server eingetragen. Die LAN/WLAN  clients bekommen nun per DHCP beide DNS IP mitgeteilt. Ist das so richtig? Ich dachte, dass sobald keine IP beim DHCP-Dienst eingetragen ist automatisch die der OPNsense genommen wird…

Title: Re: Pi-hole als DNS Server verwenden
Post by: BasTier on October 10, 2017, 12:55:01 pm

Hallo,

Ich habe zwar noch eine Sophos UTM im Einsatz aber die Einstellungen sollte auch hier möglich sein.

- Als DNS Server in OPNSense einen DNS Server wählen oder die vom ISP übernehmen.
- Im DHCP als ersten DNS die PiHole Adresse angeben und als zweiten deine OPNSense IP
- In dem PiHole als DNS Server deine OPNSense IP angeben.

So habe ich das bei mir.
Der zweite DNS Eintrag ist halt als Backup gedacht. Um wirklich Ausfall sicher zu sein müsstest du eine zweite Pi-Hole Instanz aufsetzen, natürlich auch auf einer anderen Hardware.

Bei mir läuft ein RaspberryPi mit PiHole und ein virtuelles Debian 8 mit PiHole.

Grüße

Title: Re: Pi-hole als DNS Server verwenden
Post by: JeGr on October 10, 2017, 01:58:41 pm

> Ich war der meinung, dass dann der OPNsense DNS-Resolver automatisch als Alternative benutzt wird. Nur passiert das nicht.

Nö. Wenn du an die Clients EINEN DNS rausgibst, dann kennen die auch nur einen. Woher sollten sie automagisch einen zweiten lernen/kennen? Das Default GW ist das Gateway. Mehr nicht. Der Client kann hier nicht einfach sagen "hey DNS geht nicht mehr, nehmen wir mal die Adresse vom Gateway oder so..."

Beim Eintragen von 2 DNS Servern geht aber mitunter dein Pi-Hole verloren. Je nach OS und Verhalten vom lokalen DNS wird nicht einfach der erste DNS gefragt und dann der zweite, sondern beide parallel. Oder es kann sein, dass dein Pi-Hole nicht schnell genug antwortet und es wird der zweite Eintrag gefragt. Beispiel Windows Clients, hier sagt Microsoft ganz klar:

# if you use multiple DNS servers, the client may also query the secondary server sometimes even if the first one is available

Somit wärst du nur dann wirklich auf der sicheren Seite, wenn du das machst, was BasTier im letzten Absatz schreibt: eine zweite Pi-Hole Instanz und beide eintragen.