Messages

Das wars, danke!

Ich hab eine Rule die DoH (DNS over HTTPS) blockt. Da das über 443 läuft, kann ich nur bekannte host sperren und da war wohl auch github mit dabei. Rule deaktiviert und Seite geht wieder.

Ich wollte DNS so haben, dass alles über meine Opnsense bzw meinen pihole gehen muss und alle anderen DNS-Anfragen sollte komplett gesperrt werden.

Wie oben erwähnt:

syncthing.net

oder auch

https://jomjol.github.io/AI-on-the-edge-device-docs/

nslookup zeigt mir eine IP-Adresse an.

Ich hab eine Fritzbox, darin ist IPv6 deaktiviert. Die Opnsense dahinter hat auch deaktiviertes IPv6. Da werden dann glaube ich automatisch Firewall-Einträge angelegt.

An denen wird es dann wohl liegen?

Ob HTTP oder HTTPS ist egal, da hab ich normalerweise keine Probleme damit.

Hallo,
ich bin auf Opnsense 24.1 (Problem bestand aber schon vorher) und nutze pihole.

Einige Internetseiten gehen bei mir nicht. Pihole lässt sie durch, daran ändert sich nichts. Da wird nichts geblockt.

Wie kann ich herausfinden, woran das liegt? Wenn ich mein Handy im WLAN habe, ist die Seite nicht erreichbar. Wenn im Mobiulfunknetz, dann gehts.

Es sind mir bisher nur sehr wenige Seiten aufgefallen.

Aktuell z.B. syncthing.net oder Unterdomains davon, z.B. docs.syncthing.net

Wenn ich die Seite über Google suche und aufrufen möchte, kommt "Seite nicht gefunden". Ping zu syncthing.net meldet icmp timeout. Wie gesagt, in PiHole alles grün, auch wenn ich es deaktiviere, keine Änderung.

Im Mobilfunknetz keine Probleme damit.

Wie mache ich mich am besten auf die Fehlersuche?

Hm, dann bleib ich aber eher bei den IP-Adressen, wenn ich sonst immer den ewig langen Domainnamen komplett eingeben muss... opensense.intern.xyz.dyndns.de --- da tippe ich mir ja den Wolf...

In unserer Arbeit haben wir das in der Form: firmenname.lokal

Und dann z.B. der DC hat dc1.firmenname.lokal

Im Internet gibts nur firmenname.de - das könnte ich dann bei mir zuhause auch so machen oder? Wenn ich nachname.lokal nehme? nachname.de gibts im Internet. nachname.lokal nicht.

Oder gibts dann die selben Probleme wie bei local.lan, dass das einige Browser nicht richtig verarbeiten können?

Wenn mein dnyndns-Name lautet: xyz.dyndns.de

Dann nehme ich als lokalen Domainnamen fürs Netzwerk xyz.dyndns.de (da wo jetzt local.lan drinsteht) und wenn ich dann lokal auf die opnsense möchte, dann muss ich im Browser opnsense.xyz.dyndns.de eingeben --- richtig so?

Kann ich mir da irgendwas aussuchen? z.B. opnsense-home.de ? Ist das dann nur für intern? Nach aussen hat das keine Bedeutung? Was nimmt man da normalerweise, wenn man keien eigene Domain hat?

Ich habe keine eigene Domain. Nur einen dyndns-Namen für WireGuard.

Ich hab local.lan als meine "Domäne" eingetragen. Aber auch wenn ich pihole.local.lan eingebe, kommt eine Google-Suche.

Conditional Forwarding ist im Pihole konfiguriert, muss ich das in der opnsense auch nochmal konfigurieren?

DHCP macht die Opnsense und verteilt den DNS-Eintrag (pihole). Pihole macht nur internen DNS und fragst selbst dann wieder beim unbound auf der opnsense nach, welcher nach extern zu den Root-Servern geht.

Vermuttlich, weil dein PiHole deine lokale Hostnanem nicht kennt.

Mache mal auf der Kommadozeile eine "nslookup HOSTNAME" mit einem HOSTNAME aus deinem Netz.

Da funktioniert es. Die lokalen DNS-Namen werden alle richtig angezeigt. Auch ein Ping zum DNS-Namen funktioniert.

Sicheres DNS im Browser ist deaktiviert, ich habe eine ganz normale ungesicherte Verbindung über Port 53 zu meinem pihole.

Also kann ich wohl nichts weiter machen?

Hallo,
ich möchte auf meine Server bzw. deren GUI gerne über deren Hostnamen zugreifen können. Also z.B. wenn ich im Browser opnsense eingebe, dann soll die Webgui aufgehen. Das geht aber nicht, es öffnet sich immer eine Google-Suche. Über die IP geht es ganz normal.

Ich hab folgendes Setup:

Opnsense macht DHCP und. verteilt als DNS meinen Pihole. Im Pihole ist conditional forwarding aktiviert und die 3 Felder darunter entsprechend ausgefüllt.

Woran könnte es noch liegen?

Danke für die vielen Tipps und die schnelle Hilfe!

Ich habs hinbekommen!

Das Problem war, dass ich auf meinem Notebook den DNS-Eintrag in der Wireguard-Config setzen musste und dann hab ich noch herausgefunden, dass im pihole die Option gesetzt war, dass er nur Zugriffe vom lokalen Netz zulässt.

Was ich noch herausgefunden habe:

Im Firewalllog sehe ich alle lokalen Zugriffe vom Notebook auf das Webinterface, auf andere Server usw.
Die Zugriffe ins Internet hingegen nicht. Garnichts, kein block, kein pass.

Pings vom MacBook aus ins Internet zu 8.8.8.8 funktionieren, ping zu google.de nicht.

Vom Ping sehe ich ein icmp pass auf 8.8.8.8 von der ip des macbooks aus im firewall livelog.

Wenn ich im Browser 1.1.1.1 eingebe, dann komme ich auf die Internetseite, im Livelog wird auch port 443 udp zugriff als pass schön angezeigt.

Also muss es doch irgendwie mit der Namensauflösung zusammenhängen?

Ich habe auf meinem iPad auch die Wireguard-App installiert und dieses als weiteren Peer zu meiner Opnsese hinzugefügt.

Selbes Ergebnis: Sobald ich 0.0.0.0/0 eintrage, erhalte ich Zugriff aufs Home-LAN aber nicht mehr aufs Internet...

Wenn du mir sagst, was ich wo nachschauen soll, dann gerne...

Rot = WAN ?
Ich habe keine Routen gesetzt...

Was genau soll ich überprüfen?

Kann es etwas mit dem DNS-Server zu tun haben? Kann ich das irgendwie prüfen? Vielleicht wenn ich die IP einer Homepage direkt im Browser eingebe?

Das hat ja nichts mit dem Provider zu tun, die Telefonie auf der ersten Fritzbox funktioniert. Die interne Fritzbox ist nur IP-Client bzw. Telefon-Nebenstelle (IP-Telefon). Also eine rein interne Geschichte.

Ich hab jetzt die Opnsense Firewall auf "conservative" gestellt, jetzt scheints zu funktionieren...